攻防世界 ics-07

Posted iloveacm

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了攻防世界 ics-07相关的知识,希望对你有一定的参考价值。

攻防世界 ics-07

点击之后发现有个项目管理能进,点进去,点击看到源码,如下三段

<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }

    if (isset($_GET[page]) && $_GET[page] != ‘index.php‘) {
      include(‘flag.php‘);
    }else {
      header(‘Location: ?page=flag.php‘);
    }

    ?>
<?php
     if ($_SESSION[‘admin‘]) {
       $con = $_POST[‘con‘];
       $file = $_POST[‘file‘];
       $filename = "backup/".$file;

       if(preg_match(‘/.+.ph(p[3457]?|t|tml)$/i‘, $filename)){
          die("Bad file extension");
       }else{
            chdir(‘uploaded‘);
           $f = fopen($filename, ‘w‘);
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>
<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== ‘1‘ && substr($_GET[id], -1) === ‘9‘) {
        include ‘config.php‘;
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id=‘$id‘";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION[‘admin‘] = True;
      }
     ?>

大概思路是在id满足第三段代码的情况下,使$_SESSION[‘admin‘] = True。然后在以POST方式提供con和file,当file满足条件时,会将con的内容写入uploaded /backup /filename中。在在第一段中包含此文件,可以得到flag.php

先在view-source.php?page=flag.php页面,如下图,输入1‘ or ‘9‘=‘9,满足了第三段代码的条件

技术图片

构造以下请求

技术图片

在/uploaded/backup/aaa.txt确实存在,证明攻击奏效,下面主要是如何绕过第二段代码。

技术图片

最终代码如下

技术图片

然后菜刀链接,找到flag页面,完毕

以上是关于攻防世界 ics-07的主要内容,如果未能解决你的问题,请参考以下文章

攻防世界 mfw

攻防世界NaNNaNNaNNaN-Batman

攻防世界WEB练习-fileclude

逆向-攻防世界-gametime

攻防世界WEB进阶之upload1

攻防世界PHP2