攻防世界 web 进阶 ics-07

工控云管理系统项目管理页面解析漏洞

/index.php

看到view-source
看一下源码

   something wae wrong ! 
");
      if($result){
        echo "id: ".$result->id."
";
        echo "name:".$result->user."
";
        $_SESSION['admin'] = True;
      }
     ?>

先看这一段

 something wae wrong ! 
");
          if($result){
            echo "id: ".$result->id."
";
            echo "name:".$result->user."
";
            $_SESSION['admin'] = True;
          }
         ?>

我们只需要绕过isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9'
拿到 $_SESSION[‘admin’] = True;
构造payload：?id=1–9&submit&page=flag.php
成功

接下来看下一关

这里需要注意 $filename = "backup/".$file;这一句
backup/ 是个假目录
chdir('uploaded');这里改了目录
有用的是这个目录
这里的正则没看懂
看了大佬的wp
说这个是只过滤了最后一个"."后面的东西。

可以使用…/filename/.来过滤

现在尝试写个东西进去
con是文件内容
file是文件名
使用POST传参

 con=&file=../orz.php/.
 一句话木马

接下来都懂的
菜刀大法好！！！！！！！！！！！！

Orz