刷题[安洵杯 2019]不是文件上传 - kar3a - 博客园
这不是文件上传嘛?
传传传,各种传
1.MIME类型检测绕过
设置为image/jpeg,无果
2.黑名单绕过
尝试设置后缀如php3,php5,无果
3.%00截断
尝试,无果。
4.应用程序解析绕过
.php.jpg。上传成功!
发现怎么后缀是jpg,然后通过路径访问的话报404,这里我就开始奇怪了,难道真的不是文件上传,毕竟就算上传成功也需要爆出路径才能利用,但是这明显是假路径。
思考其他的方向,既然buu给了github源码,那就看看源码吧,看了看,主要逻辑代码在helper.php
这里懂了两个文件的内容
upload.php:
上传页面,包括了helper.php ,序列化图片的内容并存在数据库中。
helper.php:
反序列化数据库中的内容,输出图片内容
所以我们的核心思路:
将危险代码通过序列化存在数据库中,在反序列化的过程后,通过某些函数执行危险代码
这里一定可以存入数据库,否则我们在前端无法利用,所以数据库的语句一定有漏洞,只要想好怎么利用就可以
大概看看代码,在view_files 函数里存在文件读取,那么就按照他的来,
构造ifview==True,content=/flag
序列化得出
因为两个属性是public,所以字段名前面加上0*0的前缀
然后思路是想看到sql语句,其中应该可以插入危险代码,导致sql注入。那么我们先找到SQL语句:
追溯函数:
用逗号组合sql_fields
".$key_temp."
反引号中间包含str_replace(chr(0).'*'.chr(0), '000', $key);
替换后的key
4.
data的键数组
看看pop链:
insert_array->save->upload
最终也就是array数组中的内容,即是我们上传的图片的各项参数。那我们能控制的也就是图片的图片名,然后发现title就是去掉后缀的filename。看到check函数返回的内容就懂了。
我们按照此格式上传刚刚序列化后的内容,该代码先经过序列化,然后存入数据库中,后端将其从数据库中取出,反序列化,触发析构函数,读取flag内容
然后看到代码中在序列化和反序列化时对protected属性进行了过滤,所以我们不能直接传入0*0的前缀。需要按照他的传入000,经过处理后我们为需要的内容。
因为不能使用双引号,所以我们hex。
构造文件名:
(需要用#注释掉后面的内容,当然不用#注释,按照他的格式再往后核实也可以)
burpsuite抓包,先传一个图片,更改内容为上面的值,上传成功,访问show.php,获取flag 源码泄露,获得源码 代码审计,一个序列化传进数据库,一个反序列化从数据库取出 构造危险代码->匹配成功传入数据库->反序列化出内容->通过相关函数获取flag 信息泄露 sql注入 反序列化
版权声明
本文仅代表作者观点,不代表xx立场。
本文系作者授权xx发表,未经许可,不得转载。
发表评论:
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。