题目:

进去后发现如下所示:

我注册了一个peak账号,登录后显示如下:

经过一番测试,发现Manage需要admin权限:

如何获取admin权限呢?利用修改密码界面的逻辑漏洞,修改admin的密码,如下:

再次点击Manage会出现

我们使用XFF绕过IP限制
X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP

<!--index.php?module=filemanage&do=???-->
这个明显是让我们猜,这里最后根据前面filemanage(文件管理),猜到upload(上传)


尝试上传一个peak.php文件:<?php @eval($_REQUEST[peak]);?>

发现无法上传,被判断为php文件,通过在上传时可以抓包,可以发现是后端验证,尝试00截断:

再猜测可能是过滤代码中的特殊字符,例如?,那我们将peak.php内容修改为:<script language="php">@eval($_REQUEST[peak])</script>,再次上传,00截断也不ok,依旧未果,还能咋办?
最后发现php4和php5可以上传但返回不是图像…好!那我们就修改MIME

修改文件名为peak.jpg,结果不行!那就是peak.php的内容有问题,目标服务器有过滤,那我们继续使用<script language="php">@eval($_REQUEST[peak])</script>来绕过,得到flag

注:经测试
(1)如果你的peak.php5文件内容中没有任何php内容还不行,例:

(2)文件必须能被php解析执行

总结:这题主要考查

  • 对逻辑漏洞的认识
  • 对敏感目录的猜测
  • 文件上传的绕过(需要注意的是,有时候常用的一句话木马,有可能会被过滤!)
  • 绕过要求:MIME类型是图片;文件名能被php解析执行;文件内容既要是php文件,而且你php文件中的内容还不能这么明显,难搞哦

XCTF-高手进阶区:bug相关推荐

  1. 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth)WriteUp

    文章目录 解题部分 总结: 解题部分 题目来源 攻防世界web高手进阶区ics-05(XCTF 4th-CyberEarth) 1.拿到题目以后,发现是一个index.php的页面,并且设备-没有显示 ...

  2. 攻防世界 web高手进阶区 10分题 weiphp

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的10分题 本文是weiphp的writeup 解题过程 进入界面 点击 进入一个登陆界面 没有注册 那肯定得找源码了 惯例源码+御剑 发现git泄 ...

  3. 攻防世界-web高手进阶区

    文章目录 攻防世界-web高手进阶区 1.baby_web 2.Training-WWW-Robots 3.Web_php_include (文件包含+伪协议) 1.方法 2.方法 4.ics-06( ...

  4. 攻防世界 Reverse高手进阶区 2分题 reverse-for-the-holy-grail-350

    前言 继续ctf的旅程 攻防世界Reverse高手进阶区的2分题 本篇是reverse-for-the-holy-grail-350的writeup 发现攻防世界的题目分数是动态的 就仅以做题时的分数 ...

  5. 攻防世界 web高手进阶区 9分题 favorite_number

    前言 继续ctf的旅程 开始攻防世界web高手进阶区的9分题 本文是favorite_number的writeup 解题过程 进入界面 简单的代码审计 首先是个判断,既要数组强等于,又要首元素不等 然 ...

  6. 攻防世界 Crypto高手进阶区 3分题 wtc_rsa_bbq

    前言 继续ctf的旅程 攻防世界Crypto高手进阶区的3分题 本篇是wtc_rsa_bbq的writeup 发现攻防世界的题目分数是动态的 就仅以做题时的分数为准了 解题过程 得到一个无后缀文件 扔 ...

  7. 攻防世界高手进阶区——dice_game

    攻防世界高手进阶区--dice_game 题目里面啥都没有. 一.分析文件 checksec 只有栈溢出保护关闭了,其他都是开着的. 运行 可以看出是要猜数字,猜对50次. ida逆向 __int64 ...

  8. 攻防世界高手进阶区 ——forgot

    攻防世界高手进阶区 --forgot 看了半天,啥也没看懂,做出来了才发现啥也不是. 一,分析文件 checksec 还好,只开启了堆栈不可执行. 运行一下 翻译了一下,应该是判断邮箱是否合乎规矩. ...

  9. forgot [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列13

    题目地址:forgot 本题是高手进阶区的第二题,恭喜大家已经进入高手行列!好假好假,哈哈哈! 废话不说,看看题目先 这个题目有很长的描述,但是都是废话,不去管他了. 照例下载附件,做下安全检查 ro ...

  10. 攻防世界 Crypto高手进阶区 3分题 你猜猜

    前言 继续ctf的旅程 攻防世界Crypto高手进阶区的3分题 本篇是你猜猜的writeup 发现攻防世界的题目分数是动态的 就仅以做题时的分数为准了 解题过程 得到一串16进制 504B03040A ...

最新文章

  1. 【Java】leetCode 21 合并两个有序链表
  2. 006_Curator框架一
  3. springboot 单元测试
  4. 任意长度的两个大数的乘法
  5. linux 重启命令_如何在 Ubuntu 和其他 Linux 发行版中启动、停止和重启服务 | Linux 中国...
  6. Linux中的报错命令,Linux学习教程-Linux下命令的一些异常情况
  7. 风力涡轮机巨头维斯塔斯遭网络攻击
  8. [转载] Java继承概念和关键字
  9. 虚拟服务器和虚拟主机(空间)的区别
  10. jQuery性能优化指南(2)
  11. 5ecsgo正在发送客户端_MQTT X 桌面客户端使用指南
  12. java程序设计从方法学角度描述_(特价书)Java程序设计:从方法学角度描述
  13. 智头条:小米第二家汽车公司成立; 华为发布7款智慧生活新品;萤石视频锁携手电影《门锁》今日上映
  14. 【Fiddler】从零开始学习Fiddler
  15. 微信小程序源码获取(附工具的下载)
  16. 360真假u盘测试软件,360u盘鉴定器准不准?
  17. linux飞信机器人,在Nagios使用飞信机器人发送警报
  18. 动词ing形式的5种用法_动词ing形式的用法及变化规则.
  19. tps在区块链是什么意思_超百万的TPS拯救不了区块链技术,区块链还差什么?
  20. 一图看懂ADSL拨号服务器

热门文章

  1. Enumeration和Iterator的区别
  2. git clone remote: HTTP Basic: Access denied
  3. Apache Avro
  4. 聊聊高并发(二十七)解析java.util.concurrent各个组件(九) 理解ReentrantLock可重入锁
  5. ElasticSearch插件demo
  6. 在python3.x下使用如下代码: import cPickle as pk 报错
  7. [Linux] Linux指令汇总(持续更新中...)
  8. android textView 替文字添加下划线 删除线
  9. 阿拉伯数字转中文小写数字
  10. Python 2.x 与Python 3.x的差别总结