2022DASCTF Apr X FATE 防疫挑战赛——【Web】warmup-php

最新推荐文章于 2022-07-25 14:37:06 发布
原创 最新推荐文章于 2022-07-25 14:37:06 发布 · 400 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #web安全

本文详细介绍了PHP中的spl_autoload_register函数如何实现类的自动加载,以及如何通过payload构造利用这一点进行命令执行。通过分析ListView、TestView和Base类的关键代码,揭示了eval函数在evaluateExpression方法中的风险,最后给出了利用模板注入和eval执行任意命令的Payload。文章适合了解PHP安全和代码审计的读者阅读。

warmup-php

0. 题目信息

打开链接,网页源码如下:

 <?php
spl_autoload_register(function($class){
   
   
    require("./class/".$class.".php");
});
highlight_file(__FILE__);
error_reporting(0);
$action = $_GET['action'];
$properties = $_POST['properties'];
class Action{
   
   

    public function __construct($action,$properties){
   
   

        $object=new $action();
        foreach($properties as $name=>$value)
            $object->$name=$value;
        $object->run();
    }
}

new Action($action,$properties);
?>

下载题目附件,有4个PHP文件:

在这里插入图片描述

1. 解题步骤

首先观察题目源码,spl_autoload_register函数实现了当程序遇到调用没有定义过的函数时,会去找./class/函数名.php路径下的php文件,并把它包含在程序中。

可以使用POST方式传入properties参数,用来初始化类成员变量的值。

注意Action类的构造函数中调用了run函数,因此此时思路就是找一下哪个文件中定义了这个函数。

然后对于题目附件给出的文件进行代码审计:

(1)ListView.php 部分关键代码

<?php

abstract class ListView extends Base
{
   
   

    public $tagName='div';
    public $template;

    public function run()
    {
   
   
        echo "<".$this->tagName.">\n";
        $this->renderContent();
        echo "<".$this->tagName.">\n";
    }


