BUU刷题记录-[0CTF 2016]piapiapia
1.扫描后台发现源码和一个注册界面
2.先大概看一下代码
先看class.php
<?php
require('config.php');class user extends mysql{private $table = 'users';public function is_exists($username) {$username = parent::filter($username);$where = "username = '$username'";return parent::select($this->table, $where);}public function register($username, $password) {$username = parent::filter($username);$password = parent::filter($password);$key_list = Array('username', 'password');$value_list = Array($username, md5($password));return parent::insert($this->table, $key_list, $value_list);}public function login($username, $password) {$username = parent::filter($username);$password = parent::filter($password);$where = "username = '$username'";$object = parent::select($this->table, $where);if ($object && $object->password === md5($password)) {return true;} else {return false;}}public function show_profile($username) {$username = parent::filter($username);$where = "username = '$username'";$object = parent::select($this->table, $where);return $object->profile; //返回查询数据中的profile}public function update_profile($username, $new_profile) {$username = parent::filter($username);$new_profile = parent::filter($new_profile);$where = "username = '$username'";return parent::update($this->table, 'profile', $new_profile, $where);}public function __tostring() {return __class__;}
}class mysql {private $link = null;public function connect($config) {$this->link = mysql_connect($config['hostname'],$config['username'], $config['password']);mysql_select_db($config['database']);mysql_query("SET sql_mode='strict_all_tables'");return $this->link;}public function select($table, $where, $ret = '*') {$sql = "SELECT $ret FROM $table WHERE $where";$result = mysql_query($sql, $this->link);return mysql_fetch_object($result);}public function insert($table, $key_list, $value_list) {$key = implode(',', $key_list);$value = '\'' . implode('\',\'', $value_list) . '\''; $sql = "INSERT INTO $table ($key) VALUES ($value)";return mysql_query($sql);}public function update($table, $key, $value, $where) {$sql = "UPDATE $table SET $key = '$value' WHERE $where";return mysql_query($sql);}public function filter($string) {$escape = array('\'', '\\\\');$escape = '/' . implode('|', $escape) . '/';$string = preg_replace($escape, '_', $string);$safe = array('select', 'insert', 'update', 'delete', 'where');$safe = '/' . implode('|', $safe) . '/i';return preg_replace($safe, 'hacker', $string);}public function __tostring() {return __class__;}
}
session_start();
$user = new user();
$user->connect($config);
这里是整个后台的核心代码。user类对用户发送的数据进行处理。sql类用于与数据库的交互并对传入的数据进行了判断和过滤。这里大致了解功能就可,先不必细看。
config.php。可以看到flag在这里面
<?php$config['hostname'] = '127.0.0.1';$config['username'] = 'root';$config['password'] = '';$config['database'] = '';$flag = '';
?>
index.php和register.php里面没有什么有价值的内容,暂且跳过。
看profile.php。这里有几个点需要注意一下,第一点是对$profile进行了一个反序列化。第二点fie_get_contents读取$profile['photo']里面的内容并通过base64编码展示在前端页面。结合config.php里面的flag。猜测可不可以把config.php放进$profile['phpto']。
<?phprequire_once('class.php');if($_SESSION['username'] == null) {die('Login First'); }$username = $_SESSION['username'];$profile=$user->show_profile($username);if($profile == null) {header('Location: update.php');}else {$profile = unserialize($profile);//反序列化对象数组$phone = $profile['phone'];$email = $profile['email'];$nickname = $profile['nickname'];$photo = base64_encode(file_get_contents($profile['photo']));
?>最后一个upload.php。处理上传后的文件。这里对传出来的phone,email,nickname都做了限制,前面两个都是返回flase则退出脚本,不好操作。注意最后一个。这里的判断规则和前面两个不一样。当匹配结果返回true的时候终止脚本,细看一下。要求nickname的内容不能是非数字字母并且长度不能大于10。这里就有操作的余地了。php大多数函数都不能处理数组。这里可以传入nickname[]=xxx绕过长度限制。接下来的就是把传入的文件名进行md5加密后保存,这里进行了md5加密。所以文件名并不可控,没办法传木马。最后$profile['photo']保存上传的文件路径。
