攻防世界web进阶区ics-07详解

wuming

发布于 2021-01-21 16:00:12

1.5K00

代码可运行

文章被收录于专栏：wuming_CTFwuming_CTF

运行总次数：0

代码可运行

1. 题目
1. 1.1. 详解
  1. 1.1.1. floatval
  2. 1.1.2. substr

题目

当然又是熟悉的界面，熟悉的ics题目，熟悉的只能点击一个页面

详解

这里进来有一个view-source 点击看看

是一堆代码。我们进行尝试审计

<?php
session_start();

if (!isset($_GET[page])) {
  show_source(__FILE__);
  die();
}

if (isset($_GET[page]) && $_GET[page] != 'index.php') {
  include('flag.php');
}else {
  header('Location: ?page=flag.php');
}

page不能为空，同时，他的值不能等于index.php这样，就会包含flag.php文件否则重定向到flag.php这个文件

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

我们来看第二块儿判断session的是不是admin，然后获取到一些值，匹配.php3457,pht,phtml 如果匹配到，那么就结束如果没有匹配到，那么就写入文件

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

这里判断id是否存在， floatval这里用的!==，所以类型也要比较，后变为字符串string，前面为数值float,所以肯定不相等。 substr用来返回子串然后进行数据库的查询，并且进行了转义

第一段是个简单重定向，get参数page不为index.php即可
第二段需要得到一个admin的session，之后可以post传入con与file两个参数 File参数是自定义的文件名字，之后会处理为backup/文件名这里对文件名进行了过滤，防止后缀名是php的文件。上传成功后，会切换到uploaded目录，创建文件，并将con的内容写入，那么实际文件的路径就是：uploaded/backup/xxx.xxx
第三段代码是对get参数id进行校验，如果id的浮点数不是1，且最后一位是9那么，实行查询语句，如果查询正确，会得到一个admin的session

因此我们这里就需要满足所有需求