xctf-ics-07

首先管理页面进入到云平台项目管理中心

 

 发现下面可以查看源码,点击view-source:

 

 这个直接就绕过去了

看第二个

 

 第二个需要满足$_SESSION['admin']==true才行,因此看看第三个php

 

满足这个 isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9'即可让$_SESSION['admin']==true

大概的意思就是存GET变量id,并且他的浮点数不等于1,且最后一位为9的字符串,‘1-9’即可满足

构造payload:

http://111.198.29.45:31864/index.php?page=flag.php&id=1-9

 

 成功绕过,然后看看第二段代码,意思就是以post方式上传文件,post变量file代表文件名,con代表文件内容,且后缀名经过正则过滤了,然后上传路径原本在根目录下的/backup/目录下面,由于加了个chdir()函数,因此将根目录后面加上了/uploaded/目录,然后在跟/backup/目录。

最后的上传目录为:

/uploaded/backup/

正则的话是判断.之后的字符,因此我们可以利用‘/.’的方式绕过,这个方式的意思是在文件名目录下在加个空目录,相当于没加,因此达到绕过正则的目的。

post数据的payload为:

file=p.php/.&con=<?php phpinfo();?>

 

 访问/uploaded/backup/p.php

 

 已成功上传,那么直接写一句话上传,菜刀连接

 

 找到flag.php打开后得到flag值。

posted @ 2019-11-28 20:12  ctrl_TT豆  阅读(1288)  评论(0编辑  收藏  举报