TSCTF-J 2021 [Ezphp]

最新推荐文章于 2023-02-28 14:08:20 发布
最新推荐文章于 2023-02-28 14:08:20 发布
阅读量283 收藏
点赞数 1
分类专栏: TSCTF-J 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ivyyyyyy1/article/details/120937131
版权

一、题目

 

 点进去看到登录界面

可以考虑抓包,看能否可以利用里面的条件

 抓到一个302之后的get包,访问对应的页面

当然这里也可以用admin + 万能密码绕过

"or "a"="a

 二、解题

进到网页之后发现提示信息

需要我们构造含有 /tmp/hint.php的参数

在path里直接传参试试

 发现进不了,编码也不行,后面我又试了php://filter伪协议也不行

瞎试了一下file://

 发现行了,属于是运气比较好

点开源代码

<?php
error_reporting(0);
/*
 * flag in /home/flaaag.txt and go to flag.php
 *
 */
class A extends service {
	public $event;
	function __construct($event) {
		$this->event = $event;
	}
	function __destruct() {
		$flag = $this->event["name"];
		return $this->$flag();
	}
}

class read {
	public $filename;
	function __construct($filename) {
		$this->filename = $filename;
	}
	function __toString() {
		if (isset($this->filename)) {
			$res = file_get_contents($this->filename);
		} else {
			$res = "nonononono";
		}
		return $res;
	}
}

class test {
	public $file;
	function __construct($f) {
		$this->file = $f;
	}
	function __get($txey) {
		echo $this->file;
	}
}

class service {
	public $server;
	public $str;
	function __call($method, $args) {
		if (is_string($this->server->str)) {
			echo "hello" . $method . $this->server->str;
		} else {
			die("");
		}
	}
}

if (isset($_GET["cmd"])) {
	unserialize($_GET["cmd"]);
} else {
	echo "now get flag!";
}

 提取信息:

1. flag的路径是 /home/flaaag.txt

2. 这里有多个魔法函数,需要构造pop链一个一个触发

POP链的构造:

观察到存在文件输出函数的在 class read{}里面,为file_get_contents()

class read {
	public $filename;
	function __construct($filename) {
		$this->filename = $filename;
	}
	function __toString() {
		if (isset($this->filename)) {
			$res = file_get_contents($this->filename);
		} else {
			$res = "nonononono";
		}
		return $res;
	}

 这里有一个魔术方法__toString()

当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式化输出这个对象所包含的数据。__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串(或者执行语句),否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。

 可以确定这是POP链的尾巴,执行 echo 语句时可能会触发__toString()方法,继续往下看

 发现有两处都执行了echo

那就找链头吧

class A是class service的继承类,而只有class A里面有自定义的析构函数,析构函数只需要在对象销毁的时候就能触发

function __destruct() {
		$flag = $this->event["name"];
		return $this->$flag();
	}

分析,这里flag获得的值是传进来的数组参数event里键名为name的键值

return 的是一个以flag值为名的方法,即name的键值

而__call()方法的调用条件是,当对象里一个不可访问(包括父类,自身)的方法被调用时被调用

找到__call()方法的位置

function __call($method, $args) {
		if (is_string($this->server->str)) {
			echo "hello" . $method . $this->server->str;
		} else {
			die("");
		}
	}

其中$method是自动收集的无法访问的方法名,$args是对应的参数

而__get()方法的调用条件如下:

在 php 面向对象编程中,类的成员属性被设定为 private 后,如果我们试图在外面调用它则会出现“不能访问某个私有属性”的错误。那么为了解决这个问题,我们可以使用魔术方法 __get()。或者对象中有不存在的属性被调用也能触发__get()。

在这里,所有对象都没有私有属性,让$this->server=另一个对象 

经过上面的排除加之“另一个对象”不能含有$str属性,只能是test了

所以POP链的逻辑如下:

A类的__destruct()触发父类service的__call(),__call()来触发test类的__get(),最后用__get()触发read类的__toString(),由__toString()回显flag的值

构造exp:

在脚本之家工具里面运行php代码 

 

将序列化的结果赋值给cmd,拿到flag

 

 

