本文揭示了一次针对网站的序列化漏洞攻击,通过精心构造的payload,黑客如何绕过安全检查并篡改数据库,最终获取flag。涉及profile.php的unserialize,file_get_contents,数据库操作和注册漏洞利用过程。
打开题目扫描一下发现wwww.zip文件下载
下载后可以看到
打开文件,查看内容,敏感处
profile.php有两处:
unserialize和file_get_contents。
update.php的serialize
查看参数是怎么传到file_get_contents中
在profile.php中,是$profile数组里健名为photo的键值
$profile是通过show_profile函数传入,传入了username参数
show_profile函数在class.php中,查看该函数
调用了父类的filter函数,select函数
查看filter函数,这里是替换字符串中的单引号和反斜杠为下划线 ,并且替换多个字符串为hacker。
implode函数是表示把数组拼接起来,拼接符是 “|”:
select函数
可以看到数据是从表里取出来的,那就要看什么时候插入数据了,全文搜索insert或者update,在select函数的下面找到:
继续找update_profile函数的调用,在update.php文件里找到
profile.php的file_get_contents =》 show_profile() =》 class.php里的select() =》 数据库 =》 class.php里的update() =》 update_profile() =》 update.php里调用传参。
nickname参数
利用序列化的拼接+伪造 对nickname参数攻击,
insert/select/update/delete都是6位长度,hacker也是6位长度,where是五位,
where执行替换操作,通过替换吧五位的where换成6位的hacker
、在update.php中,传入数组就可以绕过
play构造
这个时候,我们的nickname[]数组实际长度是39位,除了where,多出来了34位。这个时候strlen('where') == 5 != 39,不是指定的长度会报错,所以我们要想办法把where那块地方,在序列化之后(注意时间点)再增长34位。
之前不是说过吗,我们的where变成hacker之后,从5变成了6,成功增长了一位,那么我们输入34个where,不就可以增长34位了吗?
所以最后的payload: wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
进入注册页面 register.php,随便输入账号密码注册
在注入的页面上传图片 抓包
将nickname改为nickname[]
点击链接profile.php 在出查看器中找到image里面的base64字符串,解码得到flag
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
