2019强网杯upload

最新推荐文章于 2024-07-22 19:41:37 发布
最新推荐文章于 2024-07-22 19:41:37 发布
阅读量760 收藏 6
点赞数
分类专栏: WEB 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61448651/article/details/125909867
版权

2019强网杯upload

写在前面的话:这题,搁着叠buff呢?

文件上传+反序列化

打开页面是熟悉的注册登录页面

注册再登录进去,给了个文件上传的口,上传个图片马,查看路径

在这里插入图片描述

一般这种都会有个源码泄露,有时候和SQL挂钩,有时候是反序列化

dirsearch扫目录

kali的dirsearch安装在另一篇笔记里有详细说明,这里就不再赘述。

在dirsearch目录下打开终端输入

python3 dirsearch -u URL -e* -t 20 -x 301,403,429,404,500,501
说明:
-e*  扫描网站所有脚本类型
-t 20 设置扫描的线程是20
-x 301,403,429,404,500,501 排除指定的网站状态码,用逗号隔开
一般有后台源码泄露的状态码是200

在根目录下扫出了www.tar.gz

下载(文件还挺大)

在这里插入图片描述

thinkphp框架

用vscode打开,tp5下,还存在.idea目录

.idea存放项目的配置信息,包括历史记录,版本控制信息等的一个目录

发现是thinkphp框架,一般核心文件在

application->web->controller

这里有四个php文件

在这里插入图片描述

在这里插入图片描述

反序列化

这里看到user的cookie进行了一个反序列化的操作。

首先访问大部分页面都会调用login_check的方法,先将传入的用户 Profile 反序列化,而后到数据库中检查相关信息是否一致。

Register.php里析构函数里如果注册就直接调用index(),也就是跳到主页。

在这里插入图片描述

在这里插入图片描述

Profile.php里有 _call _get 两个魔术方法,分别书写了在调用不可调用方法和不可调用成员变量时怎么做。_get 会直接从 except 里找,_call 会调用自身的 name 成员变量所指代的变量所指代的方法。

这两个魔术方法可以利用。

在这里插入图片描述

我是直接上传的png图片没有什么影响,如果上传其他类型的图片马会进行处理,强行把后缀名改成png。

在这里插入图片描述

我们的思路是,利用filename_tmp和filename把图片马解析为php文件,怎么才能解析呢,cookie不是可以反序列化嘛,可以把构造完的exp序列化编码后的传入cookie,再访问png文件就可以变成php文件了,再用蚁剑连。具体怎么构造呢,可以进入下面的逻辑,里面既有filename、filename_tmp,还能利用img

在这里插入图片描述

但是需要绕过上面两个判断,只要不赋值,不上传变量就行。

在这里插入图片描述

利用_get _call:except里['index'=>'img'](数组)实现一调用index变量就转到img变量,要利用img所在的逻辑只要ext存在就行,因为下面会调用update_img(),所以让img变量等于upload_img()函数,触发_call,正好是这三个逻辑所在的函数,成功顺理成章地调用了。

