攻防世界-ics-07

最新推荐文章于 2024-09-10 23:26:18 发布
最新推荐文章于 2024-09-10 23:26:18 发布
阅读量283 收藏 3
点赞数 3
分类专栏: 攻防世界 文章标签: 经验分享 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64659753/article/details/139213412
版权

#ics-07

代码审计题目:

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>cetc7</title>
  </head>
  <body>
    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

    <form action="#" method="get">
      page : <input type="text" name="page" value="">
      id : <input type="text" name="id" value="">
      <input type="submit" name="submit" value="submit">
    </form>
    <br />
    <a href="index.phps">view-source</a>

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

  </body>
</html>

<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

page的值不能为空,且不能是index.php, 是index.php 就包含flag.php 文件,否则重定向flag.php

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

有了admin的session之后,对con和file值进行传参,preg_match(‘/.+.ph(p[3457]?|t|tml)$/i’, $filename)正则匹配,这个正则表达式是用来匹配以.php.php3.php4.php5.php7.phtml.ptml为扩展名的文件名的。它会忽略大小写,因为在正则表达式的最后有一个i修饰符。不能包含后缀为这些的,如果没有包含则写入con值的内容到文件file里面。

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

floatval 返回浮点值,substr匹配最后一个字符是否为9,正确查询则返回一个admin的session

随便绕过 1u9

image-20240503222011370

蚁剑直接连接

渐存
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1313
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取源码看看直接包含发现会直接运行php文件,那我们怎么获得源码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是源码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
【网络安全 | CTF】攻防世界 ics-06 解题详析
等风来
05-20 3796
题目描述:云平台报表中心收集了设备管理基础服务的数据,但是数据被删除了,留下了入侵者的痕迹。仅栏能打开新窗口:注意到URL栏的id参数,对id进行爆破。
攻防世界----ics-07
qq_44418229的博客
07-26 445
攻防世界---ics-07 分析源码+正则
攻防世界--ics-06
qq_73611185的博客
09-09 1079
发现请求为2333时长度和其他不一样,在网站输入get请求为?id=2333得到flag:cyberpeace{3f9258463290166bfecb5d3699a33379}结合题目描述说是有入侵者侵入的痕迹,啥都点了一遍发现只有报表中心可以点进去,由于太菜,没有思路,直接去看了wp。这题使用的工具是burpsuite进行爆破,首先打开firefox自带的代理器插件然后打开burpsuite。成为ctf全栈之路之web第八题。第五步,开始进行爆破,
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4604
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
攻防世界web进阶区ics-06
gongjingege的博客
07-09 1016
打开链接 到处点了点,发现只有题目描述里的报表中心可以点进去 发现id=1,改了几个数字,发现页面没有变化,看了看源代码,用开发者选项也没有发现,试了试burpsuite抓包,也没发现啥 到网上看了看各位大佬的wp,发现这个题得用burp suite爆破(触及到了我的盲区。。。),只能看着大佬的博客,一步步跟着来 抓包后发送给intruder,查看target是否正确,导入字典点击右上角的start attack,开始爆破(发现我的字典里没有2333,刚开始没成功,在字典里加入后才成),点击length自
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4567
尝试
攻防世界-ics-05-WP
xiaoduanDDG的博客
04-16 312
进入题目,找到这个页面 在url中没有变化,右键查看源码 进入这个页面 /index.php?page=index 看到page,可能存在文件包含漏洞 补充知识点: LFI漏洞的黑盒判断方法: 单纯的从URL判断的话,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键字眼的时候,可能存在文件包含漏洞 利用文件包含漏洞,有一个直接读取源代码的方法...
攻防世界】二十一 --- ics-05 --- 文件包含
qq_43168364的博客
12-29 422
题目 — ics-05 一、writeup 主页只有一个点可以访问 访问之后再点击下面的图表URL会发生变化 ?page查询字符串出来了 page查询字符串中存在文件包含漏洞,可以进行目录跳转 这里php://input被过滤了,无法直接使用php://input来读取flag了。需要想其他办法。直接包含index.php文件会回显Ok 想到是否做了过滤,用:php://filter/read=convert.base64-encode/resource=index.php 访问成功 解编码得到
物联网云平台开发岗位面试经验分享
王中阳的博客
09-10 656
本次面试针对物联网云平台开发工程师岗位,涵盖了自我介绍、项目难点解决、技术细节如Redis分布式锁、设备控制率、MQTT鉴权流程、APP连接MQTT、权限控制等多个方面。强调了高并发、高可用设计及云服务权限管理的重要性,并讨论了内存泄漏、数据库死锁等技术问题。
Android - NDK:在Jni中打印Log信息
dami_lixm的专栏
09-10 137
在Jni中打印Log信息 1、在配置CMakeLists.txt find_library( # Sets the name of the path variable. log-lib # Specifies the name of the NDK library that # you want CMake to locate. log) # Specifies libraries CMake should link to your targ
高德地图SDK Android版开发 10 InfoWindow
程序喵D的博客
09-06 1963
前文介绍高德地图添加Marker覆盖物的使用方法,Marker结合InfoWindow可展示更详尽的信息。本文将介绍以下内容:1. 使用SDK默认样式显示InfoWindow的方法;2. 自定义InfoWindow样式的方法。
Android - NDK: 在jni层生成java层对象,并调用java层的方法
dami_lixm的专栏
09-10 360
在Jni中生成java层的对象,并给对象的属性赋值,调用对象的方法,在jni中返回java方法的返回值。
【安卓13 源码】Input子系统(3) - EventHub增加设备的流程
最新发布
mike_jun的博客
09-10 206
由前面的分析知道,在创建inputreader 线程的时候,会去循环执行 looponce 方法。
案例——Mysql主从复制与读写分离
shuaianm的博客
09-05 1734
读写分离,基本的原理是让主数据库处理事务性增、改、删操作(INSERT、UPDATE、DELETE),而从 数据库处理SELECT查询操作。数据库复制被用来把事务性操作导致的变更同步到集群中的从数据库。
Android13默认开启电池百分比数字显示Framework
技术的积累,其实就是财富的积累呀。
09-05 365
通过,0,1 的切换,可以修改默认显示电池数字百分比,或不显示电池数字百分比的效果。修改2个地方,一个是Setting,一个是SystemUI显示。通过查阅Framework代码。终于找到了如何默认显示。查了很多平台,就是没有Android13的。有个小需求,需要实现。
Android】ViewPager基本用法总结
Patrick_yuxuan的博客
09-06 1153
ViewPager是 Android 中一个用于在同一屏幕上滑动不同页面(通常是左右滑动)的组件。它通常用于实现多页面滑动效果,比如应用的引导页、图片轮播、以及支持标签导航的界面。ViewPager与结合使用。是一个适配器,它负责为ViewPager提供页面内容。每个页面通常是一个Fragment,也可以是一个普通的View。
Android audioRecord 获取实时音频可视化
南七小僧的学海无涯
09-10 253
通过本文的介绍,我们了解到了如何使用Android的类来获取实时音频数据,并将其可视化展示。这不仅有助于我们更好地理解音频信号的特性,也为开发音频相关的应用提供了基础。希望本文的内容对您有所帮助,如果您有任何问题或建议,欢迎在评论区与我们交流。
攻防世界 ics-07
09-05
攻防世界是一个国际性的网络安全竞赛,其中 ICS-07 是指第七届工控系统安全挑战赛(Industrial Control System Security Challenge)。个比赛主要关注工控系统安全领域,参赛者需要在模拟的工控环境中进行攻击和防御...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值