weixin_46301214的博客

天命：因为是php的上古版本，所以本机无法复现，只能用归纳法解决，就是题海战术找相同点，fuzz来测试新的题目。题目二：protected属性，只能用整数2，不能用字符串2。__wakeup函数，private属性。__wakeup函数，private属性。题目一：绕过正则和绕过。题目一：绕过正则和绕过。

一打开题目就告诉你输入flag参数，而且你输入什么就输出什么。很明显就是模板注入，Python的web框架独有的漏洞。那就简单，去查一下payload，一把梭。原理也不解释，就是拿poc一把梭。输入：1 输出：1。

访问一下hint.php文件就告诉我们，flag在 ffffllllaaaagggg 这个文件里。hint.php 是必填的，然后重点来了，想要访问成其他文件，只需要继续拼接?拦截大概意思就是，我们输入：ffffllllaaaagggg。ffffllllaaaagggg == 数组里两个文件名吗？然后你会发现，这TM是五层目录啊，而且本地是无法复现出来的。发现文件，打开访问一下看看，发现是代码审计。这里经验灵感是 四个字，所以是四层目录。

变量名：Demofile 变成 \00Demo\00， 字符个数+2就行：s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候，就什么安全性因素，就不触发。天命：这条反序列化题目也是比较特别，里面的漏洞知识点，在现在的php都被修复了。【绕过点二】绕过 __wakeup函数，把反序列化中的内容数量，从1改成2即可。多一个+号（具体原理也不清楚，反正当是刷经验了，上古版本的php才有的漏洞）既不简单，也不难，我也学了几天才算比较掌握。

来看看题目，再问问文心一言，巴拉巴拉一大堆，就是说Tornado框架中模板语法和一个配置参数，我们能通过模板语法把配置文件的参数打印出来，就能得到cookie_secret了。套上模板语法就可以玩了，具体啥原理我也不太知道，这种老框架估计做完这题就不需要用了。简单阅读后会发现，这里存在文件包含漏洞，可以直接读取文件，但是有一个哈希值校验。天命：这题是框架性的漏洞，Python的web服务器框架，应该已经比较古老了。哈哈哈，我想太多了，没这么高科技，只是文件名的MD5值罢了。接着继续，只要你输错哈希值。

我暂时没搞明白这题目意义何在，好像跟实战有点偏离的太远了，用JavaScript服务器来处理登录？账号密码不存放数据库？存缓存里？能让所有人注册管理员账号？太扯淡了。

通常apache和nginx都包含有 .htaccess 配置文件，可以试试这个漏洞。后来发现问题在Content-Type里，只能上传 image/jpeg 类型。但是发现还是能识别到，那就说明有php的特征被识别到了。那就需要使用图片码，但没有文件包含漏洞，无法执行。所以就采用上传.htaccess配置文件来。就改用JavaScript变成php来执行。然后更改文件名为jpeg后缀，上传。某文件变成php来执行。

首先是打印序列化出来的结果是自带类名的，这个一开始以为是个bug，后来发现flag需要这个，导致我也搞不懂为什么了。开始答题，题目说有备份，那就用工具或自己写个脚本去扫（主要看字典），拿CTF的字典一顿扫，发现有源码泄露。你在代码里直接转会自带这种%00，有特殊效果，不知道是截断还是其他效果，反正没有这东西就不通过。当然了，我也是看了答案再反推逻辑的，也不知后台服务器是不是真的这样写。所以就需要把序列化出来的字符串改动一下，从2个元素，改成3个元素。好了，懂开发，踩过坑之后，咱们继续踩坑……

改动2：在op前面增加\00*\00，因为私有属性是会自带 * 号，需要用\00来截断（原理不清楚）先看进来入口的逻辑，判断是不是正常的ascii码字符，然后反序列化，可以忽略校验，都是正常的。看了一下只有读文件函数是有用的，那就要 $op=2 或者$op='2' 才行。奇怪的地方：$op是整数2，不能是字符串的2，很奇怪，明明字符串的2也可以啊。天命：这题也是有点奇怪的，明明用字符串2也应该是可以，但偏偏就不行，神奇了。天命：php的序列化题目简直是玄学，既不能本地复现，也不能求证靶场环境。

解题要点【解题思路】目录扫描+检查源码 ->发现了一个隐藏目录根据文字提示，觉察到有隐藏暗跳找到暗链后访问就能看到解题源码直接利用文件访问漏洞读取php文件源码即可【难点】通过题目语言暗示觉察出暗中跳转【漏洞点】源码泄露文件包含漏洞步骤一：发现隐藏目录查看源码发现了隐藏的目录文件ctrl+点击，跳转速达步骤二：发现隐藏文件跳转网址SECRET可以点击，那我们就点一下看看吧...

天命：好像也不太easy首先判断只能上传图片格式的话，那只能通过其他漏洞来把图片解析成php才能构成漏洞了看了一下别人wp，原来是利用php的配置文件来实现漏洞攻击php的 user.ini 配置文件里，有一个参数是在文件运行前把某个文件包含进来的我们只需要做一个局部配置文件，即可触发效果然后上传图片，把图片包含进来即可就相当于触发了文件包含漏洞。

本题考点- 熟悉PHP函数使用- 检测你的编程基础是否扎实步骤一：阅读源码，并分析打开就有源码，且有提示是逆向算法题分析后得出加密过程：原文->字符反转->循环加ascii码后还原拼接->base64加密->字符反转->rot13加密#不懂PHP函数的自己去查，找个在线PHP刷一下就懂了步骤二：编写程序，并打印flag编程程序，逆向解密过程如下：rot13解密->字符反转->...

我们传进去的是数组，那么两个变量就肯定不相等，但md5函数识别不了数组，当成是同一个数组进行加密，那得到的结果肯定一样啊，这个属于php的md5漏洞了吧。这里好像说是MySQL特性，只有数字在开头才算有东西，字母在前面是没东西的，所以6xxx刚好算是有东西，判定为 true。两个等号的情况下 == ，只要是0e开头，都会当成科学计数法，无论是0的多少次方，通通都是0。居然是真的，原理就是这样子，只要有东西，就算是true，那就忽略密码直接判断为true。来到第二个页面，啥也没有，照旧两步骤，看源码和抓包。

利用：是php中独有的一个协议，可以作为一个中间过滤器来处理目标数据流，可以进行任意文件的读取，且该协议的参数会在该协议路径上进行传递，多个参数都可以在一个路径上传递，相当于可构造多个过滤器。通俗一点讲就是，php://input作为被包含的参数时，也是文件包含，不过是包含的对象是post的数据，而post的数据为用户所传入，所以也相当于任意命令执行。直接 file=flag.php ，然后echo一下实例化的类，就完事了（忘记了上去看一下一开始的源码）有不一样的效果，有的是在注释，有的是直接显示到页面。

解题要点【解题思路】1）先进行CTF定点目录扫描2）发现存在flag.php返回303数值3）根据页面正常注册登录4）在用户页面测试一下发现存在SQL注入5）成功注入后，没在数据库里发现flag6）检测此时数据库用户权限，发现是root7）利用load_file()读取系统文件flag.php【难点】1）检测sql注入是被如何过滤了2...