[SUCTF 2019]Upload Labs 2

源码

// admin.php

<?php

include 'config.php';

class Ad{

    public $cmd;

    public $clazz;

    public $func1;

    public $func2;

    public $func3;

    public $instance;

    public $arg1;

    public $arg2;

    public $arg3;

    function __construct($cmd, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3){

        $this->cmd = $cmd;

        $this->clazz = $clazz;

        $this->func1 = $func1;

        $this->func2 = $func2;

        $this->func3 = $func3;

        $this->arg1 = $arg1;

        $this->arg2 = $arg2;

        $this->arg3 = $arg3;

    }

    function check(){

        $reflect = new ReflectionClass($this->clazz);

        $this->instance = $reflect->newInstanceArgs();

        $reflectionMethod = new ReflectionMethod($this->clazz, $this->func1);

        $reflectionMethod->invoke($this->instance, $this->arg1);

        $reflectionMethod = new ReflectionMethod($this->clazz, $this->func2);

        $reflectionMethod->invoke($this->instance, $this->arg2);

        $reflectionMethod = new ReflectionMethod($this->clazz, $this->func3);

        $reflectionMethod->invoke($this->instance, $this->arg3);

    }

    function __destruct(){

        system($this->cmd);

    }

}

if($_SERVER['REMOTE_ADDR'] == '127.0.0.1'){

    if(isset($_POST['admin'])){

        $cmd = $_POST['cmd'];

        $clazz = $_POST['clazz'];

        $func1 = $_POST['func1'];

        $func2 = $_POST['func2'];

        $func3 = $_POST['func3'];

        $arg1 = $_POST['arg1'];

        $arg2 = $_POST['arg2'];

        $arg2 = $_POST['arg3'];

        $admin = new Ad($cmd, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3);

        $admin->check();

    }

}

else {

    echo "You r not admin!";

}


// func.php

<?php

include 'class.php';

if (isset($_POST["submit"]) && isset($_POST["url"])) {

    if(preg_match('/^(ftp|zlib|data|glob|phar|ssh2|compress.bzip2|compress.zlib|rar|ogg|expect)(.|\\s)*|(.|\\s)*(file|data|\.\.)(.|\\s)*/i',$_POST['url'])){

        die("Go away!");

    }else{

        $file_path = $_POST['url'];

        $file = new File($file_path);

        $file->getMIME();

        echo "<p>Your file type is '$file' </p>";

    }

}

?>


// class.php

<?php

include 'config.php';

class File{

    public $file_name;

    public $type;

    public $func = "Check";

    function __construct($file_name){

        $this->file_name = $file_name;

    }

    function __wakeup(){

        $class = new ReflectionClass($this->func);

        $a = $class->newInstanceArgs($this->file_name);

        $a->check();

    }

    function getMIME(){

        $finfo = finfo_open(FILEINFO_MIME_TYPE);

        $this->type = finfo_file($finfo, $this->file_name);

        finfo_close($finfo);

    }

    function __toString(){

        return $this->type;

    }

}

class Check{

    public $file_name;

    function __construct($file_name){

        $this->file_name = $file_name;

    }

    function check(){

        $data = file_get_contents($this->file_name);

        if (mb_strpos($data, "<?") !== FALSE) {

            die("&lt;? in contents!");

        }

    }

}

题目分析

flag的位置在admin.php中的__destruct

但是要实例化admin.php中的Ad类,必须是127.0.0.1登录,所以我们必须找到ssrf的利用点~~

实例化(instantiate)是指在面向对象的编程中,把用类创建对象的过程称为实例化。

是将一个抽象的概念类,具体到该类实物的过程。实例化过程中一般由类名 对象名 = new 类名(参数1,参数2...参数n)构成。

在面向对象的编程中,通常把用类创建对象的过程称为实例化,其格式如下:

如 Date date=new Date();

就是用日期类创建了一个日期的对象,就叫对象的实例化。

多数语言中,实例化一个对象就是为对象开辟内存空间,或者是不用声明,直接使用new 构造函数名,建立一个临时对象。

我们看到class.php中的__wakeup(),可以实例化任意类,所以我们要找到发序列化的点

在func.php中我们知道,当我们查看我们的上传文件时,会调用getMIME,而finfo_open也会触发phar反序列化

BUU XXE COURSE 1[xxe]

参考:https://blog.csdn.net/I_ET5u5/article/details/137650668

靶场界面

查找关键

打开网络,鼠标随便点空白处,出来一个login.php

抓包

可以看到有一个内嵌的xml

添加外部实体

root根元素(可以理解为类),为其添加一个外部实体(可以理解为类下的方法)

<!DOCTYPE root [

<!ENTITY admin SYSTEM "file:///flag"> ]>

这样在根元素root下有了一个外部实体admin,admin含有一个SYSTEM关键字,XML的解释器会在后续引用admin的时候,将会打开flag的内容并对username内的内容进行替换

在root根元素中对其进行引用

&admin;

send



[NCTF2019]Fake XML cookbook

分析



send

BUU XSS COURSE 1(XSS获取cookie登录)

尝试

可以看到留言可以保存,或许会储存xxs点

Cookie的一个典型的应用是当登录一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果勾选了,那么下次访问同一网站时,用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时,服务器发送了包含登录凭据(用户名加密码的某种加密形式)的Cookie到用户的硬盘上。第二次登录时,(如果该Cookie尚未到期)浏览器会发送该Cookie,服务器验证凭据,于是不必输入用户名和密码就让用户登录了。

xss尝试

输入,提交



进入这个网址

什么都没有

看师傅wp

https://blog.csdn.net/m0_73866435/article/details/136354404

输入这个

< img src=# onerror=alert(/桃梨早/)>

buuctf-web 解题过程的更多相关文章

  1. Wirte-up:攻防世界Web解题过程新手区01-06

    文章更新于:2020-02-18 说明:为了标识图片边界,有些图片加了红线以增强观感. 注1: web 环境搭建参见: Windows&linux使用集成环境搭建 web 服务器 注2:DVW ...

