[SWPUCTF 2018]SimplePHP

最新推荐文章于 2024-11-05 10:35:11 发布
原创 最新推荐文章于 2024-11-05 10:35:11 发布 · 831 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Web #CTF #phar反序列化

本文分析了SWPUCTF2018中的SimplePHP挑战,详细探讨了文件上传与读取机制,利用phar反序列化漏洞构造攻击链,最终获取flag。

[SWPUCTF 2018]SimplePHP

知识点:phar反序列化

文章目录

文件读取

注意观察url,可以进行文件读取

image-20220115081417078

读取的源码有base.php,class.php,file.php,function.php,index.php,upload_file.php

贴几个重要的文件分析一下

index.php调用了base.php,而base.php的对应了两个文件以及跳转,一个是upload_file.php,负责文件上传;另一个是file.php,负责文件读取

image-20220115081824503

文件上传分析

upload_file.php

<?php
//上传文件
include 'function.php';
upload_file();
?>

继续分析function.php,两个功能,一个是检查上传的文件的后缀名是否符合白名单,另一个功能是上传文件到./upload目录下

<?php
//show_source(__FILE__);
include "base.php";
header("Content-type: text/html;charset=utf-8");
error_reporting(0);
function upload_file_do() {
   
   
    global $_FILES;
    $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg";
    //mkdir("upload",0777);
    if(file_exists("upload/" . $filename)) {
   
   
        //unlink() 函数删除文件,成功则返回true
        unlink($filename);
    }
    //move_uploaded_file() 函数把上传的文件移动到新位置。成功返回true
    //移动临时文件到指定的地方
    move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename);
    echo '<script type="text/javascript">alert("上传成功!");</script>';
}
function upload_file() {
   
   
    //调用了上下两个函数
    global $_FILES;
    if(upload_file_check()) {
   
   
        upload_file_do();
    }
}
//说白了,检查上传的文件的后缀是否在白名单里面
function upload_file_check() {
   
   
    global $_FILES;
    //文件名后缀白名单
    $allowed_types = array("gif","jpeg","jpg","png");
    //explode() 函数使用一个字符串分割另一个字符串,并返回由字符串组成的数组。
    $temp = explode("."
最低0.47元/天 解锁文章
BUUCTF [SWPUCTF 2018]SimplePHP
weixin_45441024的博客
12-01 1442
BUUCTF [SWPUCTF 2018]SimplePHP 打开题目我们很明显的看到了上传文件的板块和查看文件的板块,选择这个上传文件,显示如图 我们再选择查看文件的板块,url如图所示 我们在’='后面输入我们想要查看的文件,发现直接就给打印出来了,之后我们根据这个查看了几个php文件,得到了如下内容: file.php: <?php header("content-type:text/html;charset=utf-8"); include 'function.php'; inc
[BUUCTF]-[SWPUCTF 2018]SimplePHP 超详细解析
最新发布
TMS18的博客
10-26 500
摘要:通过分析网站文件上传和查看功能,发现存在phar反序列化漏洞。上传文件被重命名为MD5哈希值保存在指定路径。利用file_exists()函数触发phar反序列化,构造恶意链:C1e4r类触发Show类,后者调用Test类获取flag文件内容。最终通过上传特制phar文件并访问phar://路径成功读取/var/www/html/f1ag.php中的flag。
CTF中的phar反序列化 [SWPU 2018]SimplePHP
weixin_73904941的博客
11-05 1532
file_exists和file_get_contents以及其他一些文件系统函数在通过phar://伪协议解析phar文件时,都会将其中的meta-data进行反序列化,即可不需要unserialize函数u也能完成反序列化操作 所以如果可以构造phar文件上传,然后查看文件时的参数file传入phar伪协议,就可以触发并执行反序列化,这就是本题的解题思路
[SWPUCTF 2018]SimplePHP 1
qq_51584770的博客
11-09 3498
打开题目,可以发现存在任意文件读取漏洞 通过在输入file参数,把源码下载下来 file.php <?php header("content-type:text/html;charset=utf-8"); include 'function.php'; include 'class.php'; ini_set('open_basedir','/var/www/html/'); $file = $_GET["file"] ? $_GET['file'] : ""; if(empty($f
[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目
Dream'
06-16 1178
题目就不贴了,直接给出利用链①:echo会触发__toString魔术方法,所以这里的$this->test应该是Show类实例化的对象show②:这里应该使$this->str['str']为Test类实例化后的对象test,然后test->source会触发__get魔术方法(因为Test类没有名为source的成员变量,所以会触发get魔术方法,并且$key=source)③④:调用get方法,$...
[SWPUCTF 2018]SimplePHP(phar反序列化)
paidx0
11-06 3331
首先看到是个文件上传,先看源码,源码里有个file.php?file= 可以读文件,简单的都看了一下,主要注意力放在 class.php 和 function.php function.php <?php //show_source(__FILE__); include "base.php"; header("Content-type: text/html;charset=utf-8"); error_reporting(0); function upload_file_do() { .
Linux文件操作
agoud44884的专栏
05-26 179
1)查看文件内容   more   filename   //通过敲回车方式逐行查看文件的内容,默认从第一行开始查看,不支持回看,q 退出查看   less   filename  //通过“上下左右”键查看文件的各个部分内容,支持回看,q退出   head -n filename  //查看文件的前n行内容   tail -n  filename  //查...
[SWPUCTF 2018]SimplePHP_wp
lzu_lfl的博客
11-11 433
pop链,phar反序列化
[SWPUCTF 2018]SimplePHP1
qq_34942239的博客
01-27 745
看一下参数,$value由params[$key]得到,$key由出发__get函数时传入,可以控制params和key使得$value=f1ag.php。file_get函数由get触发,get由__get触发,当指向类中不存在的变量时候可以出发__get魔法函数。有file_get_contents()是不是可以通过构造pop链,实现读取f1ag.php呢。有查看文件跟上传文件,查看文件里面显示没有文件url貌似可以文件读取。/etc/passwd不能读取,源码提示flag在f1ag.php。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值