XCTF-ics-07

最新推荐文章于 2023-01-29 20:46:28 发布
最新推荐文章于 2023-01-29 20:46:28 发布
阅读量428 收藏
点赞数
分类专栏: XCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43784056/article/details/103578772
版权

题目描述:工控云管理系统项目管理页面解析漏洞

打开题目网址,点击项目管理

进来之后,发现页面下方有一个view-source 

点击之后得到页面源码

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>cetc7</title>
  </head>
  <body>
    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

    <form action="#" method="get">
      page : <input type="text" name="page" value="">
      id : <input type="text" name="id" value="">
      <input type="submit" name="submit" value="submit">
    </form>
    <br />
    <a href="index.phps">view-source</a>

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

  </body>
</html>

 分析代码可得,第一段php代码没什么,就是一个重定向;第二段php代码是一个具有类似上传的作用,可以帮助但是首先$_SESSION['admin']必须为true,其次对文件名后缀做了过滤,但是这里是可以进行绕过的,这里的正则只会对最后那个.后面的进行匹配,绕过方法为shell.php/.;第三段php代码发现最后有这样一句话:$_SESSION['admin']=True,这里实现了第二段php代码的第一个要求,但是执行这句话,首先需要传入的id满足(isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9'为真,绕过方法为id=1/9,中间的/可以换成任意字符,其次需要前面的SQL语句的查询结果不为空。所以最后构造的payload效果图如下

菜刀直接连上,查看flag.php,得到flag

 

0ne_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XCTFics-07
小白渣的博客
10-28 2254
三种解题方法 (1) 步骤 1.进入题目后,查看源码进行审计,第一步需要进行绕过,获取到admin的session。 2.绕过要注意的三个点为: ​ (1)floatval($ _ GET [id])!==‘1’ //浮点不为1 ​ (2)substr($ _ GET [id],-1)==='9‘ //id最后一位为9 ​ (3)Mysql查询结果限制,id不能过大, 3.构建后exp为http:...
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4552
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界:XCTFics-07
末初的CSDN博客
03-13 547
点击view-source,源码如下: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_st...
[XCTF]ics-07
sGanYu
09-01 1096
工控云管理系统项目管理页面解析漏洞 打开链接,一个工控云管理系统,随意点击旁边的菜单,发现只有云平台项目管理中心可以进入 初始页面只有一个,可以找到一个view-source,点进去可以看到源码 考点:php代码审计、中间件解析漏洞、上传一句话木马连接 PHP代码审计 代码一共分为三部分 第一部分:提交的get参数page不为index.php即可 <?php session_start();//在用户登陆成功后,将用户特定标识存储到 sessio...
XCTF:ics-07
羽的博客
09-09 333
看源码。 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { header('Location: ?pag...
XCTF-高手进阶ics-07
1stPeak's Blog
04-14 591
题目: 发现view-source <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start...
Web安全攻防世界09 ics-07XCTF
weixin_42789937的博客
01-29 954
Web安全攻防世界09 ics-07XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
ICS-07
weixin_52921802的博客
12-16 505
输入、输出 本章输入设备选择键盘,输出设备选择显示器 输入、输出的基本概念 设备寄存器(decice register):即使最简单的I/O设备,也至少包含两个寄存器: 一个用来保存跟计算机之间传输的数据; 另一个用来指示当前设备的状态信息。 内存映射I/O与专用I/O指令 指令访问I/O设备寄存器时,需要明确指明目标寄存器。通常有两种实现方法 采用专门的I/O指令来访问,即专用I/O指令 采用内存操作指令来完成I/O操作,即内存映射I/O 专用I/O指令就是设计好的操作码来确定其行为
ics-07
CN天狼
03-01 115
ics-07
Web(ics-07)
m0_56010012的博客
03-23 3135
题目描述:工控云管理系统项目管理页面解析漏洞 查看view-source下三段代码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php');
攻防世界 ics-07
CyhDl666的博客
02-24 480
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界----ics-07
qq_44418229的博客
07-26 394
攻防世界---ics-07 分析源码+正则
ics-07—CTF
qq_40646572的博客
04-16 2223
审题 打开链接地址显示如下: 点击项目管理链接,转到目标网页 发现页面有一个view-source按钮(一开始没发现可以点击,打开源代码的时候发现,这是一个链接地址。) view_source页面代码如下: 通过代码审计,发现session会话要有admin用户的信息,才可以进行文件上传的操作。 那么首先需要在session会话中获取admin用户的身份,通过下面的代码审计,发现可以利用id 这个参数。 admin身份绕过 首先看到此处的代码,想着能不能使用sql注入的方式绕过,sql注入没能成功.
【攻防世界WEB】难度五星15分进阶题:ics-07
07-24 565
【攻防世界WEB】五星15分
攻防世界web进阶ics-07详解
hxhxhxhxx的博客
08-07 1479
攻防世界web进阶ics-07详解题目详解floatvalsubstr 题目 当然又是熟悉的界面,熟悉的ics题目,熟悉的只能点击一个页面 详解 这里进来有一个view-source 点击看看 是一堆代码。我们进行尝试审计 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]
xctf-ics05
Mars748的博客
11-12 395
xctf里面的一道web题ics05 这道题给了提示:其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统 既然说了是设备维护中心的漏洞,打开设备维护中心,什么东西也没有,查看源码也没有啥东西。 这时候瞎点,点到了网页上面的导航上 云平台设备维护中心发现有变化。发现page的值会显示出来。 将page的参数改成index.php发现页面显示ok,改成其他的(比如flag.php)页面啥都没显...
XCTF-高手进阶ics-06
1stPeak's Blog
06-13 3156
第一题:ics-06 目标: id爆破 Writeup 发现报表中心有id可以爆破,直接使用burp爆破 数字的id字典可以用python生成,代码: for m in range (100001): print(m) ...
[xctf]ics-04
胖胖的ALEX
07-10 4379
类型:web 网址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4918 描述:工控云管理系统新添加的登录和注册页面存在漏洞,请找出flag 一句话总结:sql注入、业务逻辑漏洞 过程: 有三个可以访问的功能,注册、登录和找回密码 注册功能:没有sql注入,一个账号可以重复注册漏洞...
xctf(web)-ics-05
i_am_not_hacker的博客
08-08 900
本题的题目描述如下图所示,查看“设备维护中心” 再查看源码,也没有找到线索,通过php伪协议查看源码 php伪协议参考文章 在题目所给的url后加 ?page=php://filter/convert.base64-encode/resource=index.php 即可查到base64加密后的源码 base64解码后,查看代码,发现后门 //方便的实现输入输出的功能,正在开发中的功能,只能内部...
web-ics-05
最新发布
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值