技术标签: php strpos ctf
0x00 第一次尝试
这个题是别人一个月前问我的一个题,当时忙,看了下,发现好像不会,就先放着了。。。
0x01 第二次尝试
这个题之前弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!!(尼玛,我最后花了半个月)
highlight_file(__FILE__);
class Login {
public function __construct($user, $pass) {
$this->loginViaXml($user, $pass);
}
public function loginViaXml($user, $pass) {
if (
(!strpos($user, '')) &&
(!strpos($pass, ''))
) {
$format = '<?xml version="1.0" encoding="UTF-8"?>'.
''.
''.
'';
$xml = sprintf($format, $user, $pass);
$datas = new SimpleXMLElement($xml);
$dom = dom_import_simplexml($datas);
$dom->ownerDocument->xinclude();
echo $dom->ownerDocument->saveXML();
}
}
}
new Login($_POST['username'], $_POST['password']);
原代码如上,采用oop的方式来写的,先看loginViaXML()相关函数。
hightlight_file()以php格式高亮来输出文件内容;
_FILE_,php内置常量,当前文件的绝对目录;
strops()用来查找字符串A当中是否存在字符串B(从左往右找),如果有,返回位置,从0开始计数,如果没有返回false;
sprintf()只格式化,返回字符串,不输出字符串,printf()同样也是格式字符串,但是会输出字符串;
SimpleXLElement()实例化xml;
dom_import_simplexml将xml转化为dom;
$dom->ownerDocument->xinclude(),有点没搞明白啥意思,知道的告诉我一下,谢谢。 这里才是拿flag的重点,用这个来包含xml
$dom->ownerDocument->saveXML(),将xml放入一个字符串
其实没明白想要干什么,无非是把用户和密码加上后格式成新的字符串,然后将字符串实例成XML对象,接着将XMl对象转成dom,然后又把dom转成字符串。。。想了半天没看出来想这和flag有什么关系的。
提交了参数以后,确实能输出。
那就只去构造XXE注入呗,但是上面的函数中有waf,先来分析下。
strpos($user,'
!strpos()想成真,那么strpos()一定得成假了,假的时候也就是找不到指定字符串,即提交数据时不能包含,但是不能携带这两字符,就没有办法完成注入了。
这里就得利用!strpos()的一个问题了,当strpos()找到了特定字符串,并且当这个字符串为开头时,返回的结果会是0,那么此时!strpos()就为真了。
经测试,也就是在开头加上就可以绕过waf。
接着构造XXE的poc,好吧,真的弄不出来。凉凉,几天了。。有没有大佬教一下的,放弃了,回头再弄吧。
0x02 第三次尝试
又尝试了一次,无果,记录下。
由于之前尝试闭合XXE时,在写入文档定义时,一直在提示有无效的起始tag符号,其实就是
这次思路是闭合。
用自己在本地的环境下测试的闭合语句,构造payload的情况如下
如果没有了办法使用&以外,其余的闭合已经正常了,接着将以下payload提交。
username=>">
]>
&xxe;
">
格式继续错误,查了一下,应该是XML的文件格式错误,这里大概是不能出现两个根元素,我这里使用了两次,又失败了,下次继续尝试。
0x03 第N次尝试!!!
做这个题,真的是把我搞累了,我艹了,QQ微信里面的大佬全问了一遍,要么不理我,要么说看一下就没有结果,要么直接就是不会。。。心想着谁搞出来搞包烟他表示感谢,结果最后还是自己弄出来了。NMD,NMD,NMD,WC,WC,WCNDY,心累了。好了,无能狂怒结束,说正紧的。
重点就是这个xinculde()函数,最开始没有理解的xinclude()果然是解题关键,确认后又再去查了n次,最后这一次查的信息感觉和几前的不一样(这是什么鬼情况),这次看得明白多了,也许是经历的多了吧hhh
什么是xinclude?
导入外部xml文档,将外部定义的dtd引入当前文件,类似于php的include;
为什么要使用 xinclude?
为什么要使用 XInclude,而不是 XML external entities?