1vyyyyyy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PwnTheBox(web篇)---ezphp
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-08 731
文章目录PwnTheBox(web篇)---ezphp题目题解 PwnTheBox(web篇)—ezphp 题目 <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php") { unlink($file); } } }
[BJDCTF2020]EzPHP
m0_62905261的博客
07-15 2854
[BJDCTF2020]EzPHP
[HFCTF2022]ezphp
最新发布
q1415500189的博客
02-28 413
[HFCTF2022]ezphp
Web安全新手入门学习Week9
m0_59271033的博客
04-11 2856
新手入门Web安全
ezphp:设置PHP开发环境的简便方法
05-26
EzPHP为您提供了一个用于开发的个人PHP Web服务器。 该项目的目标是提供一个.exe文件,使您可以随时使用PHP开发环境。 EzPHP将安装从下载PHP v.7.4.14 安装 下载 。 为您的项目创建一个新文件夹,然后复制ezphp.exe。 运行ezphp.exe。 如果未在本地安装PHP,则ezphp将尝试下载并安装PHP。 在打开浏览器。 高级用户执行ezphp.exe -h以查看所有选项。 Usage of ./ezphp: -S string <addr>:<port> - Run with built-in web server. (default "localhost:8080") -t string <docroot> - Specify document root <docroot> for built-i
file_get_contents的用法
璀璨烟花
12-18 6217
file_get_contents(“php://input”)的用法 $data = file_get_contents(“php://input”);   php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $H...
[BJDCTF 2020] EzPHP
weixin_51804748的博客
11-15 4571
前言 最近经常见到BJDCTF赛题的改版,其中有一道很经典的代码审计题目,写篇博客学习一下 https://github.com/BjdsecCA/BJDCTF2020 Part 1 (主页) 打开题目之后是一个网页,并没有和解题有关的信息 查看源代码后发现注释信息中有提示GFXEIM3YFZYGQ4A=,用base解码后得到信息1nD3x.php 访问/1nD3x.php得到源码 <?php highlight_file(__FILE__); error_reporting(0);
BUUCTF [BJDCTF2020]EzPHP1详解
Aiwin的博客
05-14 1286
BUUCTF [BJDCTF2020]EzPHP1包含的知识与详解
ezphp php开发框架
06-27
ezphp easyphp mvc开发框架 欲学php者值得研究
ezphp mvc框架V1.1.1
07-22
ezphp mvc框架V1.1.1 phpmvc框架初学者
[TSCTF-J] Badmac
weixin_51804748的博客
10-29 190
前言 本题考查sql注入(时间盲注,堆叠注入),文件上传漏洞 一、题目 二、题解 Part 1 :时间盲注 进入用户中心看到登陆页面,此处万能密码进不去,考虑sql注入 方法一: 选用sqlmap注入,但需要的时间很长 选择时间盲注得到如下表 猜测登录的账户在tsctfj_user中,继续注出字段名和字段值得到用户名密码 方法二: 编写脚本采用二分法进行注入,速度会快很多,这里等我写出来了再补 Part 2:堆叠注入 输入账号密码,登陆成功,进入了会员中心 在信息栏中发现可以修改头像 尝试传入头像
TSCTF-J 菜鸡的第一个HTML
Lig_HossssT的博客
10-24 191
打开题目 听到歌 点击F12 进入bilibili 由f12看到的内容可知 flag就是歌手名的罗马音nanawoakari 顺便说一句 这个题目描述就是用来生草的XDD
TSCTF-J 2019】relax
qtL0ng的博客
07-01 352
打开是个没用的网站,扫描一下~ 访问/robots.txt,发现三个文件: User-agent: * Disallow: /relax.php Disallow: /heicore.php Disallow: /flag.php 其中只有/relax.php里有东西,查看源码: 这个是aaencode代码,直接扔进控制台运行,或者在线解密:https://www.qtool.net/decode 整理得: $_ = $_GET['pw']; $__ = $_GET['file']; $___ =
TSCTF-J 2021 [ezbypass]
Ivyyyyyy1的博客
10-24 1035
一、题目 又是磨人的绕过 <?php highlight_file(__FILE__); error_reporting(0); $www1 = ''; $www2 = ''; $www2 = $_GET['www2']; $www1 = $_GET['www1']; $a = 0; $b = 0; $c = 0; if ($_SERVER) { if ( preg_match('/flag|www|fi|arra|mor|ta|le|he|nl|hex|as|c.
TSCTF-J 2021 [SimplePHP]
Ivyyyyyy1的博客
10-24 229
一、题目 进来看到的代码如下: <?php highlight_file(__FILE__); if ($_GET["secret"] != hash("md4", $_GET["secret"])) { die('乐<br>'); } if (!preg_match('/http/i', $_GET['file'])) { if (preg_match('/^i_am_bloodhound$/', $_GET['name']) && $..
TSCTF-J 2021 [King of F12]
Ivyyyyyy1的博客
10-24 94
一、题目 看到没东西直接view-source 注释里是让我们跳转到下一个页面去 二、解题 发现第二个页面的这个按钮点不动,那么直接F12元素检查 发现有 disabled,删了之后就可以点开了 好,跳转到第三个页面去 打了几下发现James的血太多了,直接抓包放到Reapter里面 删掉Cookie就赢了 拿到flag ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值