  2. BuuCTF Web Writeup

    WarmUp index.php <html lang="en"> <head> <meta charset="UTF-8"> ...

  3. CentOS 5.5 下安装Countly Web Server过程记录

    CentOS 5.5 下安装Countly Web Server过程记录 1. 系统更新与中文语言包安装 2. 基本环境配置: 2.1. NodeJS安装 依赖项安装 yum -y install g ...

  4. Http协议简单解析及web请求过程

    HTTP协议: HTTP是一个属于应用层的面向对象的协议,由于其简捷.快速的方式,适用于分布式超媒体信息系统. 基于HTTP协议的客户端/服务器请求响应机制的信息交换过程包含下面几个步骤: 1)    ...

  5. 《深入分析Java Web技术内幕》读书笔记 - 第1章 深入Web请求过程

    第1章 深入Web请求过程 1 1.1 B/S网络架构概述 2 基于统一的应用层协议HTTP来交互数据. 1.2 如何发起一个请求 4 HTTP连接本质是建立Socket连接.请求实现方式:工具包如H ...

  6. A+B Format 思路及解题过程结果

    A+B Format 思路及解题过程结果 github链接 题目 解题思路 这个题目的难点在于每三位用逗号隔开,以及带不带负号的问题.第一个问题,我的解决办法是先通过取整来取数,再通过取余来去数.第二 ...

  7. Web请求过程总结

    Web请求过程总结 1.CND架构图 图片来源:深入分析JavaWeb技术内幕(许令波著) 2.发起HTTP请求 发起一个HTTP请求就是浏览器建立socket通信的过程,HttpClient开源的通 ...

  8. 一个蒟蒻的解题过程记录——洛谷P1003 铺地毯

    这到题算是我“火线回归”后码的第一道题,病好了心情不错,发篇博客分享一下 目录: ·题目描述 ·题目分析 ·解题思路 ·代码实现 ·总结 ·题目描述: 为了准备一场特殊的颁奖典礼,组织者在会场的一片矩 ...

  9. 爬取百度页面代码写入到文件+web请求过程解析

    一.爬取百度页面代码写入到文件 代码示例: from urllib.request import urlopen #导入urlopen包 url="http://www.baidu.com& ...

  10. web 攻击靶机解题过程

    sql注入靶机攻击过程请参考 https://pentesterlab.com/exercises/from_sqli_to_shell/course http://www.sohu.com/a/12 ...

随机推荐

  1. undefined method `license' when mac brew install

    https://github.com/Homebrew/discussions/discussions/297 brew update-reset brew config brew doctor

  2. jacoco-实战篇-增量覆盖率

    我fork的jacoco源码改造好:https://github.com/exmyth/jacoco 入口:https://github.com/exmyth/jacoco/blob/master/o ...

  3. Qt音视频开发19-vlc内核各种事件通知

    一.前言 对于使用第三方的sdk库做开发,除了基本的操作函数接口外,还希望通过事件机制拿到消息通知,比如当前播放进度.音量值变化.静音变化.文件长度.播放结束等,有了这些才是完整的播放功能,在vlc中 ...

  4. Qt编写安防视频监控系统58-子模块2窗口信息

    一.前言 窗口信息一般用来打印输出文字信息,带时间,有些用户场景可能除了时间和内容以外,还需要其他的字段信息,可以自行在代码中增加字段即可,窗口信息一般以表格样式居多,上面是字段标题,下面是一行行的输 ...

  5. Qt编写安防视频监控系统57-子模块1设备列表

    一.前言 近期在经历过这次UI大重构以后,很多拆分的功能都以单独的模块的形式出现,以悬停窗体的形式嵌入或者悬浮在主窗体中,这种方式极大的增强了系统的拓展性,客户想要什么模块就开启什么模块,放置到合适的 ...

  6. [转]解决Spring Data Jpa 实体类自动创建数据库表失败问题

    先说一下我遇到的这个问题,首先我是通过maven创建了一个spring boot的工程,引入了Spring data jpa,结果实体类创建好之后,运行工程却没有在数据库中自动创建数据表. 找了半天发 ...

  7. Royal Elementor Addons Pro v1.3.987 + v1.5.0 elementor网页设计元素组件插件下载

    Royal Elementor Addons Pro elementor网页设计元素组件插件破解版简介&下载 Royal Elementor Addons Pro Nulled Element ...

  8. Solution Set -「NOI Simu.」2022.07.21

    \(\mathscr{Summary}\)   有意思的是, 难度诈骗居然在我身上打出了暴击.   (首先还是吐槽一下 \(5\text h\) 的模拟赛因为早读和早课变成 \(4\text h\) ...

  9. WPF 获取拖拽网页图片链接

    在浏览器里拖拽一个元素,我只获取图片链接 private void Grid_PreviewDragOver(object sender, DragEventArgs e) { e.Effects = ...

  10. SSL和HTTPS

    转载: 链接 随着互联网的发展,给我们的生活带来便利的同时,也伴随着很多网络钓鱼.信息泄露.网络诈骗等事件的频繁发生,企业网站被钓鱼网站仿冒,遭受经济损失,影响品牌形象. 如果网站不使用SSL证书,数 ...