NSSCTF中的[SWPUCTF 2022 新生赛]ez_ez_unserialize、baby_file、Middle magic、numgame、where_am_i、easy_upload

于 2024-06-06 21:35:57 发布
阅读量966 收藏 29
点赞数 30
文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82388450/article/details/139495225
版权

目录

[SWPUCTF 2022 新生赛]ez_ez_unserialize

[SWPUCTF 2022 新生赛]where_am_i 

[HNCTF 2022 Week1]easy_upload 

[MoeCTF 2022]baby_file

[鹤城杯 2021]Middle magic 

知识点:

[SWPUCTF 2022 新生赛]numgame 

::双冒号运算符

今日总结:

[SWPUCTF 2022 新生赛]ez_ez_unserialize

1.进行代码审计,很明显是php反序列化

<?php
class X //这里定义了一个名为X的类
{
    public $x = __FILE__;
    function __construct($x)
    {
        $this->x = $x; //这是类的构造函数,当创建类的新实例时会被调用。它接受一个参数 $x,并将该参数的值赋给成员变量 $this->x。
    }
    function __wakeup()
    {
        if ($this->x !== __FILE__) {
            $this->x = __FILE__;
        } //__wakeup 是一个魔术方法,当对象从字符串形式的序列化数据中被反序列化回来时会被自动调用。这个方法检查成员变量 $x 是否与当前文件的路径(__FILE__)不同,如果不同,则将其重置为当前文件的路径。
    }
    function __destruct()
    {
        highlight_file($this->x); //__destruct 是析构函数,当对象不再被使用时(例如,脚本执行结束或者对象被销毁时)会被调用。这里使用 highlight_file 函数来输出 $this->x 所指向的文件的源代码,并高亮显示。
        //flag is in fllllllag.php
    }
}
if (isset($_REQUEST['x'])) {
    @unserialize($_REQUEST['x']);
} else {
    highlight_file(__FILE__);
}

2.代码首先会尝试调用$_REQUEST[‘x’],若该参数已经被设置,则对其进行反序列化,但在反序列化前会触发__wakeup(),将x重新赋值,最后反序列化后触发__destruct(),将最终的文件输出,根据代码,构造pop链,

<?php
class X 
{
	public $x = 'fllllllag.php';
}
$a=new X;
echo serialize($a);
?>

3.由于要绕过wakeup函数,只要序列化的中的成员数大于实际成员数,即可绕过

O:1:"X":2:{s:1:"x";s:13:"fllllllag.php";}

4.传参之后得到flag

[SWPUCTF 2022 新生赛]where_am_i 

1.这个题主要考查观察能力,包括社工,十一位数字是电话号码,所以在网上找到这家酒店的电话号码,输入之后得到flag

[HNCTF 2022 Week1]easy_upload 

1.上传一个有一句话木马的php文件,发现上传成功

2.输入路径,使用蚁剑连接

http://node5.anna.nssctf.cn:25648/upload/shell.php

3. 在根目录下,找到flag

[MoeCTF 2022]baby_file

1.观察源代码,发现有文件包含,想到使用php伪协议,先查看index.php文件中的内容

2. 解码之后得到源代码

3.再读取flag.php文件

 

4.编码之后得到flag

 

[鹤城杯 2021]Middle magic 

知识点:

json_decode函数:json_decode()函数用于将JSON字符串解码为PHP对象或数组。它可以将符合JSON格式的字符串转换为PHP数据结构,并对其进行访问和操作。这对于接收来自外部服务的JSON数据或处理从客户端提交过来的JSON数据非常有用。

资料:PHP函数介绍:json_decode()函数-php教程-PHP中文网 

1.进行代码审计

一共三层if,我们逐层看看:

  • 第一个if要求aaa=pass_the_level_1#,但会将传入的level替换为filtered
  • 第二个if要求传入两个不相等变量adminroot_pwd,但要求两者sha1加密后相等;
  • 第三个if要求传入level_3,对其进行json_decode后,需要$level_3->result == $result

