---已搬运----BUUCTF:[HFCTF2020]BabyUpload sess_ file_exist()可 检测 目录和文件 。 sha256加密, PHP代码审计

最新推荐文章于 2023-04-02 14:27:28 发布
原创 最新推荐文章于 2023-04-02 14:27:28 发布 · 783 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #upload

本文介绍了HFCTF2020的BabyUpload挑战,涉及PHP上传、下载逻辑,重点在于session文件的利用。作者通过分析源码和尝试,发现可以通过特定的文件名和目录操作,结合PHP的file_exists()函数,实现对目录和文件的控制。在理解了PHP的几种解析引擎后,作者成功绕过限制,实现权限提升,获取flag。

目录:

一、自己做:

源码:里面有我调式时的代码,,大佬们可用题目给的源码,

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
$flag="flag{you_get_it_haha}";
#require_once "/flag";
#highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
   
   
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
   
   
        safe_delete($filename);
        die($flag);
    }
}
else{
   
   
    $_SESSION['username'] ='guest';
    echo "guest!"."\n"."<br>";
}

$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
   
      # attr 是 private的话,就将文件上传到 session[username] 目录下。 否则 就是 attr的名字的文件中,
    $dir_path .= "/".$_SESSION['username'];
    echo "now dir_path is ".$dir_path."11111111111\n"."<br>";
}
if($direction === "upload"){
   
   
    try{
   
   
        if(!is_uploaded_file($_FILES['up_file']['tmp_name']
最低0.47元/天 解锁文章
【网络安全 | CTF】攻防世界 fileclude 解题详析(php伪协议)
等风来
07-31 7311
代码功能:检查通过GET请求传递的两个参数"file1""file2"。如果这两个参数都存在且非空,它将读取"file2"文件的内容,如果内容等于"hello ctf",则会执行"file1"文件。对于file1,我们可以使用 convert.base64-encode 过滤器来读取位于 flag.php 文件中的内容,并将其转换为 base64 编码的形式。php://input 是一个 PHP 的内置流(stream)封装器,用于从请求的正文(body)中获取原始的输入数据。
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1761
点开就是源代码,直接进行代码审计
[HFCTF2020]EasyLogin
fmyyy1的博客
04-13 2189
对js不是很了解,这题边看wp边学。 是一个登录界面。 注册一个账号登录 flag没有显示,看源码。 看到了app.js,访问可看到源码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); const password = $("#password").val(); const token =
[HFCTF2020]JustEscape
fmyyy1的博客
04-13 1275
场景 最低行提示不是php,测试过后发现是nodejs。 是vm2的沙箱逃逸问题。 github上有现成的poc https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
[HFCTF2020]BabyUpload
nigo134的博客
06-04 1308
通过上传session文件伪造session。
buuxtf [HFCTF2020]BabyUpload
qq_52671379的博客
04-09 1359
buuxtf [HFCTF2020]BabyUpload
[HFCTF2020]BabyUpload session解析引擎
qq_54929891的博客
07-05 1473
对于代码的解析如上,获取flag的途径:1、session中的username参数要为admin2、在 /var/babyctf/success.txt存在在代码审查中可以得到的信息点: 在php中,session文件默认的存储文件名是sess_PHPSESSID,于是我们可以利用donwnload先看一下原先的session文件里面有什么,经过分析可以知道$attr参数我们可以暂时设置为空,因为目前感觉跟我们的操作没多大关系 可以发现有一个不可见字符,不同的php引擎,session的存储方式不一
phpMyAdmin 4.8.1 远程文件包含 CVE-2018-12613 漏洞复现
Senimo
12-11 2568
漏洞复现 phpMyAdmin 4.8.1 远程文件包含 CVE-2018-12613 APP:phpMyAdmin 4.8.1 CVE:CVE-2018-12613 类型:远程文件包含 下载phpMyAdmin 4.8.1源码 漏洞问题出现在index.php页面55~63: // If we have a valid target, let's load that script instead if (! empty($_REQUEST['target']) && is_str
pyvisa.errors.VisaIOError: VI_ERROR_TMO (-1073807339): Timeout expired before operation completed
tianluchuan2005的博客
08-30 9519
在使用python的pyvisa库函数通过visa指令控制仪器时,出现‘pyvisa.errors.VisaIOError: VI_ERROR_TMO (-1073807339): Timeout expired before operation completed.’的报错。网上搜索了很久,找到一篇国外程序员讨论该问题的帖子,在里面发现有一段提到需要在打开设备后,定义writeread的终止符。Pass:有些设备不需要指定这个终止符也可以正常通讯, 看情况而定吧。运行结果正确,debug成功!...
[HFCTF2020]BabyUpload 1
读书 买花 长大
02-01 781
[HFCTF2020]BabyUpload 1
Baby_Upload
ce666666的博客
01-16 355
前言 考点:shtml文件上传 步骤 来到上传页面 图片,.hataccess,.user.ini,图片马这些上传不了 尝试上传shtml shtml:服务器端嵌入,类似ASP的基于服务器的网页制作.支持SSI命令. SSI命令 <!-- 指令名称="指令参数"> 主要指令有include,echo,exec exec指令语法 <!--#exec cmd="文件名称"--> <!--#exec cgi="文件名称"--> 得到ffffff?llll
文件包含(CTF)
热门推荐
ing_end的博客
04-02 1万+
文件包含 留言 连接数据库 查看留言 连接数据库 登录 连接数据库 注册 连接数据库 代码的重复 留言 查看留言 连接数据库单独的文件 登录 注册 程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某个函数的时候,直接调用此文件,无需再次编写,这种调用文件的过程通常称为包含。 程序开发人员都希望代码更加灵活,所以通常会把被包含的文件设置为变量,来进行动态调用,但正是由于这种灵活性,从而导致客户端可以
BUUCTF-bjdctf_2020_babyrop2-WP
Rt1Text的博客
02-12 861
64位,NXcanary保护。
HZNUCTF MISC Snake题解——python程序逆向,hashcat爆破sha256
OrientalGlass的博客
04-02 2646
使用命令:python pyinstxtractor.py snake.exe​ 在线反编译工具python反编译 - 在线工具 (tool.lu) 这里%e8%b4%aa...是url编码,可以用url编码在线解密修复 ​这里使用Kali Linux自带的hashcat,使用命令: 其中"-a 3"指定掩码攻击模式,"-m 1400" 指定加密算法为sha256,然后跟上sha256的目标值,最后跟上掩码字符串,花括号内"?a"表示字母或数字或特殊字符
HFCTF2020 web writeup
a3320315的博客
04-21 3226
easy_login just_escape 进入这个页面 然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示 我们输入Error().stack 可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤 所以我们使用字符串拼接就可以了~~ 然后我们去网上找一下关于vm2的payload 所以最终的payload为: (function (...
Egress-Assess:用于测试数据外泄检测的渗透测试工具
此外,该项目以开源形式发布(压缩包名为 Egress-Assess-master),表明其代码结构清晰、可扩展性强,安全研究人员可根据具体需求对其进行二次开发,集成更多传输协议或适配新型检测环境。 综上所述,Egress-Assess...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值