在这里插入图片描述

在这里插入图片描述

那如何调用index变量,让registed=false也就是registed不存在就可以进入析构函数所在的逻辑。

在这里插入图片描述

到这里基本就

最低0.47元/天 解锁文章
Hu'Ting
关注
专栏目录
[强网杯 2019]Upload
qq_61988806的博客
12-17 351
这里except的参数可控我们让他成为键值的方式,最总我们要构造成upload_img方法,键为传入的index值为upload_img那返回给call就是this->upload_img(),进入upload_img方法后我们要设置checker的值为0,当值为0经过if($this->checker)时不进行判断然后设置ext为1进行复制文件的操作。这里我们可以把checker的值设置new Profile那就会变成调用Profile类中的index方法。魔术方法就这几个,继续分析寻找可以利用的漏洞。
强网杯-upload1
08-08
强网杯强网先锋upload题,题目附件是data.pcapng文件直接打开(如果有wireshark软件)通过观察,发现有两个有用的数据包第一个是No. 2打开
反序列化(强网杯2019UPLOAD
kid的博客
05-29 6092
反序列化(强网杯2019UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
[BUUCTF][强网杯 2019]Upload
cosmoslin的博客
01-22 2006
考点 代码审计 反序列化 解题 信息搜集 首先打开是一个登录框,尝试sql无果 注册登录,发现一个文件上传页面 先试试文件上传,会将jpg文件转换为png,文件名随机生成 dirsearch扫一下目录,有备份文件www.tar.gz 解压后是一个tp5的框架 代码审计 打开文件后有两个断点 application/web/controller/Index.php 在访问大部分页面时都会调用到login_check方法,该方法将传入的用户信息反序列化,再到数据库中进行检查 application/web
[强网杯 2019]Upload wp
qq_41891666的博客
07-16 1623
0x00 前言 本来是在刷 文件上传的题,然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题,看了看wp 后,觉得很有意思,值得记录一下 0x01 题解 1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容 2.dirmap 扫目录,扫到源码,/www.tar.gz 下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出题人故意留的提示 3.审计源码 先看两个断点处: login_check() 函数
qwb_2019_upload-强网杯
最新发布
11-04
强网杯 强网杯 强网杯 强网杯 强网杯
强网杯 2019 Upload(代码审计、反序列化、thinkphp5,附代码审计详解)
2301_76690905的博客
11-12 322
首先看到登录和注册页面,爆破了一下admin登录界面无事发生,注册后登录看见一个上传头像的上传点(不知道是不是容器原因,上传完第一次后上传不了第二次一直显示连接不上),扫了下目录扫出一些文件,其中有用的是www.tar.gz打开压缩包能看见是th5,查看查看看到其定义的路由都指向了这个模块,该模块下共有四个控制器(四个文件的审计在最后)关键的点在于:Index.php中的login_check()中,有一处使用了反序列化,并且没有进行任何过滤寻找别的魔术方法Register.php中:Profile.php
CTF-Web习题:2019强网杯 UPLOAD
LJW123487的博客
07-22 1267
本题涉及知识点:代码审计、文件上传漏洞、反序列化漏洞
[强网杯 2019]Upload 反序列化结合文件上传
scrawman的博客
12-05 1268
[强网杯 2019]Upload www.tar.gz发现源码,文件还有点大,是把整个工程文件都上传了。 用phpstrom打开的话会有断点提示,一处是在Register.php,另一处是在Index.php,是在提示我们用cookie传序列化字符串。 重点在Profile.php,毕竟文件上传都是在这里控制的,看到两个魔术方法__call和__get。调用本类中没有的方法触发__call,调用this->{$name},如果本类中也没有这个属性,调用__get。 再倒回去看index.php
BUUCTF:[强网杯 2019]Upload
末初的CSDN博客
03-27 3522
参考:https://www.zhaoj.in/read-5873.html 稍微测试了一下,不存在注入或者万能密码登录,先注册登录 先传一句话木马图片上去看看 上传的是一张jpg的图片,传上去之后被改后缀为png,而且可以看到路径和文件名都进行了重命名使用md5值 目录扫描出一个www.tar.gz在网站根目录,使用phpstorm打开,发现是ThinkPHP5框架 而且存在....
2019强网杯web upload分析
a3uRa的一个窝
06-01 1259
<?php namespace app\web\controller; use think\Controller; class Register extends Controller { public $checker; public $registed; public function __construct() { $this->...
[第四届-强网杯]:upload
Keepb1ue的博客
08-24 4357
下载附件,是一个解压后是一个数据包,wireshark打开分析,很明显,这是一个文件上传的数据包,分析数据包内容: 很明显,是一个文件上传的数据包。 接着看看他到底上传了什么数据: 很明显,是上传了一张steghide.jpg的图片 那我们可以尝试着在数据包中将图片还原出来在上传图片的数据包中。 指定上传流量的会话,显示和保存的数据改为原始数据,然后将其保存为:steghide.jpg 接着利用WinHex从保存的原始文件中将上传的图片还原出来。 将之前保存的steghide.bin用WinHex打
强网杯2019线上赛-web
wyj_1216 House
05-29 1540
web1 upload |Solved 通过信息搜集可以得到泄露的源码,然后进行代码审计,是一个tp5的框架,代码审计,直接到核心的应用类去审计 抓包发现如下问题 cookie 是base64 的序列化值 相应的还有反序列化的值 在register 里面发现了一个call函数 可以对变量赋值 上传的函数中发现copy函数 绕过ext 就能执行copy函数 把图片木马copy成webshell。 ...
[强网杯 2019]随便注
kuller_Yan的博客
05-18 290
[强网杯 2019]随便注 wp from Kuller_Yan 原理:堆叠注入原理 在SQL中,分号(;)是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句 后继续构造下一条语句,会不会一起执行?因此这个想法也就造就了堆叠注入。 而union injection(联合注入)也是将两条语句合并在一起,两者之间有什么区别么? 区别就在于union 或者union all执行的语句类型是有限的,可以用来执行查询语句, 而堆叠注入可以执行的是任意的语句。例如以下这个例子。 用户输入:1; D
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值