XCTF-ics-07

题目描述：工控云管理系统项目管理页面解析漏洞

打开题目网址，点击项目管理

进来之后，发现页面下方有一个view-source 

点击之后得到页面源码

  
    
    
  
  
    

    

      page : 
      id : 
      
    
    

    view-source

    

    something wae wrong ! 
");
      if($result){
        echo "id: ".$result->id."
";
        echo "name:".$result->user."
";
        $_SESSION['admin'] = True;
      }
     ?>

  

 分析代码可得，第一段php代码没什么，就是一个重定向；第二段php代码是一个具有类似上传的作用，可以帮助但是首先$_SESSION['admin']必须为true，其次对文件名后缀做了过滤，但是这里是可以进行绕过的，这里的正则只会对最后那个.后面的进行匹配，绕过方法为shell.php/.；第三段php代码发现最后有这样一句话：$_SESSION['admin']=True,这里实现了第二段php代码的第一个要求，但是执行这句话，首先需要传入的id满足(isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1) === '9'为真，绕过方法为id=1/9，中间的/可以换成任意字符，其次需要前面的SQL语句的查询结果不为空。所以最后构造的payload效果图如下

菜刀直接连上，查看flag.php，得到flag