[0CTF 2016]piapiapia

已于 2022-03-15 14:04:48 修改
阅读量1.5k 收藏
点赞数
文章标签: php web安全 安全
于 2022-03-15 14:02:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51684648/article/details/123501169
版权

[0CTF 2016]piapiapia

代码审计经验不足,以下是我做题的流程:

1、

进入页面发现登录框,没有注册。先尝试了一下sql注入,发现行不通。

之前做过源码泄露的题,试了一下www.zip,就出源码了。

2、开始代码审计

在这里插入图片描述

在profile.php文件里发现了unserialize()和file_get_contents()两个函数,一个是反序列化的标识,一个是查看文件内容的危险函数,而如果我们把$profile[photo]改为config.php,就可以查看flag。

尝试往下追踪参数$profile是通过show_profile()函数传入的,在class.php中发现:

	public function show_profile($username) {
		$username = parent::filter($username);   //使用了父类中的filter方法

		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		return $object->profile;
	}

先查看fileter方法,是个过滤,根据过滤的方法,可以尝试反序列化字符串逃逸。select方法返回一个实例化对象:

	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

	public function select($table, $where, $ret = '*') {
		$sql = "SELECT $ret FROM $table WHERE $where";
		$result = mysql_query($sql, $this->link);
		return mysql_fetch_object($result);
	}

到了这一步,这部分利用已经没办法进行下去了。

接着尝试查一下serialize()方法,看看对象是在哪序列化的。

查到了update.php,发现这里用一堆正则过滤我们提交的参数

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {

这段跟其他的匹配不一样,还能用数组形式绕过,所以nickname就可以随意输入了。

		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

//这段是数据接收后的流程,在第二个参数奖$profile序列化了
	$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {

接着看一下update_profile()函数,传入的值都经过了过滤,

	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

根据上述内容,总结一下我们的流程:

先注册一个账号,然后会进入到update.php页面,抓包该nickname

这里注意一下,如果nickname是字符串的话后面跟上";s:5:"photo";s:10:"config.php"就可以,但现在nickname[]是数组,所以要多加一个}。

然后查看profile.php,查看源代码,解码图片,即可。
``
这里注意一下,如果nickname是字符串的话后面跟上";s:5:“photo”;s:10:"config.php"就可以,但现在nickname[]是数组,所以要多加一个}。


然后查看profile.php,查看源代码,解码图片,即可。
YI_an#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 700
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
[0CTF-2016] piapiapia
Logerrik的博客
05-11 415
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6906
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
ctf从0到1电子书
最新发布
12-14
CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值