 2.因为preg_replace函数只能匹配一行的数据,因此我们只需先传入换行符,那么后面的传入便不再被匹配

%0apass_the_level_1%23        %0a换行符,%23井号。

3.第二个if,我们利用数组绕过,具体原因是sha1加密时,若传入的是数组,返回值为null:

4.第三个if,我们传入一个JSON格式的字符串

level_3={"result":0}

php弱比较在面对纯字符与0的比较时,会返回true,例如a == 0返回为true
此处推测$result是纯字符

 

[SWPUCTF 2022 新生赛]numgame 

1.查看源代码,发现js文件

 

2.进入js文件,发现有base64编码

 

3.解码之后得到文件

4.访问这个文件,进行代码审计

 

1. 第一行代码`error_reporting(0);`用于禁止错误报告。

2. 然后,通过`include("flag.php")`包含了一个名为`flag.php`的文件。

3. 接下来,定义了一个名为`nss`的类,其中有一个名为`ctf()`的静态方法。包含了hint2.php

4. 在接下来的代码中,通过`isset($_GET['p'])`检查`$_GET['p']`是否存在。如果存在,就进入下一层判断。

5. 在第6行代码中,使用`preg_match()`函数对`$_GET['p']`进行正则匹配,判断其是否含有字母`n`或`c`。如果匹配成功,就输出`"no"`并结束脚本的执行。

6. 在第7行代码中,使用了`call_user_func()`函数,根据`$_GET['p']`的值调用对应的函数。`call_user_func()`函数用于调用一个回调函数。这里回调函数的名称由`$_GET['p']`指定。

5.先访问hint2.php这个文件,发现提示类是nss2

 

6.绕过正则进行传参,得到flag,这里使用的是静态函数调用

http://node5.anna.nssctf.cn:29459/NsScTf.php/?p=Nss2::Ctf

::双冒号运算符

在PHP中,::是一个双冒号运算符,也被称为范围解析操作符或静态访问操作符。它用于访问类中的静态属性、静态方法和常量,或调用父类的静态方法。在类名后面使用`::`,可以直接访问类的静态成员或调用静态方法,而无需创建类的实例。这使得我们无需实例化一个类就可以访问和操作类级别的成员。

今日总结:

1.绕过wakeup函数可以将序列化的中的成员数大于实际成员数

2.了解了json_decode函数

3.preg_replace函数只能匹配一行的数据,因此我们只需先传入换行符,那么后面的传入便不再被匹配

4.php弱比较时,面对纯字符与0的比较时,会返回true

5.了解了call_user_func()函数,知道了::双冒号运算符

XIXINGNG
关注
  • 30
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
NSSCTF ez_unserialize
m0_49257076的博客
11-02 1089
打开题目是胡桃摇的表情包(手动滑稽????),下面是“题目在哪” 这边是上手直接使用蚁剑扫描得到的robots.txt文件,然后打开之后有cl45s.php文件,访问之后可以看到题目的源码 观察源码就知道是一个简单的unserialize,手写一下(菜狗枯了) <?php class wllm{ public $admin; public $passwd; public function __construct(){ $this->admin ...
反序列化(Unserialize)漏洞详解
热门推荐
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
DACTFEzunserialize
ro4lsc的博客
05-07 7484
DACTFEzunserialize(PHP反序列化字符逃逸) 这个题是我在后再进行学习的,所以自己在本地复现了一下环境。 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
[NSSCTF]-Web:[SWPUCTF 2021 新生]ez_unserialize解析(反序列化修改属性)
2301_79326813的博客
02-28 384
查看网页这里可以查看robots.txt题目文件如下。
[SWPUCTF 2021 新生] ez_unserialize
Welcome To Myon'Blog !
07-05 1893
链尾(就是最终我们想要利用的地方),在echo $flag 并且include了flag.php 往上看,发现只需要满足 再往上看,发现执行这条语句我们需要触发__destruct()函数 __destruct是析构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行,比如new完一个对象,当创建完成之后就不引用了,如果有赋值指向就会立马丢弃,触发destruct函数。 这里还有一个__construct()构造函数,它是在实例化一个对象(即new时)会自动调用。
phpmagic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了phpmagic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
PHPjson_encode、json_decode与serializeunserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
Unpack_ACV.zip_acv _audition
09-24
在IT行业,尤其是在软件开发和安全分析领域,解压缩和解析文件是常见的操作。本案例,我们关注的焦点是一个名为"Unpack_ACV.zip"的压缩包,它包含了一个"acv_audition"相关的文件,特别是"audition 021.acv"。这...
PHP_DataSet.rar_DataSet p
09-14
在.NET框架,DataSet是一个非常重要的数据容器,它允许离线操作数据,提供了一种将数据库数据存储在内存的方式。然而,在PHP并没有内置类似的类。标题"PHP_DataSet.rar_DataSet p"暗示我们将讨论如何使用PHP来...
SWPUCTF
2301_80217595的博客
02-17 874
SWPUCTF 2022 新生]ez_ez_unserialize创造类x,定义了一个魔术常量x为_FILE_(当前),又定义了几个函数,construct函数让x类的x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在反序列化,否则输出flag在还要绕过__wakeup函数,把成员数改为大于实际数量[SWPUCTF 2022 新生]1z_unserialize构造。
记录一道0xGame 2023 CTF Web ez_unserialize的反序列化漏洞题目收获
m0_63138919的博客
10-25 331
记录一道0xGame CTF Web ez_unserialize的反序列化漏洞题目收获
GHCTF 2024 Web
weixin_45906533的博客
05-07 1522
GHCTF2024 Web wp
【DASCTF】2020年DASCTF4月春季战复现之web------Ezunserialize
weixin_44164784的博客
05-02 728
Ezunserialize **考点:**反序列化POP链、字符逃逸 看标题大概就知道关于序列化的题,打开链接给了我们源代码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
php反序列化漏洞小结 + bytectf-EzCMS-wp
weixin_42444939的博客
09-13 970
php反序列化漏洞利用姿势 源码存在unserialize函数(最常见场景) 审计步骤 寻找如下可能被利用的敏感函数: call_user_func array_map array_filter array_walk [ … ] 以上php的回调函数如果传入的参数可控,那么就能成功getshell 菜刀/蚁剑/冰蝎后续就不用说了emmm ps: eval等敏感函数当然也能被利用,但这种情况一...
Rust案例分析.docx
最新发布
07-16
Rust 是一种系统编程语言,具有内存安全、并发编程和高性能等特点。下面是一个 Rust 案例分析,展示如何使用 Rust 开发一个简单的命令行程序,该程序将读取文件内容并统计文件的单词数量。
"Python 编程基础与应用概览"
07-16
Python 是一种广泛使用的高级编程语言,它以其清晰的语法和代码可读性而闻名。Python 支持多种编程范式,包括面向对象、命令式、函数式和过程式编程。它具有丰富的标准库和第三方库,使其在各种领域如网络服务器、科学计算、人工智能、数据分析、机器学习、Web 开发等都具有广泛的应用。 以下是一些关于 Python 的关键点: ### 1. **基本特性** - **易于学习**:Python 有一个简洁的语法,使得新手容易上手。 - **跨平台**:可以在多种操作系统上运行,包括 Windows、Mac OS X、Linux 等。 - **解释型语言**:Python 代码在运行时会被解释器逐行执行,无需编译。 ### 2. **应用领域** - **Web 开发**:使用 Django、Flask 等框架可以快速开发 Web 应用。 - **数据科学**:NumPy、Pandas、SciPy、Matplotlib 等库是数据科学和科学计算的常用工具。 - **机器学习**:Scikit-learn、TensorFlow、PyTorch 等库提供了机器学习和深度学习的工具。 -
财务记账(财务记账管理)Excel模板
07-16
【作品名称】:财务记账(财务记账管理)Excel模板 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
2024数学建模培训-力学(3)闫明.pptx
07-16
数学建模力学
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界web_php_unserialize就是通过挖掘实际漏洞并利用它们对目标进行攻击的比。 攻防世界web_php_unserialize通常会考查参者对PHP反序列化漏洞的深入理解和实际应用能力。比的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参者需要清楚地知道序列化字符串不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参者需要在比证明自己能够精准地修改序列化字符串的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比可能会给出一些被漏洞的代码,参者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界web_php_unserialize旨在锻炼参者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值