【极客大挑战 2020】greatphp

极客大挑战2020 greatphp解题思路
原创 于 2025-04-01 09:04:15 发布 · 251 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #NSSCTF #极客大挑战

题目

<?php
error_reporting(0);
class SYCLOVER {
    public $syc;
    public $lover;

    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }

        }
    }
}

if (isset($_GET['great'])){
    unserialize($_GET['great']);
} else {
    highlight_file(__FILE__);
}

?>

思路

  1. 使用Exception class 或 Error class绕过第一步的hash比较

  2. include后面接变量名时, 不需要括号或引号

注意两个Exception对象写在同一行, 否则_toString后包含行号, hash的结果不同。

EXP

<?php

class SYCLOVER {
最低0.47元/天 解锁文章
XiaoHei_Q
关注
[极客挑战 2020]Greatphp (php 内置类)
qq_62046696的博客
12-20 1601
闭合掉,因为前面可能会有一些报错的信息,所以可以先闭合掉前面的东西,然后再来包含后面的是取反,因为在链里面所以需要用到解码,不用编码绕不过去正则,里面是/flag因为刷题多了都在根目录下面,不在的话正能一步步尝试。这里本来是用Exception构造,可是报错,因为我的php版本是5.41的然后没有Error,正在我想为什么报错的时候突然想到了,因为php7版本才引入PHP7中,可以在echo时触发__toString所以换了一个版本。PHP7中,可以在echo时触发__toString,来构造XSS。
[极客挑战 2020]Greatphp 原生类绕过
qq_54929891的博客
05-10 1225
<?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== s.
[极客挑战 2020]Greatphp
LYJ20010728的博客
05-31 2283
[极客挑战 2020]Greatphp考点思路Payload 考点 PHP原生类利用、PHP反序列化、md5()和sha1()对类进行hash触发__toString方法 思路 进入题目,分析源码,题目绕过类型第一眼看上去在ctf的基础题目中非常常见,一般情况下只需要使用数组即可绕过,但是由于这里是在类里面,我们不能这么做 所以我们可以使用含有 __toString 方法的PHP内置类来绕过,用的两个比较多的内置类就是 Exception 和 Error ,他们之中有一个 __toString 方
2020极客挑战web部分复现
re1wn
12-08 7135
2020极客挑战web部分复现
BUUCTF--[极客挑战 2020]Greatphp
qq_46263951的博客
08-11 1410
进入页面后可以看到给出的代码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[极客挑战 2020]Greatphp1
alwtj的博客
09-02 1813
所以,我们可以通过PHP的原生类来进行绕过(Error 或者 Exception),这两个类中呢存在一个_toString()的方法属性,意思就是当这两个类的对面需要被转换成字符串的时候就会调用 _toString()函数,下半部分就是传入一个great的参数,对这个参数进行反序列化,所以我们目标就明确了,我们需要绕过这个强类型比较,之后在绕过正则表达,最后执行寻找flag的命令.php 来实现我们包含flag文件的效果,又因为正则表达过滤了php我们可以用
极客挑战2020年部分wp
qq_46041723的博客
11-17 1856
2020极客挑战部分wp前言web一、朋友的学妹二、EZWWW三、刘壮的黑页四、welcome 前言 2020极客挑战开始了。又是一届自闭季。在变菜的路上一去不复返 web 一、朋友的学妹 打开题目 发现提示,然后查看控制窗口发现 然后看到base64加密,解密后得到flag。 二、EZWWW 打开题目 发现提示网站已经备份,那么就直接御剑扫后台得到 然后打开zip路径得到下载提示,打开 直接放弃文档里的flag。肯定假的。所以打开index.php,发现 <html> <hea
php内置类小结
leekos的博客,分享web安全相关知识~
05-31 1591
PHP 的内置类 SoapClient 是一个专门用来访问web服务的类,可以提供一个基于SOAP协议访问Web服务的 PHP 客户端。Error类是php的一个内置类,通常用于自定义一个Error,在php7版本后适用,可能存在xss漏洞,因为内置了一个。类也是可以遍历一个文件目录,使用方法与前两个类也基本相似。看了一下文档发现该原生类是继承FilesystemIterator的,所以也是以绝对路径显示的。(需要注意的是,我们使用GlobIterator只需要输入路径即可,不需要添加glob://)
