[0CTF 2016]piapiapia WP

最新推荐文章于 2022-04-23 19:12:42 发布
最新推荐文章于 2022-04-23 19:12:42 发布
阅读量3.8k 收藏
点赞数 1
分类专栏: 笔记 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55185160/article/details/123878593
版权

打开题目发现是一个登录注册页面,然后利用sql注入的方法进行测试结果没有反应,于是使用dirsearch去扫一下网站看看有没有什么东西,扫到了register.php和www.zip,看到有网站源码就会顺利很多了

下载下源码来分析一下,

register.php

这是注册页面的php代码,只是限制了username和password的长度和是否存在。

 注册登录成功以后跳转到了update.php

分析一下update.php的代码

 

可以通过post方式上传phone、email、nickname、photo,并且限制phone 长度为11位,nickname长度小于10位,且只能为字母和数字;对上传的phone,email,nickname,photo进行序列化

 

class.php 中的限制:

<?php 
......
public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);
 
		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}
.....
 
public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);
 
		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
......

update_profile 中对 new_profile 用 filter 进行了过滤;
filter 中将 ‘select’, ‘insert’, ‘update’, ‘delete’, ‘where’ 等词用 ‘hacker’ 替换掉.

profile.php

将上传的内容反序列化,并读取photo的内容,然后并将photo中的内容用base64编码显示出来。

config.php

里面有flag变量但是flag的值我们看不到。

解题思路:

所以现在的解题点就是利用profile.php中的file_get_contents()函数将config.php中的flag读取出来。但是file_get_contents()函数读取的是photo,所以我们要把$profile[‘photo’]替换为config.php这里用到了字符串逃逸,也就是要让config,php成为序列化的一部分,可以利用的是反序列化字符串逃逸。

这个数据被序列化之下是:

a:4:{s:5:"phone";s:11:"11223344556";s:5:"email";s:10:"123@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

我们可以将";}s:5:“photo”;s:10:“config.php”;}写入到nickname中形成字符串逃逸,变为:

a:4:{s:5:"phone";s:11:"11223344556";s:5:"email";s:10:"123@qq.com";s:8:"nickname"";}s:5:“photo”;s:10:“config.php”;};s:3:"123";s:5:"photo";s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

我们想要写入正因为在传入数据库时会进行正则匹配导致where会变为hacker由5个字符变为6个字符,";}s:5:“photo”;s:10:“config.php”;}一共有34个字符,我们想要将";}s:5:“photo”;s:10:“config.php”;}写入到nickname中而不不被解析为nickname的值,所以需要在nickname中写入34个where,这样长度就增加了34个,所以会把";}s:5:“photo”;s:10:“config.php”;}挤出nickname中而被当做photo来解析。这样就可以达到我们想要的效果去读取config.php的内容。

而在updata中对nickname进行了过滤这里先对它进行了正则,这个正则的意思是匹配除了a-zA-Z0-9_之外的字符,因为 “^” 符号是在 “[]” 里面,所以是非的意思,不是开始的意思。然后 “||” 后面判断了它的长度是否大于10。我们上传的参数肯定大于10了,所以这里需要绕过

这两个判断的绕过就要引出神奇的数组了,这里我牵了张表:

md5(Array()) = null
sha1(Array()) = null
ereg(pattern,Array()) =null
preg_match(pattern,Array()) = false
strcmp(Array(), “abc”) =null
strpos(Array(),“abc”) = null
strlen(Array()) = null

所以我们传入数组,就能绕过。

传参

注意需要将nickname变为数组nickname[]

 

 

 

 

 

 

 

 

 

