【SWPUCTF部分题目解答 】

最新推荐文章于 2024-06-12 22:19:46 发布
最新推荐文章于 2024-06-12 22:19:46 发布
阅读量1.7k 收藏 33
点赞数 32
文章标签: php android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AuroraMiraitowa/article/details/136123761
版权
本文讲述了在SWPUCTF2022新生赛中,参赛者如何通过分析PHP代码的ez_unserialize和1z_unserialize题目,利用反序列化漏洞绕过安全机制,构造payload获取flag的过程。涉及到了魔术常量、构造函数、析构函数等概念的应用。
摘要由CSDN通过智能技术生成

[SWPUCTF 2022 新生赛]1z_unserialize

[SWPUCTF 2022 新生赛]ez_ez_unserialize

[SWPUCTF 2021 新生赛]ez_unserialize

[SWPUCTF 2022 新生赛]1z_unserialize

1.打开题目查看源码。
在这里插入图片描述
2.分析一下,进行反序列化时,会让 a 的值为 a的值为 a的值为lt
然后执行函数,且参数值为$lly
payload
在这里插入图片描述
得到flag。
在这里插入图片描述

[SWPUCTF 2022 新生赛]ez_ez_unserialize

1.打开是段PHP代码。在这里插入图片描述
2.创造类x,定义了一个魔术常量x为_FILE_(当前文件名),又定义了几个函数,construct函数让x类中的x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在反序列化,否则输出

看到提示flag在fllllllag.php中,将代码复制,删掉没有的,加上x序列化。
在这里插入图片描述
3.由于要绕过wakeup函数,只要序列化的中的成员数大于实际成员数,即可绕过

O:1:“X”:1:{s:1:“x”;s:13:“fllllllag.php”;}
修改为O:1:“X”:2:{s:1:“x”;s:13:“fllllllag.php”;}即可绕过
在这里插入图片描述
得到flag。

[SWPUCTF 2021 新生赛]ez_unserialize

1.打开链接出现此画面。
在这里插入图片描述
2.右键点击查看源码。
在这里插入图片描述
在最下部出现Disallow,使用robots.txt即以下操作。
在这里插入图片描述
3.在robots.txt里面我们找到了一个路径 /cl45s.php,打开之后是PHP源码。
在这里插入图片描述
在这里插入图片描述
4.简单审一下,构造pop链:

链尾(就是最终我们想要利用的地方),在echo $flag 并且include了flag.php

往上看,发现只需要满足 ($this->admin === “admin” && $this->passwd === “ctf”)

即admin=“admin”,passwd=“ctf”

再往上看,发现执行这条语句我们需要触发__destruct()函数

__destruct是析构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行,比如new完一个对象,当创建完成之后就不引用了,如果有赋值指向就会立马丢弃,触发destruct函数。

这里还有一个__construct()构造函数,它是在实例化一个对象(即new时)会自动调用。
上脚本:
在这里插入图片描述
得到 O:4:“wllm”:2:{s:5:“admin”;s:5:“admin”;s:6:“passwd”;s:3:“ctf”;}
5.题目中提示要以get方式给p传参,并且会对传入参数进行反序列化操作

因此我们将序列化后的内容传给p即可

构造payload:

?p=O:4:“wllm”:2:{s:5:“admin”;s:5:“admin”;s:6:“passwd”;s:3:“ctf”;}
在这里插入图片描述
传入后直接回显flag。