答案是,XML 外部实体有很多众所周知的局限和不便于使用的含义,这些因素极大地妨碍了 XML 外部实体成为多用途包含工具。具体来说:
XML 外部实体无法成为一个成熟的独立 XML 文档,因为它既不允许独立的 XML 声明,也不允许 Doctype 声明。这实际上意味着 XML 外部实体本身无法包括其他外部实体。
XML 外部实体必须是格式规范的 XML(第一眼看起来好象没有这么差,但想象一下怎样将示例 C# 代码包括到 XML 文档中)。
未能加载外部实体是重大错误 (fatal error);严格禁止任何恢复。
只能包括整个外部实体,无法只包括文档的一部分。
外部实体必须在 DTD 或内部子集中进行声明。例如,这些含义可能是:要求文档元素必须在 Doctype 声明中命名,以及对读取方的验证可能需要在其他文档的 DTD 中定义文档的全部内容模型。
嗯,上面都是查的,点我看原文。。。其中有的碰到过,比如之前在研究闭合的时候,DTD怎么写都不对,只能重新闭合构造根元素,闭合构造后又提示格式错误,这些都是因为XML的限制。
如何使用xinclude()?
XInclude 定义了一个便于在 XML 文档中实现模块化的多用途包含机制。包括过程被正式定义为将很多 XML 信息集 (XML Infoset) 合并到单个复合的 XML 信息集中。作者通过包含指令来指定要合并哪些文档并控制合并过程。包含指令的 XInclude 语法基于大家熟悉的、容易产生和处理的 XML 构造:元素、属性和 URI 引用。
XInclude 支持包含非 XML 文本文档,并允许作者控制恢复过程。例如,您可以提供要包含的默认内容或备用文档,如果无法加载远程资源,就将包括这些默认内容或备用文档。
XInclude 还支持部分 XML 包含,也就是说,您可以定义(通过提供 XPointer 指针)应当包括 XML 文档的哪一(些)部分。
下面是另一个介绍性示例,它演示了如何将外部非 XML 文本数据包含到 XML 文档中。假设您有一个存储在服务器上的 XML 文档,并且您想让它包含一个计数器,该计数器描述文档访问的次数:
This document has been accessed
times.
处理后html页面
This document has been accessed
45453 times.
xinclude语法
XInclude 语法非常简单,只是在 http://www.w3.org/2003/XInclude 命名空间中的两个元素,即 include 和 fallback。常用的命名空间前缀是“xi”(但可以根据喜好自由使用任何前缀)。对于那些习惯使用正式语法定义的人,XInclude 规范提供了XInclude 的 XML 架构和 DTD。对于其他人,下面是它的摘要:
xi:include 元素
xi:include 元素充当包括指令。它定义了要包括哪些文档以及如何包括。它的属性是:
href — 对要包括的文档的 URI 引用。
parse — 它的值可以是“xml”或“text”,用于定义如何包括指定的文档(是作为 XML 还是作为纯文本)。默认值是“xml”。
xpointer — 这是一个 XPointer,用于标识要包括的 XML 文档部分。如果作为文本包括 (parse=“text”),将忽略该属性。
encoding — 作为文本包括时,该属性提供所包括文档的编码提示信息。
详细的看上面的链接吧,那个写的很清楚,了解这个了,就可以做这个题了。
正式解题
username=>">
]>
&xxe;
">
上面是之前的payload,结合xinclude的格式可以写成
username=>">
再包含一次flag文件!!!
成功拿到flag,这个30分的题,so(ruo)easy(ji)。。。。
0x04 感想
哎,这个题总算是弄出来了,会的时候发现真简单,稍微有点学网络时的感觉了,基础真的很重要,确信!!!
这个过程太难了,问遍了所有的好友,所有的群,朋友们还帮我问各种大佬们,反正都是给网上的那个代码审计题的wp,那个题感觉根本做不了,因为没法闭合啊,又或者说看一下的,最后就没消息,又不好意思直接问出题人这个题的解法。。。
生气,生气,真的是很生气,半吊子真的有点惨,不上不下,简单的大佬懒得回答,复杂点的大佬懒得看,想帮你的人不会做,会做的人你又不认识,啥时候这玩意能学到我网络的水平,感觉这个路还长着,坚持学习!!!
