[2021N1CTF国际赛]Easyphp-Wp

最新推荐文章于 2025-10-09 21:27:00 发布
原创 最新推荐文章于 2025-10-09 21:27:00 发布 · 3.2k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文探讨了如何通过构造特定的tar文件来触发WordPress中的phar反序列化漏洞,通过编写脚本生成伪造的tar结构并实现flag获取。

文章目录

写在前面

在这里插入图片描述

在各种带飞的情况下,web被带ak了,这里比较想写一个easyphp的wp,这题到结束也只有14个解,其他的懒得写了,本文也只是简单分析

Wp

简单分析

看看首页源码
在这里插入图片描述
再看这里很明显是触发phar反序列化
在这里插入图片描述
如何插入数据是一个问题,这里没有上传,再看log.php

在这里插入图片描述
关键部分源码是这个,我们就应该去想如何去构造,这里phar太难搞了,具体可以看看官方文档关于他的结构,后面最后四位肯定是GBMB多一位都不行,这里想到了tar,本来他也可以用来触发反序列化之前说过,并且不需要像phar那样去计算签名
在这里插入图片描述

小实验验证猜想可效性

先生成一个phar
在这里插入图片描述
再生成一个tar
在这里插入图片描述

下面做个实验,首先生成了一个tar与phar,在后面加点字符看看还能触发么
在这里插入图片描述

验证一下确实可行

在这里插入图片描述

在这里插入图片描述
那么我们就可以去尝试构造了对吧

构造tar

首先我们要知道tar只是一个归档文件,并不进行压缩,这点别记错了
这是官方文档对于tar的介绍:https://jackrabbit.apache.org/oak/docs/nodestore/segment/tar.html
来看

最低0.47元/天 解锁文章
【网络安全 | CTFeasyphp 江苏工匠杯
等风来
12-25 3267
表示在n中查找为DGGJ的元素,找不到就终止脚本。利用当函数接入不符合类型,则返回0的特性,将n内容改为数字类型
2021-RedHat-CTF-WP【WEB】
afei001
06-06 577
WEB 1.find_it:文件fuzz 代码审计 1.1 PHP代码分析 2.framework: Yii—CVE-2020-15148反序列化 2.1源码分析 3.WebsiteManger:布尔型盲注 4.easy cms for you WEB 1.find_it:文件fuzz 代码审计 拿到目标靶机,常规WEB渗透思路对目标进行信息搜集、端口探测、目录探测等等。目录探测在robots.txt文件中发现了信息。 告诉我们存在1ndexx.php,但是直接访...
CTF-easy_php
m0_62593857的博客
02-01 758
ctf-easy_php
buuctf easyphp
qq_50613938的博客
12-16 604
我们用这个输出 但我不明白为什么,不能直接把“POST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"GET",然后配合_POST[‘a’];” 全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"_GET",然后配合P​OST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替".
[CTF&攻防世界&Web][江苏工匠杯]easyphp
最新发布
Sakura&Blog
10-09 894
CTF-Web篇江苏工匠]easyphpeasyphp代码审计,一点也不easy
CTF-江苏工匠杯easyphp 题解
百彦子烨的博客
11-04 4782
攻防世界-web新手区-江苏工匠杯-easyphp 题解
[GYCTF2020]Easyphp
东隅的博客
10-31 829
nickname),那这个类它反序列化出来字符串大括号{}里面只有俩元素,一个age的键值对一个nickname的键值对(这么说也不太严谨,就是那个意思吧),然后操作空间就来了,紧接着这个反序列化好的字符串进到safe函数里进行一个反序列化字符串的逃逸,nickname可以很长,union被替换成hacker等方式都可以用来进行逃逸。这个是放在Info类的nickname里作为字符串出现的,为了保证Info类序列化的可用性,我们需要把这些字符串逃逸到Info类的第三个属性$CtrlCase里。
BugKu 2021 CTF AWD 排位 真题 S2 AWD排位-7.zip
12-07
【标题】"BugKu 2021 CTF AWD 排位 真题 S2 AWD排位-7.zip" 指的是2021年BugKu网络安全平台举办的AWD(Attack-Defend,攻防)CTF(Capture The Flag,夺旗)排位的实战题目,其中的"7"可能代表该事的第七个...
2021CTF鹤城杯挑战WEB-wp
qq_36410265的博客
12-27 2470
2021CTF鹤城杯挑战WEB部分wp
2021-RedHat-CTF-WP【MISC】
afei001
05-18 710
目录 MISC 1.签到题:EBCDIC编码 1.1 方法1:010Editor工具转换 1.2 方法2:python转换 2.colorful code:RGB隐写+Piet 2.1 前期分析 2.2 RGB转图片 2.3 Piet解码 3.PicPic:你想成为CV大师嘛 3.1 前期分析 3.2 challenge1:傅里叶反变化原理 3.3 challenge2:傅里叶反变化原理 3.4 challenge3:傅里叶反变化原理 MISC 1.签到题:EBCDIC编.
NKCTF-easy_php
Keepb1ue的博客
04-01 2785
第一个弱比较绕过,可以通过magic hash 0e开头或者数组绕过。这个是考php非法传参问题。套娃题,需要绕五个过滤。
攻防世界ctf web easyphp题解wp
qq_41169485的博客
09-28 4027
第二步,用php代码编写MD5碰撞脚本得到b=53724。第五步,绕过array_search函数。第一步,用科学计数法绕过 a=1e9。第三步,绕过is_numeric函数。第四步,绕过is_array函数。一定要对传值url编码。
攻防世界(CTF)~web-easyphp(江苏工匠杯)
海鸥先生的博客
05-05 1341
这题刚开始感觉难度很大,但是仔细过了一遍就感觉单纯的是麻烦,没有什么拐弯抹角的,刷一次做个笔记留着
攻防世界--easyphp
qq_51802152的博客
12-17 1176
攻防世界--easyphp
2021 N1CTF mmmmmmmap
weixin_46483787的博客
04-07 352
这个题很有意思,考查到了不是很常用的chunk低三位里的M位,当M位为1的时候,表示chunk是由mmap申请出来的 题目结构是常见的菜单堆题,在异或的部分有一个小溢出 然后在exit中给了一个格式化字符串,但是有一个条件: 即必须要write(1,buf,0xa)失败,而buf是程序一开始申请的一个chunk,即便我们把它free掉或者做什么处理,至少不会让write失败,能让它返回-1的唯一条件是buf变成指向一块无法访问的内存,那么什么样的内存无法访问,被munmap收回的内存无法访问,所以做法是通
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 2443
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
[第二届BMZCTF]easy_php
as you know, nlp is fantasitc!
01-17 543
[第二届BMZCTF]easy_php 写在前面的话:元旦打的比,现在终于有时间来复现,害,勤能补拙吧! 题目源码 <?php highlight_file(__FILE__); error_reporting(0); function new_addslashes($string) { if(!is_array($string)) return addslashes($string); foreach($string as $key => $val) $string[
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值