第五十二题——[0CTF 2016]piapiapia

最新推荐文章于 2022-09-25 18:08:42 发布
最新推荐文章于 2022-09-25 18:08:42 发布
阅读量202 收藏
点赞数
分类专栏: CTF-WEB 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37589805/article/details/116262454
版权

题目地址:https://buuoj.cn/challenges

解题思路

第一步:进入题目,一个登陆页面,输入语句1'or 1=1#之后报错,尝试注册登录

第二步:了解网页业务流程

  1. 由于没有注册页面,在URL访问register.php进入到注册页面
  2. 注册后给一个超链接让我们去登陆
  3. 登陆后跳转到update页面,让我们输入手机号,邮箱,nikename以及上传一张照片
  4. 上传后给出一个提示,让我们访问profile页面,profile页面展示update输入的信息

第三步:代码审计

  1. 使用dirsearch扫描到www.zip目录,下载下来发现有class,config,index,profile,register,update

  2. 在class.php里面发现需要使用mysql操作

  3. 在config.php里面发现flag字段,但是为空,猜想因该是在mysql里面去查
    在这里插入图片描述

  4. 在profile里面发现photo字段执行了file_get_contents操作,猜想从数据库查了后将flag存放在config,在使用photo获取config.php得到flag
    在这里插入图片描述

  5. 在update里面发现photo就是在上传页面上选择的文件名,并引入了class.php执行函数update_profile,update_profile函数在class.php中执行filter函数,将’select’, ‘insert’, ‘update’, ‘delete’, 'where’字段变成hacker

  6. 可以看到在执行update_profile函数前,还将profile这个类进行了序列化。
    在这里插入图片描述

第四步:构建漏洞

  1. 在第三步得出要让profile这个类的photo值为config.php,而photo的值我们无法指定,但是可以通过序列化之后的过滤函数让photo指向config
  2. 由于filter函数将’select’, ‘insert’, ‘update’, ‘delete’, 'where’字段变成hacker,出了where是五个字符,其他都是与hacker一样是6个字符,由此,可以得出序列化漏洞
  3. 由于profile.php中使用了反序列化,反序列化会按照序列化给的字符串长度读取键名与值,在经过filter函数是where值会变成hacker增加一个字符,导致序列化读取时出错
  4. 原本的序列化是:O:4:"Test":4:{s:5:"phone";i:12345;s:5:"email";s:12:"12345@qq.com";s:8:"nikename";i:123;s:5:"photo";s:4:"xxxx";},而我们想要的是:O:4:"Test":4:{s:5:"phone";i:12345;s:5:"email";s:12:"12345@qq.com";s:8:"nikename";i:123;s:5:"photo";s:10:"config.php";}需要将photo后的值修改,在nikename后面的值输入wherewheres:5:“photo”;s:10:“config.php”;},构成闭合,由于要添加s:5:"photo";s:10:"config.php";}32个字符需要输入33个where,但是update对nikename的长度进行了限制
    在这里插入图片描述
  5. 我们可以让nike变成数组来让过此限制,因为正则在处理数组是返回flase,false>10也会变成false从而绕过
  6. 由于输入了数组,而数组在序列化时增加了一个},所以nikename里面的是";}s:5:“photo”;s:10:“config.php”;}34个字符

