奇怪的编码
-
♭‖§∮♯♭‖§∮♬♭‖§§♫♭‖§∮§♭‖§♩§♭‖♯♬¶♭‖§§♫♭‖§§¶♭‖♯¶§♭‖♯¶♫♭‖§∮♭♭‖§§♫♭‖§§♬♭‖♯♬♪♭‖♯¶♪♭‖♯¶‖♭‖♯¶♯♭‖♯♬♬♭‖♯♬♪♭‖♯¶♯♭‖♯¶♯♭‖♯¶∮♭‖§∮♭♭‖♯♬♪♭‖§§♬♭‖♯¶§♭‖♯¶‖♭‖§§♬♭‖♯♬♪♭‖§§♫♭‖♯¶♪♭‖♯¶♫♭‖♯¶§♭‖§∮♭♭‖♯♬¶♭‖♯♬♬♭‖♯¶‖♭‖♯¶♫♭‖♯¶∮♭‖♯¶∮♭‖§§♫♭‖§♩♪‖‖‖♭§♪== -
https://www.qqxiuzi.cn/bianma/wenbenjiami.php?s=mangwen
在这个网站第一次解密音乐符号出现盲文,第二次解密盲文出现flag -
栅格密码……略
命令执行漏洞之拼接命令
伪协议:
file_get_content函数就用伪协议:php//:input
body里可以穿文本admin
Web-让我们一起来变魔术
拿到页面,查看网页源代码,获得关键代码:
明显的反序列化题目。
开始构造pop链。
先出一个大体思路:起点---终点
1.审计到Show里有__toSting函数,考虑是pop链起点。
2.步进——Show中的__construct(),(有echo)
3.继续步进——寻找可以读flag的地方,明显是Read的__invoke函数。pop链结束。
现在从__invoke往回反推:
1.首先__invoke要想执行,需要
而$this->token_flag在每次调用__invoke时,会重新生成。
可以使用引用,使token变为token_flag的引用即可解决:
2.要想触发__invoke,需要以调用函数的方式调用一个对象。
可以看到Test中的__get()方法有:
3.步进,要想触发__get()方法,需要访问不存在的成员变量:
看一下show的__toString():
所以思路很明确了:
payload如下:
执行后结果如下:
O:4:"Show":2:{s:6:"source";O:4:"Show":2:{s:6:"source";N;s:3:"str";a:1:{s:3:"str";O:4:"Test":1:{s:6:"params";O:4:"Read":2:{s:5:"token";N;s:10:"token_flag";R:7;}}}}s:3:"str";N;}
所以最终payload如下:
__EOF__
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论