攻防世界 ics-07

点击之后发现有个项目管理能进,点进去,点击看到源码,如下三段

复制代码

<?php session_start(); if (!isset(_GET\[page\])) { show_source(__FILE__); die(); } if (isset(_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { header('Location: ?page=flag.php'); } ?>

复制代码

<?php if (_SESSION\['admin'\]) { con = _POST\['con'\]; file = _POST\['file'\]; filename = "backup/".file; if(preg_match('/.+\\.ph(p\[3457\]?\|t\|tml)/i', filename)){ die("Bad file extension"); }else{ chdir('uploaded'); f = fopen(filename, 'w'); fwrite(f, con); fclose(f); } } ?>

复制代码

<?php if (isset(_GET\[id\]) \&\& floatval(_GET[id]) !== '1' && substr(_GET\[id\], -1) === '9') { include 'config.php'; id = mysql_real_escape_string(_GET\[id\]); sql="select * from cetc007.user where id='id'"; result = mysql_query(sql); result = mysql_fetch_object(result); } else { result = False; die(); } if(!result)die("\
something wae wrong ! \"); if(
result){ echo "id: ".result-\>id."\"; echo "name:".result->user."</br>"; $_SESSION['admin'] = True; } ?>

大概思路是在id满足第三段代码的情况下,使$_SESSION['admin'] = True。然后在以POST方式提供con和file,当file满足条件时,会将con的内容写入uploaded /backup /filename中。在在第一段中包含此文件,可以得到flag.php

先在view-source.php?page=flag.php页面,如下图,输入1' or '9'='9,满足了第三段代码的条件

构造以下请求

在/uploaded/backup/aaa.txt确实存在,证明攻击奏效,下面主要是如何绕过第二段代码。

最终代码如下

然后菜刀链接,找到flag页面,完毕

相关推荐
zhangphil7 小时前
HARDWARE 属性的Bitmap与普通Bitmap,GPU与RenderThread渲染与处理方式异同比较,Android
android
消失的旧时光-19438 小时前
Flutter 异步编程:Future 与 Stream 深度解析
android·前端·flutter
alexhilton9 小时前
Compose CameraX现已稳定:给Composer的端到端指南
android·kotlin·android jetpack
阿里云云原生11 小时前
移动端性能监控探索:可观测 Android 采集探针架构与实现
android
雨白11 小时前
玩转 Flow 操作符(一):数据转换与过滤
android·kotlin
二流小码农11 小时前
鸿蒙开发:web页面如何适配深色模式
android·ios·harmonyos
消失的旧时光-194313 小时前
TCP 流通信中的 EOFException 与 JSON 半包问题解析
android·json·tcp·数据
JiaoJunfeng13 小时前
android 8以上桌面图标适配方案(圆形)
android·图标适配
参宿四南河三14 小时前
Android Compose快速入门手册(真的只是入门)
android·app
芦半山14 小时前
Looper究竟在等什么?
android