WEB

0x01 ezweb2

访问主页抓包发现存在cookie值，其中uesr为base64加密解密后发现值同为user。

cookie

将其值修改为admin的base64加密后的值进行访问，发现页面重定向到了admin.php页面。

重定向

通过访问并抓包发现可以直接输入CMD命令

后台

输入ls发现返回当前目录中的文件，但输入ls /确出现错误。

image.png

无法使用空格，通过cat<config.php命令查看config.php文件，发现该文件将cmd传入的部分字符都替换成了空。

替换

在linux中空格可以使用$IFS代替空格。利用ls$IFS/查看/目录下文件发现flag文件。

image.png

通过cat$IFS/ffLAG_404获得flag。

flag1

0x02 easy

<?php  
@error_reporting(1); 
include ‘flag.php‘;
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
if (isset($_GET[‘data‘]))  
{ 
    $data = $_GET[‘data‘];
    preg_match(‘/[oc]:\d+:/i‘,$data,$matches);
    if(count($matches))
    {
        die(‘Hacker!‘);
    }
    else
    {
        $good = unserialize($data);
        echo $good;
    }     
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

代码审计的题目：
第一部分，分定义了一个baby的类，$file可以传入一个文件名,将该文件读入一个字符串并返回打印出来。(其中提示了flag位于flag.php文件中)
第二部分，可以利用get的方式传入data参数，对参数进行正则匹配，符合正则显示hacker!，不符合正则可以对baby类进行反序列化。

解题部分：
第一步，对baby类将需要的$file变量参数flag.php传入进行序列化。得到序列化后的字符串O:4:"baby":1:{s:4:"file";s:8:"flag.php";}。

<?php  
@error_reporting(1); 
include ‘flag.php‘;
class baby 
{   
    public $file="flag.php";
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  

$a = new baby();
print_r(serialize($a));
>

第二步，绕过正则表达式preg_match(‘/[oc]:\d+:/i‘,$data,$matches);正则中写到不能以大小的O/C字符开头后面接：再接正整数。现在我们序列化字符串O:4:"baby":1:{s:4:"file";s:8:"flag.php";}正好符合大写O开头后面为：再后面为正整数4。

在PHP源码var_unserializer.c，对反序列化字符串进行处理，在代码568行对字符进行判断，并调用相应的函数进行处理，当字符为'O'时，调用 yy13 函数，在 yy13 函数中，对‘O‘字符的下一个字符进行判断，如果是':',则调用 yy17 函数,如果不是则调用 yy3 函数,直接return 0，结束反序列化。接着看 yy17 函数。通过观察yybm[]数组可知，第一个if判断是否为数字，如果为数字则跳转到 yy20 函数，第二个判断如果是'+'号则跳转到 yy19 ，在 yy19 中，继续对 +号 后面的字符进行判断，如果为数字则跳转到 yy20 ,如果不是则跳转到 yy18 ， y18 最终跳转到 yy3 ，退出反序列化流程。由此，在'O:',后面可以增加'+'，用来绕过正则判断。（摘自红日攻防实验室http://sec-redclub.com/archives/962/）

反序列化

通过将序列化的字符串修改为O:+4:"baby":1:{s:4:"file";s:8:"flag.php";}，并使用get方式以data作为参数上传后得到flag。

MISC

0x01变换的指纹

0x02 签到

关注公众号，发送flag,回答问题，世界上什么牛不会跑，回答蜗牛获得flag。

0x03学习资料

下载后得到压缩包5c19f90d2677e，通过解压获得加密压缩包“只要学不死就往死里学”及“备忘录”,通过rar打开两个压缩包比较发现两个压缩包都包含同一文件备忘录，并且他们的CRC32校验都同为AB42C601。

获得压缩包

可以对解压出来的备忘录进行重新压缩，并使用ARCHPR对加密压缩包“只要学不死就往死里学”进行明文破解。

archpr

4个半小时后，终于解密到第十位获得密码1qazmko098。

得到密码

输入密码解压后得到学习资料。

5年高考3年模拟

通过把修改后缀为zip用rar打开后通过查找到world下的document.xml获得flag。

flag3

0x04 JUJU

题目提示说女朋友问我这11只JUJU哪只好看？(flag中的字符串md5后提交)
下载图片发现图片中只有几个猪，哪有11只。

JUJU

通过winhex打开，通过修改图片的高度及宽度还原图片的真实尺寸。修改宽度发现图片变花，可以修改高度还原图片，最后发现高度为00000438为真实图片高度。

hex

还原的图片获得字符串MZWGCZ33GQZTQMTEM5SGMMTEPU====

真实图片

该字符串末尾为=属于base加密，密文只包括大写字母及数字，属于base32加密，通过解密获得flag{4382dgdf2d}。

flag3

题目提示需要对flag进行md5加密，加密后得到a213072327f762855e475779eb081ca3

PWN

0x01 messageb0x