題目描述:工控雲管理系統項目管理頁面解析漏洞
打開題目網址,點擊項目管理
進來之後,發現頁面下方有一個view-source
點擊之後得到頁面源碼
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>cetc7</title>
</head>
<body>
<?php
session_start();
if (!isset($_GET[page])) {
show_source(__FILE__);
die();
}
if (isset($_GET[page]) && $_GET[page] != 'index.php') {
include('flag.php');
}else {
header('Location: ?page=flag.php');
}
?>
<form action="#" method="get">
page : <input type="text" name="page" value="">
id : <input type="text" name="id" value="">
<input type="submit" name="submit" value="submit">
</form>
<br />
<a href="index.phps">view-source</a>
<?php
if ($_SESSION['admin']) {
$con = $_POST['con'];
$file = $_POST['file'];
$filename = "backup/".$file;
if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
die("Bad file extension");
}else{
chdir('uploaded');
$f = fopen($filename, 'w');
fwrite($f, $con);
fclose($f);
}
}
?>
<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
include 'config.php';
$id = mysql_real_escape_string($_GET[id]);
$sql="select * from cetc007.user where id='$id'";
$result = mysql_query($sql);
$result = mysql_fetch_object($result);
} else {
$result = False;
die();
}
if(!$result)die("<br >something wae wrong ! <br>");
if($result){
echo "id: ".$result->id."</br>";
echo "name:".$result->user."</br>";
$_SESSION['admin'] = True;
}
?>
</body>
</html>
分析代碼可得,第一段php代碼沒什麼,就是一個重定向;第二段php代碼是一個具有類似上傳的作用,可以幫助但是首先$_SESSION['admin']必須爲true,其次對文件名後綴做了過濾,但是這裏是可以進行繞過的,這裏的正則只會對最後那個.後面的進行匹配,繞過方法爲shell.php/.;第三段php代碼發現最後有這樣一句話:$_SESSION['admin']=True,這裏實現了第二段php代碼的第一個要求,但是執行這句話,首先需要傳入的id滿足(isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9'爲真,繞過方法爲id=1/9,中間的/可以換成任意字符,其次需要前面的SQL語句的查詢結果不爲空。所以最後構造的payload效果圖如下
菜刀直接連上,查看flag.php,得到flag