Bri9ht_pe@r1
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
CtfHub-wpweb
最新发布
01-23
本文主要探讨了CTF(Capture The Flag)竞赛中与Web安全相关的知识点,通过解决一系列问题,我们可以学习到如何发现和利用网站的漏洞获取关键信息。首先,提到了通过查找网站的备份文件来获取线索,例如在URL后添加...
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4261
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
[0CTF 2016]piapiapia
weixin_45808483的博客
12-08 936
知识点: 信息泄露 PHP反序列化字符串逃逸(替换后导致字符串变长) 参数传递数组绕过字符串检测 题目链接 BUUCTF在线评测 1.启动环境,一个登录框 2.dirsearch扫描 先拿dirsearch扫描一遍,第一次什么也没有扫到,全部都是429。加上延时并且调一下线程再扫描一次,这一次我们扫到了压缩文件,但是普通的php文件扫不到~~。 <!--more--> 3.下载源码审计 打开config.php,我们发现了flag 继续分析源码,发现三
2016X-NUCA联赛web真题(CTF练习)
m0_46625346的博客
07-23 1259
BaseInjection-不知道密码也能登录 BaseInjection,基本注入,再加上题目的提示信息:不知道密码也能登录。 输入最常见的万能密码:admin’ or ‘1’=’1,密码任意,发现没有成功,提示用户名或密码错误。可能是这里限制了payload的长度,我们再使用其他的payload来注入:1’ or ‘1’=’1,依然是提示用户名或密码错误。经过尝试判断后端限制payload长度为小于11。(如果把payload中的空格去掉,依旧可以哦!!也就是这样 1’or‘1’=’1) 构
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6962
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
BUUCTF-WEB0CTF 2016piapiapia 1
qq_36410265的博客
12-27 1890
BUUCTF-WEB0CTF 2016piapiapia 1
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
2016华山杯ctf安卓题目
06-17
【标题】2016华山杯CTF(Capture The Flag)是一场专注于网络安全竞技的赛事,其中的安卓题目展示了该领域内的各种挑战与技术深度。CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则...
affinewp
m0_55185160的博客
06-15 6370
题目: d87 x65 x6c x63 o157 d109 o145 b100000 d116 b1101111 o40 x6b b1100101 b1101100 o141 d105 x62 d101 b1101001 d46 o40 d71 x69 d118 x65 x20 b1111001 o157 b1110101 d32 o141 d32 d102 o154 x61 x67 b100000 o141 d115 b100000 b1100001 d32 x67 o151 x66 d116 b101
[GXYCTF2019]BabyUpload wp
m0_55185160的博客
03-21 5428
打开题目是一个普通的文件上传,首先上传一个普通的一句话木马得到 发现后缀名过滤了ph,所以我们上传一个图片马 上传类型也受限制了,所以把数据类型改为image/ipeg 诶这里说明它检测的是文本的内容, ...
[GWCTF 2019]我有一个数据库 wp
m0_55185160的博客
04-23 4371
得到了/phpmyadmin/路径,加上题目是我有一个数据库,于是想到应该本题就是和phpmyadmin数据库有关 我们可以看到phpmyadmin的版本为4.8.1,搜索后发现这个版本的phpmyadmin存在漏洞CVE-2018-12613,下面我们复现一下漏洞。 首先分析一下源码: index.php 关于target的部分 $target_blacklist = array ( 'imp..
wireshark的使用
m0_55185160的博客
08-12 3591
1.Wireshark是什么? Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 2.Wireshark基本使用方法 Wireshark的基本使用分为数据包筛选、数据包搜索、数据包还原、数据提取四个部分。 3.数据包筛选 Wireshark的数据包筛选功能是wireshark的核心功能,比如需要筛选出特定...
[CISCN2019 华东南赛区]Web11 wp
m0_55185160的博客
03-25 3075
打开题目看到X-Forwarded-For,便想到利用burpsuite,修改X-Forwarded-For 看到确实有回显,还可以看到Build With Smarty !这时想到在学flask ssti中学习到ssti中也有smarty的ssti。 发现在current ip:56说明存在ssti,在利用7{*comment*}7测试一下是否是smarty 然后就可以利用smarty的ssti方式进行命令执行了 payload:{if system('cat /flag')}{/..
Ms08067漏洞复现wp
m0_55185160的博客
11-18 3031
一.实验前准备 1.在虚拟机上搭建好kail 2.在虚拟机上搭建一台Windows xp sp3 英文版 二.实验步骤 1.查看两台虚拟机的ip并记录kail:192.168.208.128 xp:192.168.208.133 2.查看两台虚拟机之间是否联通,并关闭xp的防火墙以及自动更新功能 3.在kali终端中开启msfconsole。 4.输入命令search ms08_067,会显示出我们要的渗透模块 5.输入命令 use exploit/windows/smb/ms.
[SWPU2019]Web1wp
m0_55185160的博客
04-17 2682
我们用sql的惯用姿势1’ or 1=1#去试显示登录失败,也不是get方式传参,还有下面的注册,觉得这里不存在sql注入,注册后发现用户名叫admin已经被注册过了,也发现这里应该不存在注入,随便注册一个账号,登录看这个网站有什么功能。 发现可能在广告申请处有可能存在sql注入, 这里存在waf,于是fuzz测试一下,但是在测试时发现广告申请条数存在限制,必须要清空广告申请列表才可以写下一个申请,所以只能手动测试 我们发现有or # and --+被过滤了 我们发现..
ctfhub 全部WP
09-22
引用:MIME((Multipurpose Internet Mail ...由于ctfhub是一个综合性的CTF平台,涵盖了大量的题目和解题思路,每个题目的WP都有着不同的内容和解法。如果您对特定的题目或解题方法感兴趣,我可以为您提供更多信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值