[0CTF 2016] piapiapia 题解

于 2021-01-27 15:08:10 发布
阅读量690 收藏 2
点赞数 1
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/113249182
版权

[0CTF 2016]piapiapia

考察 反序列化字符逃逸

扫目录可以扫到源码,www.zip

然后下载下来审计.
大致功能就是注册,修改信息.

而和数据库有关的操作都限制的很严格,基本不可能有注入.
在update_profile处使用preg_match进行过滤,数组绕过即可.
在这里插入图片描述

而下面profile数据是以序列化的格式存储进数据库的.
在这里插入图片描述

然后牢记反序列化数据+过滤函数可能会有奇妙的反应.

在update_profile处,题目是对这个传进去的序列化数据过滤过的.
在这里插入图片描述

然后过滤函数
在这里插入图片描述

会把匹配到的select等替换为hacker.

然后注意到where是五个字符的hacker是六个字符,会有字符减少的情况.所以这里存在反序列化字符逃逸,且属于字符变多的情况

参考 https://blog.csdn.net/weixin_45551083/article/details/111085944

这就意味着可以控制反序列化数据.然后注意到profile里面还有一个photo.可以利用photo读文件
在这里插入图片描述

然后又知道flag在config.php

预期payload

<?php
$profile['phone']=
最低0.47元/天 解锁文章
lonmar~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[0CTF 2016]piapiapia
沐目的博客
10-23 5586
0x00.感悟      写完这道题,我感觉到了扫源码的重要性。暑假复现的那些CVE,有的就是任意文件读取,有的是任意命令执行,这些应该都是通过代码审计,得到的漏洞。也就和我们的CTF差不多了。      但是我们扫目录,字典是个大问题,我目前还没有搞懂为什么有些文件,只能被一些特定的软件扫到。比如这道题,这个dirsearch,连www.zip这样的变态目录都能扫出来,为什么扫不出update....
[0CTF 2016]piapiapia(字符逃逸详解)
记录学习,一起进步
02-01 842
[0CTF 2016]piapiapia
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3108
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
[0CTF 2016]piapiapia总结(PHP序列化长度变化导致尾部字符逃逸)
qq_44657899的博客
04-30 1546
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。 一,信息收集 拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。 试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。 发现有www.zip源码泄露。 二,分析源码 对于代码审...
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6939
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
0CTF-2016-piapiapia这个挑战中,问题出在`profile.php`中的`unserialize()`函数。此函数用于将用户从数据库中获取的已序列化的`$profile`字符串反序列化为对象。如果这个字符串的长度可以被攻击者控制,攻击者...
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
20160ctf的pwn题。
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6473
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4166
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch要加延迟和调线程,不然...
[0CTF-2016] piapiapia
Logerrik的博客
05-11 425
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
2016 0CTF rsa
ACdream
05-18 1922
知识点:多素数,中国剩余定理,模三次剩余题目给了一个flag.enc,还有一个public.pem安装openssl可以读取到n和e,因为n不大,可以在yafu或者factordb.com上分解得到n = p * q * r根据flag.enc,可以得到密文m根据中国剩余定理,我们要求得m在p,q,r下的余数,不妨设为pmod,qmod,rmod然后根据模三次剩余,即:proot ^ 3 ≡ pm...
Rock csaw-ctf-2016-quals
qq_41071646的博客
05-17 615
这个题 我进了一些坑 我还以为那个题不对劲 然后 发现有几个误导的函数 我还都给分析了一遍。。。。 然后这个题就很简单了 主要逻辑就是这个 直接 写脚本就好了 #!/usr/bin/python3 # -*- coding:utf-8 -*- s="FLAG23456912365453475897834567" flag="" s_len=len(s) for i in ran...
BUU刷题之代码审计
夜幕下的灯火阑珊的博客
05-06 624
[极客大挑战 2019]PHP 题目提示备份文件, 使用webscan工具扫描一下备份文件 py -2 main.py -u http://88bf6495-760a-4a63-aec1-7d1a3a9d9d0c.node3.buuoj.cn/ 扫描得到www.zip文件 解压得到index.php文件和class.php <?php include 'class.php'; ...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
bugku ctf sqli-0x1题解
最新发布
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值