    public function renderContent(</
最低0.47元/天 解锁文章
2022DASCTF Apr X FATE 防疫挑战赛——【Misc】Bindundun
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-24 458
冰墩墩 下载附件,解压发现是10万多个txt,找到一个start.txt,打开内容如下: 101000001001011 =>The txt you should view is m9312r95cr.txt 其他文件也是这种格式,发现前部分得数据是15位,左边补零转16进制的话就是0x504B,看到这里应该能想到是压缩包了,写了个垃圾脚本逐个读取文件,将数据拼接并写入文件。 import re path = 'D:\\BinDunDun\\' regex_next = "is (.*?\\.t
2022DASCTF Apr X FATE 防疫挑战赛 WriteUP
Huamang的博客
04-25 2622
文章目录MiscSimpleFlowWebwarmup-phpsoeasy_php Misc SimpleFlow 看流量大概是上传了一个后门,但是会对payload加密,这里发现有flag.txt被打包 后面的包里面发现flag.zip 但是打开需要密码,那么我们就要回去压缩的地方,看看给的什么密码,所以我们就得解开这个流量 @eval(@base64_decode($_POST['m8f8d9db647ecd'])); &e57fb9c067c677=o3 &g479cf6f058c
2022DASCTF Apr X FATE 防疫挑战
qq_61620566的博客
05-03 370
ctf DAS
2022DASCTF Apr X FATE 防疫挑战赛 Writeup
末初 · mochu7
04-25 2894
文章目录SimpleFlow熟悉的猫冰墩墩 废物选手的misc做题记录 SimpleFlow 首先tcp.stream eq 50中分析传入的执行命令的变量是$s,也就是参数substr($_POST["g479cf6f058cf8"],2) 找到对应的参数,然后去掉前面两位字符解码即可 cd "/Users/chang/Sites/test";zip -P PaSsZiPWorD flag.zip ../flag.txt;echo [S];pwd;echo [E] 得到压缩包密码:PaSsZi
2022DASCTF Apr X FATE 防疫挑战赛复现
m0_62129839的博客
05-22 570
misc 第二题: wireshark打开直接搜字符串flag,发现4个字段含有flag,其中一个发现是zip文件,想把它提取出来, 将他数据导入一个新的zip文件,打开 在50段找到密码加密字段,找好格式用base64解码,得到密码,解开得到flagPaSsZiPWorD 第三题熟悉的猫: 被卡住了,下载好了keepass,可是解码工具却一直下不好,下好了也用不上。暂时搁置。 ...
[2022DASCTF Apr X FATE 防疫挑战赛]web题目复现
cosmoslin的博客
05-02 1136
warmup-php 给了源码: <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public function __
2022DASCTF Apr X FATE 防疫挑战赛——【Misc】熟悉的猫
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-27 1747
熟悉的猫 下载文件,补上zip后缀名,解压得到两个文件: flag.zip有密码保护 len5.kdbx文件经过搜索,可以使用keepass打开。打开时发现需要密码。 根据文件名,猜测密码为5位字符,则开始爆破。 首先使用John The Ripper工具转换一下John支持的格式。 然后使用hashcat爆破hash值得到密码。 hashcat -m 13400 keepass.txt -a 0 password.txt --force # m:破解的hash类型,hashcat -h 何查看类
2022DASCTF Apr X FATE 防疫挑战赛个人Writeup
更多知识欢迎访问我的博客园:https://www.cnblogs.com/2ha0yuk7on/
04-24 967
这次下午有事,上午做了两道就溜了,简单记录一下。 Crypto easy_real 读题目代码: import random import hashlib flag = 'xxxxxxxxxxxxxxxxxxxx' key = random.randint(1,10) for i in range(len(flag)): crypto += chr(ord(flag[i])^key) m = crypto的ascii十六进制 e = random.randint(1,100) print(hashlib
[MISC]2022DASCTF Apr X FATE 防疫挑战
RookieMOR的博客
05-06 1684
1.SimpleFlow; 2.熟悉的猫; 3.冰墩墩; 1.SimpleFlow: 下载得到SimpleFlow的压缩包,解压得到SimpleFlow.pcapng,流量分析题目。查找 flag. ,可以知道一共有四个flag.txt文件,一个flag.zip文件。用kali的foremost指令可以分离出flag.zip文件,发现flag.zip需要密码。 再追踪每个flag.txt。 发现蚁剑流量,一个一个base64解码, 在其中一个txt文件中得到: Y2QgIi9Vc2Vy.
2022DASCTF Apr X FATE 防疫挑战赛 good_luck
臭nana的博客
04-24 909
这道题最开始的附件,代码是随机生成一个0~199的数,然后0触发格式化字符串漏洞,1触发栈溢出漏洞,修改后的附件随机数是0或者1 下面是脚本,脚本逻辑:通过栈溢出返回到格式化字符串漏洞函数,泄露libc地址,然后再返回到main函数,通过栈溢出执行onegadget 几率:第一次执行栈溢出1/2,第二次再次执行栈溢出1/2,1/4的概率执行成功 from pwn import * from LibcSearcher import * context(log_level = "debug") csu
