出现yee,绕过成功 第三层:需要两个c满足 if($_POST['c1']!=$_POST['c2']&&is_string($_POST['c1'])&&is_string($_POST['c2'])&&md5($_POST['c1'])==md5($_POST['c2'])) 需要c1和c2的值不相等,并且c1和c2都是字符串,而且md5的值弱相等。 那么就不能用数组绕过,需要用md5的字符串绕过 Q...
[NSSCTF 2022 Spring Recruit]babyphp先上源代码<?php highlight_file(__FILE__); include_once('flag.php'); if(isset($_POST['a'])&&!preg_match('/[0-9]/',$_POST['a'])&&intval($_POST['a'])){ if(isset($_POST['b1'])&&$_POST['b2']){ if($_POST['b1']!=$_POST['b2']...
Update方法反序列化我们的序列化字符串后 -> 触发UpdateHelper类里的析构 -> 然后触发User里的toString -> 接着触发Info类里的call -> 再触发dbCtrl类里的login -> 把我们的sql语句带入执行 -> 完成$_SESSION[‘token’]=’admin’的赋值语句。 我们可以直接在返回包的set-cookie字段里获取到admin的phpsessi...
__set:巅峰极客babyphp2 解决phar:// 不能出现在首部 这时候我们可以利用compress.zlib:// 或compress.bzip2://函数,compress.zlib://和compress.bzip2://同样适用于phar://。 payload: ...
babyphphph,专注自己“低期待,少说多做”;享福,谢谢。。babyphphph的微博主页、个人资料、相册。新浪微博,随时随地分享身边的新鲜事儿。
babyphp——61dctf{8e_careful_when_us1ng_ass4rt} 描述: http://web.jarvisoj.com:32798/ 昨儿做梦的时候我在梦里写了这个网站,印象中我用了这些东西:PHP,GIT,Bootstrap 分析: 猜测是git文件泄露但是不知道怎么找!扫描了一下目录看到http://web.jarvisoj.com:32798/.git,自己是肯定搞不定的还好我们有李...
CTFSHOW-日刷-[baby杯]babyphp/弱类型比较 代码审计 <?php/*# -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2021-05-31 13:40:37 # @Last Modified by: h1xa # @Last Modified time: 2021-05-31 16:36:27 # @email: h1xa@ctfer.com...
jarvisoj babyphp 涉及知识点: (1)GitHack处理.git源码泄露 (2)php代码注入 解析: 进入题目界面。 看到题目中的用了git那么第一反应肯定是可能存在.git源码泄露。 用GitHack尝试一下。 审计关键代码。 <?phpif(isset($_GET['page'])) { $page= $_GET['page']; ...
babyphp提示:php反序列化链构造、魔术方法__toString、__wakeup()、__invoke()、__get()其实没什么用,很明显是反序列化。关键是pop链的构造思路。 我找pop链的思路一般是1、找__destruct()、__toString()这样容易触发反序列化的魔术方法,这是pop链的起点 2、找能利用来getflag的函数,例如file_get_contents...
CTFSHOW-日刷-[baby杯]babyphp/弱类型比较 代码审计 <?php/*# -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2021-05-31 13:40:37 # @Last Modified by: h1xa # @Last Modified time: 2021-05-31 16:36:27 # @email: h1xa@ctfer.com...