刷题[安洵杯 2019]不是文件上传 - kar3a - 博客园

　　这不是文件上传嘛？

　　传传传，各种传

　　1.MIME类型检测绕过

　　设置为image/jpeg，无果

　　2.黑名单绕过

　　尝试设置后缀如php3,php5,无果

　　3.%00截断

　　尝试，无果。

　　4.应用程序解析绕过

　　.php.jpg。上传成功！

　　发现怎么后缀是jpg，然后通过路径访问的话报404，这里我就开始奇怪了，难道真的不是文件上传，毕竟就算上传成功也需要爆出路径才能利用，但是这明显是假路径。

　　思考其他的方向，既然buu给了github源码，那就看看源码吧，看了看，主要逻辑代码在helper.php

　　这里懂了两个文件的内容

　　upload.php：

　　上传页面，包括了helper.php ，序列化图片的内容并存在数据库中。

　　helper.php：

　　反序列化数据库中的内容，输出图片内容

　　所以我们的核心思路：

　　将危险代码通过序列化存在数据库中，在反序列化的过程后，通过某些函数执行危险代码

　　这里一定可以存入数据库，否则我们在前端无法利用，所以数据库的语句一定有漏洞，只要想好怎么利用就可以

　　大概看看代码，在view_files 函数里存在文件读取，那么就按照他的来，

　　构造ifview==True,content=/flag

　　序列化得出

　　因为两个属性是public，所以字段名前面加上0*0的前缀

　　然后思路是想看到sql语句，其中应该可以插入危险代码，导致sql注入。那么我们先找到SQL语句:

　　追溯函数:

　　用逗号组合sql_fields

　　".$key_temp."

　　反引号中间包含str_replace(chr(0).'*'.chr(0), '000', $key);

　　替换后的key

　　4.

　　data的键数组

　　看看pop链：

　　insert_array->save->upload

　　最终也就是array数组中的内容，即是我们上传的图片的各项参数。那我们能控制的也就是图片的图片名，然后发现title就是去掉后缀的filename。看到check函数返回的内容就懂了。

　　我们按照此格式上传刚刚序列化后的内容，该代码先经过序列化，然后存入数据库中，后端将其从数据库中取出，反序列化，触发析构函数，读取flag内容

　　然后看到代码中在序列化和反序列化时对protected属性进行了过滤，所以我们不能直接传入0*0的前缀。需要按照他的传入000，经过处理后我们为需要的内容。

　　因为不能使用双引号，所以我们hex。

　　构造文件名：

　　（需要用#注释掉后面的内容，当然不用#注释，按照他的格式再往后核实也可以）

　　burpsuite抓包，先传一个图片，更改内容为上面的值，上传成功，访问show.php，获取flag 源码泄露，获得源码 代码审计，一个序列化传进数据库，一个反序列化从数据库取出 构造危险代码->匹配成功传入数据库->反序列化出内容->通过相关函数获取flag 信息泄露 sql注入 反序列化