<?phprequire_once('class.php');if($_SESSION['username'] == null) {die('Login First'); }if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {$username = $_SESSION['username'];if(!preg_match('/^\d{11}$/', $_POST['phone']))die('Invalid phone');if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))die('Invalid email');if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)die('Invalid nickname');$file = $_FILES['photo'];if($file['size'] < 5 or $file['size'] > 1000000)die('Photo size error');move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));$profile['phone'] = $_POST['phone'];$profile['email'] = $_POST['email'];$profile['nickname'] = $_POST['nickname'];$profile['photo'] = 'upload/' . md5($file['name']);$user->update_profile($username, serialize($profile));echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';}else {
?>3.现在可以大致理一下了。
①通过config.php读取flag
②updata.php保存上传的文件并将用户信息序列化后插入(更新)数据库。
③profile.php从读取信息进行反序列化。并将上传图片的内容base64编码后展示在前端。
④目前看出来的可操作的地方只有nickname。还要想办法把config.php放进$profile['photo']中。这里看到$profile['photo']是在$profile['name']后面的,并且$profile会被序列以及反序列化。因为$profile['photo']的内容是会被显示出来的,所以考点很明显了。
利用nickname进行反序列化字符逃逸。
现在本地测试一下生成的代码的序列化形式。这里我们要将photo的值改为config.php
a:4:{s:5:"phone";s:10:"1234567891";s:5:"email";s:16:"123456789@qq.com";s:8:"nickname";a:1:{i:0;s:3:"123";}s:5:"photo";s:10:"config.php";}
截取";}s:5:"photo";s:10:"config.php";} 将前面的闭合 此时payload长度为33。现在要去filter函数找一下过滤的字符串。可以发现只能当输入where被替换为hacker时,字符长度会加1。此时输入33个where,会被替换成33个hacker。替换以后序列化标记内容的长度不变,但实际长度会膨胀,多出33位。这33位刚好占据";s:5:"photo";s:10:"config.php";}的位置。此时;}s:5:"photo";s:10:"config.php";}就逃逸出来,形成新的序列化对象
public function filter($string) {$escape = array('\'', '\\\\');$escape = '/' . implode('|', $escape) . '/';$string = preg_replace($escape, '_', $string);$safe = array('select', 'insert', 'update', 'delete', 'where');$safe = '/' . implode('|', $safe) . '/i';return preg_replace($safe, 'hacker', $string);}public function __tostring() {return __class__;}构造payload 。最后在源码中base64解码即可得到flag
PS:这题还是做了挺久的,一开始看到登录界面以为是sql注入。扫到注册界面的时候,还试过文件上传和XSS。审计的时候才发现是序列化的问题。也是第一次遇到反序列化字符逃逸,学到了。
做的时候参考了两位师傅的博客, 觉得写得很好。
https://www.jianshu.com/p/3b44e72444c1
https://www.cnblogs.com/litlife/p/11690918.html
BUU刷题记录-[0CTF 2016]piapiapia相关推荐
- BUU刷题记录——Misc(一)
文章目录 前言: 1.九连环 2.面具下的flag 3.刷新过的图片 4.snake 5.[BJDCTF 2nd]圣火昭昭 前言: 最近学习之余在BUU上刷了几道misc题,有一些没接触过的知识,挺有 ...
- BUU刷题记录——5
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' uni ...
- [BUU刷题记录]day01-起步
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io contain ...
- BUU刷题记录(四)
以下几题的ciscn是我先抽出来做的,因为不久就是ciscn,所以看看之前的题目,先不按顺序 十七.ciscn_2019_n_3 照例checksec一下 开启了nx和canary,relro只开启部 ...
- BUU刷题记录——6
[De1CTF 2019]Giftbox De1CTF Web WriteUp – 赵 login命令处盲注获取登录密码 登陆后其他可用命令 targeting code position => ...
- 2021-5-5 buu刷题记录
生活所迫,从头捡回来 第一题: CTF-BUUCTF-[HCTF 2018]WarmUp php代码审计题 四个if判断 只有最后一个走得通,就是把第二个?进行2次url加密 然后得到%253f 然后 ...
- buu刷题记录 [PWNHUB 公开赛 2018]傻 fufu 的工作日
[PWNHUB 公开赛 2018]傻 fufu 的工作日 [PWNHUB 公开赛 2018]傻 fufu 的工作日(上传差异绕过) | (guokeya.github.io) /index.php.b ...
- BUU WEB刷题记录1(持续更新)
[MRCTF2020]你传你马呢 打开得到一张晦气的图片和文件上传点 尝试直接上传PHP文件失败(意料之中),随便上传了一张png图片,发现可以,将png文件内容改写成一句话木马<?php @e ...
- BUU [0CTF 2016]piapiapia
BUU [0CTF 2016]piapiapia 进去之后是个登录界面,抓包有一个cookie.感觉是十六进制,但是其实不是这样做,是应该扫描的. buu什么都扫不出来,直接看源码. /registe ...
- BUUCTF刷题记录(2)
文章目录 web [De1CTF 2019]SSRF Me(未完成) [极客大挑战 2019]PHP [极客大挑战 2019]Knife [极客大挑战 2019]LoveSQL [RoarCTF 20 ...
最新文章
- [数位dp] spoj 10738 Ra-One Numbers
- Spring Boot+JWT+Shiro+MyBatisPlus实现Restful快速开发后端脚手架
- JavaScript是如何工作的:与WebAssembly比较及其使用场景
- springboot 得到端口_带你入门SpringBoot
- 12.文件系统——磁盘管理之RAID概述
- 中国馆智能视频监控系统
- Oracle软件结构
- aop-xml-环绕增强
- Python介绍与特点(自学python知识整理)
- ES6-11 Symbol、iterator、forOf、typeArray
- JSF请求处理过程(二)请求处理过程总览(FacesServlet#service)
- navmesh思路的A*寻路算法优化
- windows 无法停止ics_x64仿真功能加入 ARM版Windows即将获得大量的应用程序
- python request发送用户名密码_Python3 利用requests 库进行post携带账号密码请求数据的方法...
- 计算机录入技术五笔输入法教案,五笔打字教案
- 面试专题-电商项目面试篇
- Tableau-热力图
- 高级密码学复习1-HUST版
- 微信小程序-跳转url页面
- 企业微信报错,提示无权限访问