[NPUCTF2020]ReadlezPHP 1[b(a)]

最新推荐文章于 2024-03-28 20:38:17 发布
最新推荐文章于 2024-03-28 20:38:17 发布
阅读量142 收藏
点赞数
分类专栏: 网络安全 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45577185/article/details/120799891
版权

在这里插入图片描述f12发现了令一个网页,打开
在这里插入图片描述
发现代码,开始审计在这里插入图片描述
__destruct()魔术方法:
属性b包裹住属性a
利用assert()函数
assert 判断一个表达式是否成立
assert()可以将整个字符串参数当作php参数执行。

构造反序列化
由b(a)可以构造b=assert,a=phpinfo ->assert(phpinfo())
反序列化构造

payload:?data=O:8:
最低0.47元/天 解锁文章
满月*
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NPUCTF2020]ReadlezPHP 1
shinygod的博客
03-21 1530
知识点:assert和eval的不同 call_user_func 回调函数 分析 ctrl+u看源码 这题应该是要构造序列化来通过echo $b($a);拿flag,不过flag在phpinfo里我是真没想到。 payload 序列化: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this-&gt
[NPUCTF2020]ReadlezPHP
姜小孩的博客
04-25 2209
[NPUCTF2020]ReadlezPHP BUU 刷题
NPUCTF2020 ReadlezPHP
Tajang的大千世界
05-02 275
打开靶机,吓我一跳,你根本不知道大晚上刷题,看到这个网页内心是啥感觉 页面好像限制鼠标了,左点右点没东西。robots啥也没有,CTRL+U看源码 发现有./time.php?source,点进去看一下 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s";
[BUUCTF][NPUCTF2020]ReadlezPHP
朋克归零膏的博客
10-28 315
执行函数的方式挺有意思,但是平时自己就没怎么总结过各种php执行代码的方式,现在总结一下。
[NPUCTF2020]ReadlezPHP【web系列】
shutTD的博客
10-05 418
打开题目发现是一个帅帅的界面发现没什么有用的,那就f12康康有什么有用的,仔细查看每一个标签发现有一个网址我们跟着点进去一看发现是一段源代码,那这里就是解题的入口了看到就知道这道题是php反序列化了,所以接下来就是php反序列化做题流程。这题反序列化链很短,入口即终点,我们跟进发现那么这里就是个危险函数了也是我们的解题的最终步骤,在这里我们就需要认识一个函数了。
NPUCTF2020]ReadlezPHP
Hopeace的博客
10-20 2819
[NPUCTF2020]ReadlezPHP0x01 浏览题目0x02 分析题目php @0x03 复现0x04 补充 作者:Hopeace 靶机地址:https://buuoj.cn/challenges#[NPUCTF2020]ReadlezPHP 0x01 浏览题目 主页和源代码都没有什么有用的信息 抓包试试response里有木有东西 http://www.nwpu.edu.cn 西工大的宣传页面,对此题属于无用信息 扫目录,没有结果 再仔细看一遍源代码 ctrl + f 搜索.php看有没有泄露的
反序列化&动态调用 [NPUCTF2020]ReadlezPHP1
最新发布
m0_75178803的博客
03-28 984
在源代码上看到提示访问一下看看代码审计一下和执行漏洞:echo $b($a);在__destruct()方法里面有 echo $b($a);这个是php的特性,php可以通过这种方法动态调用方法我们可以利用这个特性弄一个后门代码如下成功蚁剑连接一下但是进去却什么都没有那我们修改代码,改去访问phpinfo成功访问。
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
解读“模块的沟通”
08-04
例如,如果模块A在时钟上升沿将信号Done设置为1,模块B不能立即在同一个时钟周期内检测到Done信号的变化,而是在下一个时钟周期才能看到Done信号为1。 下面通过一个具体的例子来进一步阐述这个问题: 假设我们有两...
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
[GXYCTF2019]BabyUpload 1 文件上传
weixin_45577185的博客
07-22 1890
源码: <?php session_start(); echo "<meta http-equiv=\"Content-Type\" content=\"textml; charset=utf-8\" /> <title>Upload</title> <form action=\"\" method=\"post\" enctype=\"multipart/form-data\"> 上传文件<input type=\"file\" name=\"
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1244
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
[BJDCTF2020]Easy MD5 1
weixin_45577185的博客
06-24 1089
bp抓包看到: select * from ‘admin’ where password=md5($pass,true) 查看一下md5()函数的true参数 和默认的输出不一样,百度一下MD5()true参数漏洞,发现可以找到 ffifdyop字符串会造成漏洞 ·在本地环境试验ffifdyop,输出的开头是’or’6xxxxxx 在数据库语句里就构成了select * from ‘admin’ where password= ''or’6xxxxxx ’ 相当于 password= ‘’ or 1.
[BJDCTF2020]Mark loves cat 1
weixin_45577185的博客
09-06 505
用dirb扫一下,发现源码泄露 dirb http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/ 脚本获得源码 python GitHack.py http://7036e761-e13f-483a-a1ed-6b0aa08562ed.node4.buuoj.cn:81/ <?php include 'flag.php'; $yds = "dog"; $is = "cat"; $handsome = 'yds'; foreach(
[SWPU2019]Web1
weixin_45577185的博客
09-12 505
1.二次注入 2.bypass information_schema 3.无列名注入 bypass information_schema 尝试使用单引号判断是否存在注入 报错说明存在二次注入 题目环境过滤了空格,我们使用/**/来进行绕过。过滤了or,因此我们无法使用order by 以及information_schema这个库。因为过滤了注释符,所以查询语句的最后我们要闭合单引号 本题在但是比赛中 bypass information_schema 是利用的 sys.schema_auto_incr
[极客大挑战 2019]FinalSQL 1
weixin_45577185的博客
10-12 424
开始试了试登录框,用sql注入,发现总是出现 后来发现url可能存在注入 通过bp,发现过滤了很多 输入11回显’ERROR’,10回显’NO! Not this! Click others~~~’ 由于空格被过滤,用()代替。 import requests url = 'http://279ed640-ef9f-410b-91f4-ac2f33bca34f.node4.buuoj.cn:81/search.php' flag = '' for i in range(1,250):# range.
[CISCN2019 华东南赛区]Web11 1(SSTI,smarty,X-Forwarded-For)
weixin_45577185的博客
10-16 419
知识点: SSTI smarty X-Forwarded-For Smarty是一个PHP的模板引擎,提供让程序逻辑与页面显示 (HTML/CSS)代码分离的功能。对于该框架的SSTI漏洞很多 文章往往只是一笔带过,讲解的重心往往在flask等框架上。 看到这个我就想到了抓包修改XFF试试加入X-Forwarded-For 发现Current IP更改为相应值 回想到曾经做过的题,用SSTI 发现存在注入 获取当前目录有那些文件:X-Forwarded-For:{system(‘ls’)}
[极客大挑战 2019]PHP 1
weixin_45577185的博客
06-16 377
用dirsearch-master扫描网站: 发现了www.zip,在网址后面加/www.zip,下载www.zip 然后解压发现: 挨个文件打开,发现flag.php里的flag是假的,然后发现class.php文件中: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; pub.
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值