第五步:获取flag

  1. 在update使用burpsuite抓包后修改流量包
    在这里插入图片描述

  2. 提交后给出profile超链接
    在这里插入图片描述

  3. 点击后,在img标签中发现base64编码
    在这里插入图片描述

  4. 解码后得到flag
    在这里插入图片描述

想学习安全的小白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6488
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
BUU记录-[0CTF 2016]piapiapia
we_bear的博客
04-16 679
​​​​​​1.扫描后台发现源码和一个注册界面 2.先大概看一下代码 先看class.php <?php require('config.php'); class user extends mysql{ private $table = 'users'; public function is_exists($username) { $username = paren...
BUUCTF:[0CTF 2016]piapiapia
qq_46230755的博客
12-26 514
目页面是一个登录页面。拿到目第一步当然考虑一下有没有注入。当然经过几次测试答案是没有的。 利用工具扫一下是否存在其他的页面 果然扫到了一个www.zip 我们尝试一下进入注册的页面 注册一个admin 123456 进去里面看看,发现可以传东西,考虑是不是文件上传漏洞(事实证明没有) 随便传个东西,发现会跳转到另一个页面 回到一开始拿到的源码,发现config.php文件里存在flag,但是不可读 config(): <?php $config['hostname'] = '1.
NO.2-23 [0CTF 2016]piapiapia
nigo134的博客
08-03 135
平台:buuoj.cn 打开靶机如下: 弱密码,sql乱试一波没反应,注册个账号进去之后让我们更新信息 提交跳转到profile.php扫 一下网站目录。(我们在做扫目录的时候经常会遇见429的情况,这时候就需要调整一下扫描参数,比如dirsearch添加个延时参数,这样就大大提高了扫描效率) 最后结果如下: 还是有好多没扫出来(逃) 有个www.zip源码泄露,下载下来解压如下: 在config.php里看见了flag,但不可读 profile.php里有反序列化 后面我们看到了$photo变量
审计练习5——[0CTF 2016]piapiapia
qq_43756333的博客
05-29 2092
平台:buuctf.cn 打开靶机源码如下: <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR']; } if(!isset($_GET['host'])) { highlight_file(__FILE__); } else { $host = $_GET['host']; $host = esc
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 720
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
[0CTF 2016]piapiapia
m0_63253040的博客
09-25 1053
这里因为s:31:"";s:10:"config.php",要取31位会把config.php当做值,所以我们要在前面加上31个where使其被过滤替换成hacker多一个字符以满足这31个字符。但是正常情况下是不能让photo的值是config.php的,所以我们利用nickname去构造一个config.php出来,但是因为nickname只要匹配到a-zA-Z0-9_就会die,所以这里需要用数组绕过。}s:5:"好像没有和最前方的"对齐,经最终测试,是不影响的。
CTF真-Dest0g3CTF2022招新赛
06-01
CTF真-Dest0g3CTF2022招新赛,来自BUUCTF。
网络安全选择库 ctf 63w字
最新发布
07-19
网络安全选择库,全文共63w字,文件内容较多,打开可能会慢一些,等待即可,全文包括较多网络安全知识,对ctf比赛中的选择进行了部分汇总和整理
CTF理论考核及答案 ctf
02-21
CTF理论考核及答案 ctf库 1.readme.txt中哪一部分是扩展名 A、readme B、readme. C、.txt D、me.txt 参考答案:C 2.关于html语言,描述错误的有 A、html语言不区分大小写 B、浏览器可以直接解释执行html代码 C...
ctf php sql注入,CTFshow-WEB入门-SQL注入(下)(持续更新)
weixin_35519039的博客
04-01 448
web227按照上一的方法,发现查不出flag表了,把ctfshow_user表给爆了一下也没flag,然后写一句话马,蚁剑连上去还是找不到flag,人傻了。。。看了一下y4师傅的WP,原来这考的是存储过程:存储过程(Stored Procedure)是一种在数据库中存储复杂程序,以便外部程序调用的一种数据库对象。存储过程是为了完成特定功能的SQL语句集,经编译创建并保存在数据库中,用户可通过...
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4228
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
第1-63总结:URL提交参数获取flag篇
分享简单的安全技术
05-10 3782
第一种:使用目录穿越方法,提交参数时输入:xxxx?/…/…/…/…/flag,利用?/将xxx文件失效,解析到flag所在文档,eg:第一 第二种:使用filter协议读取文件,语句:php://filter/read=convert.base64-encode/resource=flag.php 第三种:执行ping命令时,使用|或;执行除ping命令外我们想要执行的命令 空格替换:采用$IPS$1代替空格 关键字替换,cat /flag=a=g;cat$IFS$1fla$a 第四种:利用空格绕过WA
第五十八——[极客大挑战 2019]FinalSQL
分享简单的安全技术
05-08 782
目地址:https://buuoj.cn/challenges 解思路 第一步:进入目,看到sql测试框,以及1,2,3,4,5超链接 第二步:测试漏洞点 点击1超链接后出现NO! Not this! Click others~~~字样,在URL地址栏添加^2后发现注入点 第三步:获取flag 由于^一般适用于盲注猜测ASCII码值,所以这里使用盲注获取flag 手动测试回显字样:输入http://d9cc6ff9-ac2f-4193-985d-dce132ad08bd.node3.buuoj.
第六十一——[MRCTF2020]Ezpop
分享简单的安全技术
05-08 688
目地址:https://buuoj.cn/challenges 解思路 第一步:进入目,显示出源码 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack
第五十四——[WUSTCTF2020]朴实无华
分享简单的安全技术
04-29 675
目地址:https://buuoj.cn/challenges 解思路 第一步:进入目,访问/robots.txt文件看到提示/fAke_f1agggg.php 第二步:访问/fAke_f1agggg.php,看到提示:/fl4g.php 第三步:访问/fl4g.php看到源码 <?php header('Content-type:text/html;charset=utf-8'); error_reporting(0); highlight_file(__file__); //level
第四十二——[安洵杯 2019]easy_web
分享简单的安全技术
04-26 642
目地址:https://buuoj.cn/challenges 解思路 第一步:进入目,没有任何提示,但是看到URL中的img参数有点问 第二步:将img参数进行解密 先对其使用base64解密得到:MzUzNTM1MmU3MDZlNjc=,看着还有点像base64 再对其进行base64解密,得到:3535352e706e67,看着像hex编码 使用hex对其解码得到:555.png 按f12发现img标签后面的元素有一场,对其base64解码得到乱码,从乱码中猜测这个可能是555.png的内
第一——[HCTF 2018]WarmUp
分享简单的安全技术
03-31 581
目地址:https://buuoj.cn/challenges 解思路 第一步:进入目,迎面而来的是一张滑稽图片,按f12查看,发现提示:source.php 第二步:在URL一栏输入访问提示给出的php页面 http://c0717382-8c47-4aa3-b308-1972e1173f7a.node3.buuoj.cn/source.php 第三步:查看source.php页面给出的提示 <?php highlight_file(__FILE__); class emm
"63w字网络安全选择库:CTF比赛汇总整理
本网络安全选择库共计63万字,内容涵盖了大量关于网络安全知识,专门针对ctf比赛中的选择进行了整理和汇总。其中包括了一系列问,如第38中若漏洞威胁描述为“低影响度,中等严重度”,则该漏洞威胁等级为A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值