[CISCN2019 华北赛区 Day1 Web1]Dropbox详解

已于 2022-06-28 11:54:03 修改
阅读量1.9k 收藏 4
点赞数 3
分类专栏: CTF 反序列化 文章标签: web
于 2022-04-23 20:23:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SHININGENDING/article/details/124368489
版权

刷题记录[CISCN2019 华北赛区 Day1 Web1]Dropbox

php8.0中phar自动反序列化已经被修复

一、知识点:信息搜集,Phar反序列化

  • phar知识点分析

phar文件的结构主要分为四个部分:

  1. stub

phar文件的表示,类似于gif文件的GIF89a,以 xxx<?php xxx;__HALT__COMPILER();?>为固定形式,前面内容可以变,点必须以__HALT__COMPILER();?>结尾。
2. a mainfest describing the contents

该部分是phar文件中被压缩的文件的一些信息,其中meta-data部分的信息会被序列化,即执行serialize()函数,而phar://就相当于对这部分的内容进行反序列化,此处也正是漏洞点所在。

  1. the file contents

这部分存储的是文件的内容,在没有其它特殊要求的情况下,这里面的内容不做约束。

  1. a signature for verifying Phar integrity

数字签名。放在最末。

phar反序列化使用前提条件

  • phar反序列化使用条件

  1. phar文件可上传

  2. 文件流操作函数如file_exists(),file_get_content(),fopne()要有可利用的魔法方法作为“跳板”。

  3. 文件流参数可控,且phar://协议可用。

注意:想要生成phar文件记得把php.ini中的phar.readonly选项设置为Off,否则将无法生成phar文件

要找到php.ini的话,linux下,若已经配置了php环境的话,可以用find命令寻找绝对路径;windows下可以直接在phpmystudy或xmapp中找到打开。

  • phar文件生成基本架构
    在这里插入图片描述

二.做题过程

有了这些前置知识以后,我们在回过头来看这道题。前期是跟phar一点关系没有,简单就是一个信息搜集的过程。如果没有搜集到,那么直接可以G了,233.
简单的注册登录
首先简单的注册登录,进入以后我们发现左上角有一个上传文件的功能,然后我们先随便建个文档上传提交,发现它要求得文件类型只能是gif/jpg/png的类型,然后进一步测试发现,只更改文件后缀名是没有用的,需要抓包更改其Content-Type为image/jpeg或其它图片格式的对应字符串。
在这里插入图片描述
然后我们就发现文件上传成功了。上传成功后我们发现对文件可以进行两个操作,下载和删除。一般来讲,我们看到下载这个字眼的时候,可以联想到这里是不是可能存在任意文件下载的漏洞。然后我们进一步抓包分析,发现果然如此。
在这里插入图片描述
下面的filename是可控的,并且很明显内容就是下载的文件,所以我们想着把所有功能的源代码进行下载。但是,这里有一点小坑,就是它的download.php之类的文件并不是放在当前目录下的,而是上级目录的上级目录(emm,你要问问什么我知道,我只能说我是试出来的,因为这个文件肯定存在)
在这里插入图片描述
所以我们通过这个download.php将index.php,delete.php,download.php,class.php(class.php是在index.php中的include中发现的)下载下来,我自己是只下载了这四个源码,但其实也够用了,其实还有一个upload.php。然后就开始了代码审计。接下来,附上代码

  • class.php
<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
   
    public $db;