极客挑战php,buucitf-[极客挑战 2020]Roamphp1-Welcome
weixin_36280317的博客
03-22 312
打开靶机,发现什么也没有,因为极客挑战有hint.txt,里面说尝试换一种请求的方式,bp抓包,然后发送了POST请求,出现了下面的界面这个还是挺简单的,因为是极客挑战上的第一波题,关键是这个如果不是用POST请求,就会出现类似报错的信息。紧接着就是isset这个很好绕过,我们要传参,这个肯定到了else if判断,如果进入这个循环,我们就可以拿到这个站的phpinfo()信息,POST传两个...
2020第十一届极客挑战——Geek Challenge(部分解)
热门推荐
weixin_45794666的博客
12-19 2万+
Crypto 二战情报员刘壮 考点:摩斯密码 通过 1.简介中直接看出是摩斯密码 2.通过在线网站直接解密得到flag 铠甲与萨满 考点:凯撒密码 1.通过题目和提示知道是凯撒密码 2.通过CrakTools直接解密找到SYC即可 成都养猪二厂 考点:猪圈密码,栅栏密码 1.[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-w1bVRQgi-1608350560768)(http://image.liangyueliangyue.top/writeup-image/image
[极客挑战 2020]Roamphp 1、2、4
shinygod的博客
04-05 2114
知识点:数组绕过加密 Roamphp1-Welcome <?php error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else { if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){ show_source(__FILE
[极客挑战 2019]PHP
沐目的博客
12-14 1万+
这道题不怎么难,但还是学到了一些东西。记录一下。 1.public、protected与private在序列化时的区别 protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀。这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。这也许解释了,为什么如果直接...
BUUCTF [极客挑战 2020] Roamphp1-Welcome
Senimo
12-21 1528
BUUCTF [极客挑战 2020] Roamphp1-Welcome 考点: POST传参方式 sha1()不能加密数组 启动题目: 等了一阵子,一直是这样,查阅其他wp得知,原题中提示有:换一种请求方式 使用BurpSuite抓去数据包: 将传参方式修改为POST,发送数据包,得到题目源码: error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allow
2020第十一届极客挑战——Geek Challenge部分wp
monster663的博客
10-26 4248
比赛正在进行中,本来只剩web没有AK,然后出了一波新题,先留一个坑,之后再填
[极客挑战 2020]FighterFightsInvincibly
Biodog的博客
09-13 901
正好同学搭了这题的复现环境就做了一下,感觉还是挺好的题,buu的环境不知道是不是配置的有问题只有一个人解,当时就没去看 源码就一行$_REQUEST['fighter']($_REQUEST['fights'],$_REQUEST['invincibly']); 用create_function 构造fighter=create_function&fights=&invincibly=;}phpinfo();/* 可以读到phpinfo,直接连shell的话不行,应该是设置了权限,而且读ph
[BUUCTF0223][极客挑战 2020]Roamphp1-Welcome
m0_52674595的博客
12-24 551
[BUUCTF0223] [极客挑战 2020]Roamphp1-Welcome 打开靶机 什么都没 查看源码 什么也没有 猜想不是用GET请求 尝试用POST请求 使用火狐的插件:RESTClient 使用POST请求 查看预览 看到要求 $_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'] 即roam1与roam2不能相等 再看sha1()函数 查看得知sha1()
极客挑战
最新发布
05-27
### 极客挑战 IT竞赛及相关技术活动 对于热衷于编程和技术竞赛的IT从业者来说,参与高水平的技术比赛不仅能够提升个人技能,还能拓展人脉并获得职业发展的机会。例如,Tapdata 曾联合 LeetCode 发起了一场面向...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值