easy_real复现
qq_61774705的博客
04-30 401
题目源码: import random import hashlib flag = 'xxxxxxxxxxxxxxxxxxxx' key = random.randint(1,10) for i in range(len(flag)): crypto += chr(ord(flag[i])^key) m = crypto的ascii十六进制 e = random.randint(1,100) print(hashlib.md5(e)) p = 64310413306776406422334034...
2022DASCTF Apr X FATE 防疫挑战赛 部分web复现
errorr0
04-28 1783
DAS的部分web复现
buuctf-web-[CISCN2019 华北赛区 Day2 Web1]Hack World-wp
居上
08-10 413
[CISCN2019 华北赛区 Day2 Web1]Hack World 知识点 fuzz python盲注脚本 过程 fuzz一哈 一个搜索框,搜索框输入1或2会返回结果,其他都返回bool(false)。过滤了union、and、or、空格等 贴上脚本: import requests url = "http://a5a19ec2-3fe1-4f07-9465-f4c861d25093.node4.buuoj.cn:81/index.php" result = "" num = 0 # 用
Dasctf web 2道题的wp
Airwooh的博客
08-02 511
就出了两道web 太菜了 总排名44 eur1ka yyds web1 Google 搜了一下 是前几天爆出的一个洞 直接打就出来了 web2 <?php if (isset($_GET['cmd'])) { $cmd = $_GET['cmd']; if (!preg_match('/flag/i',$cmd)) { $cmd = escapeshellarg($cmd); system('cat ' . $cmd); .
DASCTF x SU 三月wp+复现
一只菜鸡
03-30 716
之前给忘了 已经搭建新站很久了~ 师傅们来找我玩呀 因为还没复现完就先放这里了 复现完再放新站 ezpop 直接得到源码: <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->.
CTFshow——WP(WEB[1~5])
hahaha233330的博客
10-29 832
1、web签到题 F12 2、web2
六月DASCTFre方面wp
weixin_43990313的博客
06-28 475
T0p Gear 题目是upx壳,先用upx脱壳后载入ida。 观察程序的逻辑。有三个关键check,分别进入观察逻辑。 check1(其中sub_401080是相等的比较函数)这段flag的结果就是字符串(注意字符串的顺序) 其实看汇编代码更直接一些。 check2,这是一个aes加密,对字符串进行加密然后和输入的数据进行比较。 可以直接在call这一位置下断,观察rax寄存器的情况。gdb调试下断即可。 查看rax寄存器的内容,得到字符串。 check3同理 拼接起来得到fag c92bb
DASCTF 7月赋能赛pwn wp
N1rvana的博客
07-25 612
DASCTF 7月赋能赛pwn wp
[DASCTF Apr.2023 X SU战队2023开局之战]【中等】7里香
最新发布
06-10
### DASCTF 2023 SU战队 '7里香' 解题思路 根据已知信息,DASCTF Apr.2023赛事中SU战队的题目'7里香'可能涉及文件头补全、EXIF信息提取以及密码解密等操作。以下是可能的解题思路: #### 文件头补全 题目要求补全`jpg`文件头,并添加三个字节`FF D8 FF`作为文件头[^1]。这表明需要将给定的数据转换为合法的JPEG文件格式。JPEG文件的标准文件头为`FF D8 FF`,因此可以通过以下步骤生成图片文件: ```python # 将数据写入文件并补全文件头 with open("output.jpg", "wb") as f: f.write(bytes.fromhex("FFD8FF")) # 补全文件头 f.write(b"your_data_here") # 替换为实际数据 ``` #### EXIF信息提取 通过补全文件头后生成的图片文件,可以使用工具或代码提取其EXIF信息。EXIF信息中可能存在提示`OurSecret`及密码。以下是Python代码示例,用于提取EXIF信息: ```python from PIL import Image from PIL.ExifTags import TAGS def extract_exif(image_path): image = Image.open(image_path) exif_data = image._getexif() if exif_data: for tag_id, value in exif_data.items(): tag = TAGS.get(tag_id, tag_id) print(f"{tag}: {value}") extract_exif("output.jpg") ``` 上述代码会输出图片的EXIF信息,从中可以找到提示`OurSecret`及密码。 #### 密码解密 根据EXIF中的提示和密码,可以直接解密得到最终的flag。假设密码为`password`,则解密过程可能如下: ```python import hashlib # 使用密码计算MD5值 password = "password" flag = hashlib.md5(password.encode()).hexdigest() print(f"DASCTF{{{flag}}}") ``` #### 最终Flag 根据上述步骤,最终的flag为`DASCTF{426cb864312d5e30e3eef2950ea4826c}`[^1]。 --- ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2ha0yuk7on.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值