一些这段时间的达不溜p

这段时间学习的时候做的题，挑了一些写了点笔记，凑活看吧

反序列化

题目如图。
反序列化题目给的php代码类似于说明书，告诉我们有几个变量，让变量值等于什么才能得到flag
$ a=“admin”; $p=123456;
$ a = new Name( $a,$ p);（看传参要求，有就写） $stus = serialize($ a);（序列化） print_r($stus);
真正解题目需要在在线运行工具处定义字符串，再将字符串发送给题目，序列化，题目就能把结果（flag）输出

同类型：

—wakeup
对象属性个数大于原来个数
Eg ：O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:123456;}
改后：O:4:“Name”:3:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:123456;}

Ctfshow一句话木马变形

查了一下源代码发现有system(ls);

发现flag.Php路径
直接echo弹出错误，知道被过滤
搜索发现
show_source(next(array_reverse(scandir(getcwd()))));
（PHP代码中一个典型的文件路径获取技巧）
执行顺序（从内到外）
getcwd()
获取当前工作目录的路径
scandir(getcwd())
扫描当前目录，返回包含所有文件和目录的数组
例如：[0=>‘.’, 1=>‘…’, 2=>‘index.php’, 3=>‘config.php’, …]
array_reverse(…)
将数组顺序反转
原本索引0是.，反转后最后一项变成第一项
next(…)
获取反转后数组的下一个元素（即原来倒数第二个元素）
show_source(…)
高亮显示该文件的源代码
常见于PHP webshell或文件管理后门，用于
绕过文件访问限制
通过调整顺序读取不同文件
作为代码混淆的一种手段

Ctfshow31~39（rce 文件包含）
34为例

有正则存在，过滤了很多东西。Flag system php cat sort…
发现include没有被ban，可以试着用$ _GET来传递内容，拿到flag 理论成立，实践开始需要用include传参，所以有include $_GET[](空格被ban所以拿%0a绕过）
”?>”用于闭合前半句话
[]中定义一个参数“1”，在参数“1”中指定要包含的文件名（这里是flag.php)
php://filter/convert.base64-encode/resource=是经过base64编码的php伪协议
最后base64解码，得到flag

[SWPUCTF 2021 新生赛]easyupload3.0

直接传马不管用

题目还提示要和其他文件配合，尝试让他报错，

发现还有 Apache中间件（知道需要.htaccess

编写一个.htaccess文件和一个正常php木马伪装成的jpg文件，分别上传，成功后按照php木马流程做就能得到flag

[NSSCTF 2022 Spring Recruit]babyphp

三层php，
第一层POST传入a值，存在正则preg_match('/[0-9]/（不允许包含数字）但intval($_POST[‘a’]要求a必须为非零数

第二层post传入b1,b2

$_POST[‘b1’]!=$_POST[‘b2’]&&md5($_POST[‘b1’])===md5($_POST[‘b2’])

要求b1值不等于b2且b1，b2弱比较（md5）强相关

第三层post传入c1,c2

$_POST[‘c1’]!=$_POST[‘c2’]&&is_string($_POST[‘c1’])&&is_string($_POST[‘c2’])&&md5($_POST[‘c1’])==md5($_POST[‘c2’])

要求要求c1值不等于c2且c1，c2弱比较（md5）相关

用hackbar传入post值

a[]=1&b1[]=1&b2[]=2&c1=QNKCDZO&c2=240610708

拿到flag

[SWPUCTF 2022 新生赛]ez_ez_php(revenge)

打开题目有

查了一下flag.php得到一个假flag并提示用php伪协议

php伪协议得到如下

目录穿越拿到base64编码，解码拿到flag

[SWPUCTF 2022 新生赛]1z_unserialize

打开题目是一道美丽的反序列化（php 越学越发现他好爱反序列）

首先：反序列化题目给的php代码类似于一份说明书，告诉你定义了什么东西，然后让你在这份代码的基础上去修改，得到序列化内容当（payload）
这份代码定义了一个类，三个公共属性，对nss传入的内容进行反序列化

修改源代码生成序列化字符串，post传入拿下flag

[SWPUCTF 2022 新生赛]奇妙的MD5

！小知识点
ffifdyop
经过md5加密后：276f722736c95d99e921722cf9ed621c
再转换为字符串：‘or’6<乱码> 即 ‘or’66�]��!r,��b 用途：
select * from admin where password=’‘or’6<乱码>’
就相当于select * from admin where password=’'or 1 实现sql注入
开始
打开页面提示神奇的md5字符串，搜索知道是ffifdyop