[0CTF 2016]piapiapia

先收集信息 dirsearch发现源码 开始分析

首先通过cinfig可以发现flag就在这个文件中 直接访问发现无法读取

可以利用register.php 注册得到账号密码 从而登录update.php

我第一反应是文件上传 但是MD5对文件名加密的方法太严格了 我没啥好思路

从新审计(大佬说审计顺序应该是class.php → update.php → profile.php)

通过对class.php文件的审计发现过滤规则

public function filter($string) {

// 第一部分:转义处理

$escape = array('\'', '\\\\'); // 要过滤的字符:单引号和反斜线

escape = '/' . implode('\|', escape) . '/'; // 生成正则:'/\'|\\\\/' 抽象转义 php转义一次 正则再转义一次

string = preg_replace(escape, '_', $string); // 把单引号和反斜线替换成下划线

// 第二部分:SQL关键词过滤

$safe = array('select', 'insert', 'update', 'delete', 'where');

safe = '/' . implode('\|', safe) . '/i'; // 生成正则:'/select|insert|update|delete|where/i'

return preg_replace(safe, 'hacker', string); // 把这些SQL关键词替换成'hacker'

}

看大佬说select|insert|update|delete->hacker字符数量是不变的,但是where->hacker就多了一个字符 有问题

同时发现update.php 中发现serialize() 很容易想到是反序列化的题

同时在profile.php发现有unserialize()

思路就是在update.php里,对用户输入的数据进行化,在profile.php里直接将数据进行反序列化。

所以,我们可以通过这个反序列化执行命令,那么思路就很明确了:让 $profile'photo'的值为"config.php",这这样就可以得到falg了,

读取 config.php 中的 flag(因为`` $flag `变量在里面)

数组绕过正则检测update.php 中 nickname 的正则检查/\^a-zA-Z0-9_/可通过传递数组绕过(如 nickname\[\]=payload),从而绕过字符和长度限制

利用数组可以绕过preg_match

需闭合的字符串为 ";}s:5:"photo";s:10:"config.php";}(

共 34 字符)。每个 where 替换为 hacker 后增加 1 字符,需构造 34 个 where 来填充。当我们构造34个where时

,当where被替换成hacker之后,会多出34个字符,使得``";}s:5:"photo";s:10:"config.php";}

`被向后推,从而替代了photo字段的序列化结果

提交 Payload:通过 update.php 上传修改后的 nickname 和任意合法 phone、email、photo(需满足正则校验)。

读取 Flag:访问 profile.php,页面中的图片 src 属性为 config.php 的 Base64 编码内容,解码即可获取 Flag。

绷不住了 昨天没发布上

下一篇是我对这题的重复学习

相关推荐
私人珍藏库8 小时前
[Android] 会计快题库 -财会职称考试刷题学习
android·人工智能·学习·app·软件·多功能
从零开始的代码生活_14 小时前
C++ list 原理与实践:双向链表、迭代器与简化实现
开发语言·c++·后端·学习·算法·链表·list
二炮手亮子14 小时前
记录AI学习之路Day13:小模型(AI生成)
学习
程序员小八77715 小时前
从 0 学习 MySQL 索引——7 大核心精讲
android·学习·mysql
渣渣灰飞15 小时前
MySQL 系统学习 第六阶段:Redis + 缓存 + 高并发设计 第六章:Redis 实现登录 Token
学习·mysql·缓存
渣渣灰飞15 小时前
MySQL 系统学习 第六阶段:Redis + 缓存 + 高并发设计 第五章:缓存穿透、缓存击穿、缓存雪崩
学习·mysql·缓存
念何架构之路15 小时前
Docker 容器状态机 学习
java·学习·docker
你有我备注吗15 小时前
SQL学习之查询
java·sql·学习
从零开始的代码生活_16 小时前
C++ stack、queue 与 priority_queue:容器适配器原理与实战
开发语言·c++·后端·学习·算法
铅笔侠_小龙虾16 小时前
Rust 学习(6)-所有权规则、移动语义、Clone 与 Copy
python·学习·rust