2018安恆杯12月月賽復現

萌新因為種種原因沒有做安恆12月的月賽題，正巧這幾天發現復現，又學到了新知識！

題目index.php給出原始碼：

<?php 
@error_reporting(1
);include
'flag.php'
;class
baby";
if(file_get_contents
($filename))
}}}if
(isset
($_get
['data'])
)else
}else
?>

這題一開始沒看懂到底是啥意思，一開始定義了乙個baby類，然後在下面完全沒有用到有關這個類的任何東西，所以身為萌新的我一臉矇圈…後來經過仔細地閱讀**，大量的查閱資料，現了其中的貓膩…

分析：

**一開始包含檔案flag.php；

然後定義了乙個類，類成員變數$file,重寫__tostring()方法，這個方法就是將以$filename為檔名的檔案輸出；

接著對data進行正則匹配preg_match('/[oc]:\d+:/i',$data,$matches)，匹配結果放入$matches，匹配成功就die('hacker!')，不成功就對輸入的$data進行反序列化並輸出；

解題方法：

其實這個題理解了以後就不難了，目標是輸出flag.php的內容，所以構造的data肯定也與包含的檔名相關；

先對flag.php進行序列化並輸出，指令碼如下：

<?php 
class
baby";
if(file_get_contents
($filename))
}}}$a
=new
baby()
;$a->
file
='flag.php';$b
=serialize($a
);echo($b
);?>

***測試結果輸出：***o:4:"baby":1:直接get這個值會匹配正規表示式，所以就要想辦法繞過；

繞過方法：該函式設計的初衷是為了不讓object型別被反序列化，然而正則不夠嚴謹，我們可以在物件長度前加乙個+號，即o:4 -> o:+4，即可繞過這層檢測，從而使得我們可控的資料傳入unserialize函式；

構造如下：o:+4:"baby":1:

將這個字元傳入unserialize函式以後會直接反序列化出乙個baby的物件$good，$good->file是flag.php，反序列化後會直接預設呼叫魔術方法__tostring()輸出檔案內容；

所以歸根結底還是乙個正則繞過+反序列化的問題，將構造的data經過url編碼以後get進去即可得到flag；(不知道為啥直接在瀏覽器裡傳參沒用，所以就用bp構造get了一下)

這題拿到以後沒有切入點…老辦法…掃一波目錄，發現admin.php和config.php

進入admin.php發現you are not admin…，基本定下思路就是偽造管理員身份登入，檢視請求頭中的資訊發現cookie的user=dxnlcg%3d%3d推測為base64編碼，解碼為user

要求以管理員身份登入，於是偽造user為admin，base64編碼一下修改cookie的值為ywrtaw4=；重新整理網頁後發現進入了如下介面；

輸入ls發現回顯；

輸入ls /想檢視根目錄報錯error，輸入cat admin.php報錯，設想是過濾了空格，google了一下空格的繞過方式如下：ifs的預設值為：空白（包括：空格，tab, 和新行)

用$嘗試繞過，輸入ls$/,發現回顯中有flag資訊：

直接cat$/fflag_404得到flag：

事後想檢視admin.php和config.php的內容，發現$無效，於是嘗試<>成功，直接cat<>admin.php和config.php即可；

admin.php

<?php 
include
'config.php';if
(!isset
($_session
['admin'])
||$_session
['admin'
]===
false)if
(@$_post
['cmd'])
else
}else
include
'./templates/admin.html'
;

config.php

<?php 
session_start()
;function
waf_exec
($str
)|

發現確實用waf_exec()函式過濾了空格，>，等一系列符號，但是沒有過濾< / $，所以可以直接用《和$ifs繞過即可；

得到的編碼為base32，直接解碼md5一下即可

2018安恆杯12月月賽復現

安恆杯12月月賽

安恆2023年12月月賽wp web部分

安恆月賽 2023年12月

2018安恆杯12月月賽復現

安恆杯12月月賽

安恆2023年12月月賽wp web部分

安恆月賽 2023年12月

相關推薦