๐TSULOTT
Easy
Overview
Vร o ฤแบงu chรบng ta sแบฝ cรณ hai trฦฐแปng inpit nhแบญp vร o, nhแบญp code cแปงa bแบกn ฤแป nhแบญn win jackpot vร nhแบญp 6 sแป ฤแป lแบฅy code.
แป ฤรขy chรบng ta sแบฝ nhแบญp ฤแบกi gรฌ ฤรณ nhฦฐng chรบng ta sแบฝ nhแบญp แป take code trฦฐแปc rแปi lแบฅy mแปt chuแปi base64 mร trang ฤฦฐa ra rแปi nรณ sแบฝ trแบฃ vแป kแบฟt quแบฃ nhฦฐ hรฌnh แป dฦฐแปi.
Analys
Sau mแปt lรบc thรฌ chรบng ta xem source code hiแปn tแบกi cรณ gรฌ ctrl+U
แป ฤรขy cรณ gแปฃi รฝ cho chรบng ta lร GET/?is_debug=1 sau khi nhแบญp vร o chรบng ta sแบฝ cรณ source code cแปงa bร i nhฦฐ sau:
Chรบng ta sแบฝ chรบ รฝ tแปi hai ฤoแบกn code PHP nhฦฐ sau:
ฤoแบกn code php thแปฉ nhแบฅt cรณ mแปt class Object cรณ hai thuแปc tรญnh lร jackpot vร enter.
Tiแบฟp theo chรบ รฝ tแปi dรฒng 16 nรณ sแบฝ unserialize ฤoแบกn code khi nhแบญp input vร o, vร nรณ ฤฦฐแปฃc gรกn biแบฟn $obj. Tiแบฟp theo nรณ kiแปm tra cรณ $obj khรดng thรฌ nรณ sแบฝ random jackpot thร nh 6 sแป vร random tแปซ 10-99 cรกch nhau ra.
Cuแปi cรนng thuแปc tรญnh enter mร bแบฑng jackpot thรฌ cรณ thแป cรณ flag
แป dฦฐแปi cรณ thรชm ฤoแบกn code serialize nแปi dung code chรบng ta nhแบญp แป dฦฐแปi.
Tรณm lแบกi khi nร y chรบng ta nhแบญn ra ฤรขy lร PHP Deserialization khi ฤรณ chรบng ta cรณ thแป control cแบฃ class Object trรชn bแบฑng cรกch ghi ฤรจ nรณ ฤแป hai thuแปc tรญch jackpot vร enter bแบฑng nhau.
Exploit
ร tฦฐแปng bรขy giแป chรบng ta sแบฝ xรขy dแปฑng lแบกi class Object giแปng nhฦฐ trรชn vร khแปi tแบกo hร m __constructor cho hai thuแปc tรญnh bแบฑng nhau.
Flag: MeePwnCTF{__OMG!!!__Y0u_Are_Milli0naire_N0ww!!___}
Last updated