    public function __construct() {
   
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
   
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
   
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
   
        if ($this->user_exist($username)) {
   
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->
最低0.47元/天 解锁文章
SolLupus
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[CISCN2019 华北赛区 Day1 Web1]Dropbox
a1262443306的博客
06-08 181
反序列化[CISCN2019 华北赛区 Day1 Web1]Dropbox 1.注册登录后页面如下 2.猜测是文件上传,多测尝试以后发现后端直接讲我们的文件后缀进行了改写,无法执行脚本 3.题目提示了一个phar,应该是利用phar协议读取文件,触发反序列化读写flag文件。然而,想用phar协议读写文件需要满足这几个条件。 phar文件要能够上传到服务器端。 要有可用的魔术方法作为“跳板”。 文件操作函数的参数可控,且:、/、phar等特殊字符没有被过滤。 ​ 注意: 所指的phar文件不一定需要文件
NO.3-5 [CISCN2019 华北赛区 Day1 Web1]Dropbox
nigo134的博客
08-06 295
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在Win
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
node_dropbox:Assign1 - Nodejs Dropbox 项目
06-08
Assign1 - Nodejs Dropbox 项目 这是一个基本的 Dropbox 克隆,用于跨多个远程文件夹同步文件。 耗时:15小时 所需功能 客户端可以发出 GET 请求以获取文件或目录内容 - 完成客户端可以发出 HEAD 请求以仅获取 GET...
nautilus-dropbox_2.10.0-1_amd64
07-20
Linux下dropbox的源码,有兴趣的可以下载看看
Cloudclient:用于 Dropbox 等云服务的 Web 客户端
05-30
Dropbox 等云服务的 Web 客户端。 尽管我想添加更多服务,例如Box.com和Google云端硬盘,但它目前仅支持Dropbox。 它主要在 JavaScript 中工作,虽然它使用 PHP“代理”连接到 Dropbox API,主要是为了简化 OAuth ...
dropbox:Codepath节点Beta课程分配1
05-24
保管箱Codepath节点Beta课程作业1:Dropbox 这是一个基本的Dropbox克隆,可跨多个远程文件夹同步文件。特征必需的 客户端可以发出GET请求以获取文件或目录内容 客户端可以发出HEAD请求以仅获取GET标头 客户端可以...
CISCN2019_华北赛区_Day1_Web1-Dropbox
抒情诗
10-23 353
好长时间没做web了,web狗太难了 首先得检讨一下,我竟然将近三天没做web题目了,这这这还是一个web狗应该做的吗?反思一下呜呜呜。。。 phar反序列化 什么是phar反序列化呢? 下面的文章可能会有点帮助来自jianshu 按照我的理解来说呢,就是把危险的文件上传到服务器?然后借助某些功能与危险函数实现危险的操作,太笼统了。具体来说呢就是php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data(在这里<meta-data>区域面搞反序列化的pop链)反序列化
Phar反序列化详细总结
最新发布
2301_76690905的博客
11-09 178
phar协议,phar.phar包,和保存在phar包中的文件test.txt。被压缩的文件内容,在没有特殊要求的情况下,这个被压缩的文件内容可以随便写的,因为我们利用这个漏洞主要是为了触发它的反序列化。有file_exists(),fopen(),file_get_contents(),file()等文件操作的函数。Phar文件中被压缩的文件的一些信息,其中Meta-data部分的信息会以序列化的形式储存(当文件操作函数通过。,放在文件末尾,如果我们修改了文件的内容,之前的签名就会无效,就需要。
关于phar反序列化——BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
silence1_的博客
10-22 2672
关于phar反序列化——[CISCN2019 华北赛区 Day1 Web1]Dropbox 先看看phar是啥https://blog.csdn.net/u011474028/article/details/54973571 简单的说,phar就是php的压缩文件,它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,与file:// ,php://等类似,也是一种流包装器...
buuctf-web-[CISCN2019 华北赛区 Day1 Web1]Dropbox
weixin_43345082的博客
08-27 3279
在下载的时候可以通过抓包修改文件名filename=…/…/index.php 获得源码 有这样几个页面 重点在class.php和delete.php中 当时提示是phar反序列化 什么是phar反序列化 传送门1 传送门2 在phar://xx.phar文件的时候 可以通过某些函数触发反序列化 delete.php会执行$file->detele(); class.php中的File类...
Phar反序列化
weixin_63231007的博客
06-06 1573
phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本>=5.3时默认开启支持PHAR文件的。phar文件默认状态是只读,使用phar文件不需要任何的配置。而phar://伪协议即PHP归档,用来解析phar文件内容。生成、使用phar文件php.ini中需要设置 phar.readonly=off 生成特殊的phar文件,使代码运行第六行,打印flag phar文件中的metadata以序列化形式存储,解析phar文件时会进行反序列化操作。
phar反序列化学习
qq_53755216的博客
06-09 1329
phar反序列化 什么是phar文件 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。 PHAR (“Php ARchive”) 是PHP里类似于JAR的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么Phar后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如
------已搬运-------PHP反序列化之三:phar://反序列化之☞菜鸡的总结
Zero_Adam的博客
01-29 391
讲真,写道一半后悔了,,,网上说。这个好像不怎么出题。而且现实中这个漏洞也比较少。。。哭了呀,,━┳━…━┳━ (本????还没有看POP链…)看了这么多文章,先总体上说说吧。这个**phar://**只是反序列化漏洞中的一个分支。 个人理解:**phar://**之所以拿出来,单独成知识点,有一点原因就是可以不用unserialize()方法,但是仍然会调用php的反序列化。 只要有反序列化,那么就很可能有反序列化漏洞。要有反序列化漏洞,就一定要有反序列化这个步骤。可以是unserialize(),也可
[ciscn2019 华北赛区 day1 web1]dropbox
06-06
这是一道Web安全题目,要求我们通过访问网站,获取到flag。 题目中给出了一个网站地址,我们可以直接访问该网站。进入网站后,我们可以看到一个登录界面,要求我们输入用户名和密码。 我们可以尝试一些常见的用户名和密码,但是都无法登录成功。因此,我们需要通过其他方式来获取flag。 我们可以尝试一些常见的Web漏洞,比如SQL注入、XSS等。在这个题目中,我们可以尝试一些文件上传漏洞。 我们可以通过Burp Suite等工具,来拦截网站的上传请求,然后修改上传的文件,来获取flag。 具体的操作步骤如下: 1. 使用Burp Suite等工具,拦截上传请求。 2. 修改上传的文件,将文件名改为flag.php。 3. 将上传的文件类型改为php。 4. 将上传的文件内容改为以下内容: <?php echo "flag{xxxxxxxxxxxxxxxxxxxx}"; ?> 其中,xxxxxxxxxxxxxxxxxxxx为flag的具体内容。 5. 发送修改后的上传请求,上传文件。 6. 访问上传的文件,即可获取flag。 通过以上步骤,我们就可以成功获取到flag了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值