审计练习5——[0CTF 2016]piapiapia

最新推荐文章于 2021-12-27 17:47:48 发布
最新推荐文章于 2021-12-27 17:47:48 发布
阅读量2k 收藏 4
点赞数 3
分类专栏: 代码审计 文章标签: php 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/106420509
版权

平台:buuoj.cn
打开靶机如下:
在这里插入图片描述
弱密码,sql乱试一波没反应,注册个账号进去之后让我们更新信息
在这里插入图片描述
提交跳转到profile.php
在这里插入图片描述扫一下网站目录。(我们在做题扫目录的时候经常会遇见429的情况,这时候就需要调整一下扫描参数,比如dirsearch添加个延时参数,这样就大大提高了扫描效率)

最后结果如下:
在这里插入图片描述
还是有好多没扫出来(逃)
有个www.zip源码泄露,下载下来解压如下:
在这里插入图片描述
在config.php里看见了flag,但不可读
在这里插入图片描述
profile.php里有反序列化
在这里插入图片描述
后面我们看到了$photo变量有经过file_get_contents处理,这里出现了利用点,如果我们把$profile[‘photo’]替换为config.php,那么我们就能读取config.php里的flag
在源码里整理一下逻辑结构
register->login->update->profile
登录和注册不看,从update开始在这里插入图片描述对各个参数进行一些过滤,然后序列化$profile,跟进update_profile
在这里插入图片描述
跟进过滤
在这里插入图片描述
这里正则把一些操纵函数替换成hacker

分析

前面已经知道,我们的目的是要读取config.php从而得到flag,读取config.php需要替换$profile[‘photo’],也就是要让config,php成为序列化的一部分,可以利用的是反序列化字符串逃逸

在后端中,反序列化是以";}结束的,因此如果我们把";}带入需要反序列化的字符串中(除了结尾处),就能让反序列化提前结束而后面的内容就会被丢弃


在这里插入图片描述
可以得知他序列化后的字符串应为:

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

在这里插入图片描述
把config.php从nickname塞进去就变成了

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:10:"config.php";}s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

在这里插入图片描述
虽然给他反序列化之后结果photo的部分是config,php,但这样是读不到config.php的,因为更新profile的时候根本没地方插进去,因此就需要从nickname入手把这些数据悄悄带进去
首先解决nickname的长度限制问题
在这里插入图片描述
直接将nickname变成数组就可突破限制

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";a:1:{i:0;s:3:"123";}s:5:"photo";s:10:"config.php";}s:39:"upload/07cc694b9b3fc636710fa08b6922c42b";}

在这里插入图片描述
现在我们考虑怎么让";}s:5:“photo”;s:10:“config.php”;}这34个字符逃逸出来
前面提到Fliter会将where一类的函数替换成hacker,也就是说where在被正则替换后,其本身的长度会加1,如果我们构造34个where

34*5 = 170	170+34个字符=204=len(''hacker")*34

那么在传入后端之后hacker的长度就会将我们目标逃逸字符挤掉
过程如下

传入:
s:8:"nickname";a:1:{i:0;s:204:"34*where";}s:5:"photo";s:10:"config.php";}

此时34*where";}s:5:"photo";s:10:"config.php";}都作为nickname存在

正则替换:
s:8:"nickname";a:1:{i:0;s:204:"34*hacker";}s:5:"photo";s:10:"config.php";}

因为s只有204个字符,所以读取第34个hacker之后就停止,34个字符";}s:5:"photo";s:10:"config.php";}不再包含在nickname内

既然从nickname逃逸出,"};将前面的nickname数组闭合之后,剩下的s:5:"photo";s:10:"config.php";}就会被当作photo的部分了,至于后面的upload,由于被后面";}结束反序列化,也就被丢弃,这样就实现了config.php的读取

解题

登陆注册之后用burp抓个包将nickname改为数组,构造内容
在这里插入图片描述
访问profile后在源码里发现base字符串
在这里插入图片描述
解码即得flag
在这里插入图片描述

hui________
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[0CTF 2016]piapiapia(字符逃逸详解)
记录学习,一起进步
02-01 842
[0CTF 2016]piapiapia
[0CTF 2016]piapiapia
最新发布
zzqzzq11的博客
12-05 945
整理一下流程:我们只需要传入参数,到nickname时,用数组来绕过,并且加入多个where,这时候序列化后的nickname会很长,其对应的长度也很长,然而我们的where会被过滤替换成hacker,这时候5个字符变成了6个字符。我们发现nickname在photo的前面,因此我们如果能将nickname对应的值进行修改,就能构造一个s:n:"xxx"出来,从而直接访问。PHP反序列化中读取字符的多少,是由表示长度的数字控制的,而且如果整个字符串的前一部分成功反序列化,
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3108
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
BUUCTF-WEB 【0CTF 2016piapiapia 1
qq_36410265的博客
12-27 1870
BUUCTF-WEB 【0CTF 2016piapiapia 1
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
0ctf_2016_warmup
05-17
20160ctf的pwn题。
[0CTF 2016]piapiapia总结(PHP序列化长度变化导致尾部字符逃逸)
qq_44657899的博客
04-30 1546
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。 一,信息收集 拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。 试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。 发现有www.zip源码泄露。 二,分析源码 对于代码审...
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1251
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
ctf piapiapia(反序列化逃逸)解题记录
rt555016的博客
07-28 960
ctf piapiapia(反序列化逃逸)解题记录 前言 出现漏洞的两个重要因素是:1、敏感函数,2、可控参数。 打开url是一个登录界面,而且只有一个登录按钮。由于看到了登录界面而且没有验证码所以第一个想法是尝试弱口令登录,显然不成功,所以在这里来走了弯路。该题首先是需要通过目录扫描得到源码压缩包、注册账户的地址,得到源码后进行代码审计,发现蛛丝马迹,最终通过构造修改用户名的字符串利用反序列化逃逸得到在config.php中的flag 一、使用dirserch目录扫描工具对目标进行目录扫描
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6939
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6473
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
NO.2-23 [0CTF 2016]piapiapia
nigo134的博客
08-03 133
平台:buuoj.cn 打开靶机如下: 弱密码,sql乱试一波没反应,注册个账号进去之后让我们更新信息 提交跳转到profile.php扫 一下网站目录。(我们在做题扫目录的时候经常会遇见429的情况,这时候就需要调整一下扫描参数,比如dirsearch添加个延时参数,这样就大大提高了扫描效率) 最后结果如下: 还是有好多没扫出来(逃) 有个www.zip源码泄露,下载下来解压如下: 在config.php里看见了flag,但不可读 profile.php里有反序列化 后面我们看到了$photo变量
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4166
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
ctf 代码审计题目
10-21
其中,代码审计题目是CTF比赛中的一种常见类型,要求参赛者对给定的代码进行分析和审计,找出其中的漏洞并进行利用,最终获取flag(标志性字符串)。 在代码审计题目中,参赛者需要对给定的代码进行仔细的分析,找...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值