人的一切痛苦,本质上都是对自己无能的愤怒
文章浏览阅读6.3k次,点赞2次,收藏10次。摘要: 背景 随着近几年物联网的发展,时序数据迎来了一个不小的爆发。从DB-Engines上近两年的数据库类型增长趋势来看,时序数据库的增长是非常迅猛的。在去年我花了比较长的时间去了解了一些开源时序数据库,写了一个系列的文章(综述、HBase系、Cassandra系、InfluxDB、Prometheus),感兴趣的可以浏览。背景随着近几年物联网的发展,时序数据迎来了一个不小的爆发。从DB..._tablestore 时间类型处理
文章浏览阅读5.7k次,点赞8次,收藏49次。可以编译成功但是运行时段错误查找原因应该是ROS noetic版本中自带的OpenCV4和VINS-mono中需要使用的OpenCV3冲突的问题。为了便于查找问题,我只先编译feature_tracker包。解决思路历程:o想着把OpenCV4相关的库移除掉,但是发现编译feature_tracker的时候仍然会关联到Opencv4的库,查找原因是因为cv_bridge是依赖opencv4的,这样导致同时使用了opencv3和opencv4,因此运行出现段错误。oo进一步想着(1)把vins-mon_uabntu20.04安装vins-mono
文章浏览阅读3.6k次,点赞3次,收藏12次。创龙TL6748开发板中,EMIFA模块使用默认的PLL0_SYSCLK3时钟,使用AISgen for D800K008工具加载C6748配置文件C6748AISgen_456M_config(Configuration files,在TL_TMS6748/images文件夹下),由图可以看到DIV3等于4,注意这里的DIV3就是实际的分频值(x),而不是写入相应PLL寄存器的值(x-1)。_tms 6748
文章浏览阅读5.9k次,点赞4次,收藏13次。转载请说明出处:eigen稀疏矩阵拼接(块操作)eigen稀疏矩阵拼接(块操作)关于稀疏矩阵的块操作:参考官方链接 However, for performance reasons, writing to a sub-sparse-matrix is much more limited, and currently only contiguous sets of columns..._稀疏矩阵拼接
文章浏览阅读946次,点赞19次,收藏19次。波束形成是天线阵列信号处理中的一项关键技术,它通过对来自不同方向的信号进行加权求和,来增强特定方向的信号并抑制其他方向的干扰。本文介绍了两种基于 Capon 和信号子空间的变形算法,即最小方差无失真响应 (MVDR) 算法和最小范数算法,用于实现波束形成。这些算法通过优化波束形成权重向量,来最小化波束形成输出的方差或范数,从而提高波束形成性能。引言波束形成在雷达、声纳、通信和医学成像等众多应用中至关重要。它可以增强目标信号,抑制干扰和噪声,提高系统性能。
文章浏览阅读1.1w次,点赞4次,收藏3次。使用API ,向我的服务器发送了POST。_uni-app解决post请求403 forbidden
文章浏览阅读2.2k次。一,问题 nginx反向代理后,在应用中取得的ip都是反向代理服务器的ip,取得的域名也是反向代理配置的url的域名,解决该问题,需要在nginx反向代理配置中添加一些配置信息,目的将客户端的真实ip和域名传递到应用程序中。二,解决 Nginx服务器增加转发配置 proxy_set_header Host $host;_nginx获取到的是交换机的ip
文章浏览阅读1.4k次。Wireshark TCP数据包跟踪 还原图片 WinHex简单应用 _wireshark抓包还原图片
文章浏览阅读1.5k次。Win8下安装VS2012时,蓝屏,报错WHEA_UNCORRECTABLE_ERROR(P.S.新的BSOD挺有创意":("),Google之,发现[via]需要BIOS中禁用Intel C-State,有严重Bug的嫌疑哦原因有空再看看..._win8.1 whea_uncorrectable_error蓝屏代码
文章浏览阅读919次,点赞21次,收藏22次。科大讯飞是一家专业从事智能语音及语音技术研究、软件及芯片产品开发、语音信息服务的软件企业,语音技术实现了人机语音交互,使人与机器之间沟通变得像人与人沟通一样简单。语音技术主要包括语音合成和语音识别两项关键技术。此外,语音技术还包括语音编码、音色转换、口语评测、语音消噪和增强等技术,有着广阔的应用。_科大讯飞培训案例
文章浏览阅读4.7k次。Perl是一个高阶程式语言,由 Larry Wall和其他许多人所写,融合了许多语言的特性。它主要是由无所不在的 C语言,其次由 sed、awk,UNIX shell 和至少十数种其他的工具和语言所演化而来。Perl对 process、档案,和文字有很强的处理、变换能力,ActivePerl是一个perl脚本解释器。其包含了包括有 Perl for Win32、Perl for ISAPI、PerlScript、Perl。_perl下载
文章浏览阅读5.4k次。最近由于在学习SQL2008,所以需要使用VS2008太耍一下关于SQL2008的新特性,尤其是Entity Framework。VS2008和SQL2008我都更新成英文版了。接下来安装VS2008的Sp1补丁,MS又使用了很恶心的网络安装,下载的Sp1才450K,然后网络安装过程中就要下载几百兆的安装文件,万恶的网络安装,光下载就花了我1个多小时。接下来就开始安装了,不到1分钟,直接报错,安装_vs2008 sp1