学web的小白
关注
  • 32
    点赞
  • 33
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[SWPUCTF 2022 新生赛]1z_unserialize和[SWPUCTF 2022 新生赛]ez_1zpo
m0_73700261的博客
04-26 873
得到以下payload=O:3:"lyh":3:{s:3:"url";s:3:"lly";以及这里有个wakeup的绕过,以及这里需要一个assert的函数不知道为啥要它,以及里边有一个md5的弱比较,绕过这三个就能够正常的命令执行了。[SWPUCTF 2022 新生赛]1z_unserialize。接着在另外给自己传参一个参数,在这个参数里做命令执行。[SWPUCTF 2022 新生赛]ez_1zpo。这个题目是一题很标准的反序列化,在根目录下边找到flag的文件。这个是构造的pop链。
第三周培训任务
stronelu的博客
02-11 319
如果想单独定义搜索引擎的漫游器访问子目录时的行为,那么可以将自定的设置合并到根目录下的robots.txt,或者使用robots元数据(Metadata,又称元数据)之后我们看到这段代码中使用了_wakeup函数,我们要将其绕过.依据_weakup函数的绕过方法,我们将fllllllag.php。此时,我们只需要让$a=system,也就是lt=system,lly不论输入什么指令都可以。根据题目的描述,我们最后将POST上传的nss反序化即可得到flag.以此来实现绕过的效果。
[SWPUCTF 2022 新生赛]ez_1zpop(php反序列化之pop链构造)
最新发布
2401_82985722的博客
06-12 762
如果$this->impo 已设置,并且 $this->md51 = $this->md52 的 MD5 哈希值,同时 $this->md51 和 $this->md52 值不相等。直接将 $a 赋值为 system ,即将 $this->lt 赋值为 system ,那么 $this->lly 就可以赋值任意命令执行RCE。因为flag在fllllllag.php文件里,所以要让fllllllag.php文件在x中,让x等于这个文件的序列化。将$this->lly赋值成cat /flag读取flag。
[SWPUCTF 2022 新生赛]1z_unserialize
2301_80553405的博客
02-12 413
将$this->lt赋值为system,$this->lly就可以赋值成任意命令,借此查看flag文件,即让$this->lly为tav/flag。
[SWPUCTF 2022 新生赛]部分web
2301_80470992的博客
02-13 991
分析题目这段 PHP 代码定义了一个名为lyh的类,并在其中定义了一些属性和方法。然后,它使用函数来反序列化从 POST 请求中接收到的数据,并最后使用函数高亮显示当前文件的源代码。类定义 (lyh$url$lt$lly$this->lt$a$a$this->lly代码执行流程lyh__destruct$lt$lly这个题目是一题很标准的反序列化构造链条得到以下payload=O:3:"lyh":3:{s:3:"url";s:2:"lt";s:3:"lly";s:2:"ls";
NSSCTFphp反序列化3题
bi_qi_bao_的博客
02-22 318
得到内容:O:4:"wllm":2:{s:5:"admin";s:3:"ctf";我们需要把高亮的源代码变为flag所在文件夹,所以直接让代码中的x=fllllllag.php,同时绕过__wakeup(),既有。这个函数可以将它下面包含的方法,在创建一个新的类的时候,自动执行.所以,我们需要将我们需要的代码转化为创建的一个新的类的。可以看见,阻止了所有搜索引擎弹到/c145s.php,于是我们可以直接访问这个文件,不受robots.txt文件的限制;序列化后得到:O:1:"X":1:{s:1:"x";
2016 SWPU CTF web1题目源码
10-31
2016 SWPU CTF web1题目源码
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
[SWPUCTF 2021 新生赛]traditional
03-15
SWPUCTF 2021 新生赛的传统题目中,我们看到了一道有趣的密码题目,它与八卦图和二进制数学有着紧密的联系。莱布尼茨是西方的二进制数学的发明者,他受到中国的八卦图的启发,演绎并推论出了数学矩阵,最后创造了...
ctf逆向解题——re1-附件资源
03-05
ctf逆向解题——re1-附件资源
Misc题的题目.png
12-08
2019年SWPUCTF所有题目,全部截图和下载包都在里面,有兴趣的可以看看,比赛四天哟,大家可以下载看看
SWPUCTF 2022新生赛 web部分wp
weixin_44770698的博客
01-16 3835
SWPUCTF 2022新生赛
2022 SWPUCTF Web+Crypto方向wp
ph0ebus的博客
10-29 6452
简单阅读代码可以发现,__wakeup()方法会首先被激活,覆盖变量的值使flag不能被回显,因此这里需要绕过__wakeup()方法,__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。然后想办法读取文件,cat tac tail都被过滤了,那我们还可以利用nl查看文件内容,这里发现数字被过滤了,我们想到了*来匹配,但是*也被过滤了,尽管如此,我们还可以用?但是里面没有看到类似flag的东西,那就进入根目录看看,但是空格被过滤了,可以用${IFS}绕过。
PHP反序列化
2301_80481202的博客
02-17 485
只要满足 ($this->admin === "admin" && $this->passwd === "ctf")将其修改为x=O:1:"X":2:{s:1:"x";是从POST请求中获取的数据,它包含了一个序列化后的对象的字符串表示。[SWPUCTF 2022 新生赛]ez_ez_unserialize。否则,它将高亮显示当前文件的源代码。即admin="admin",passwd="ctf"根据代码的逻辑,如果我们通过传递一个经过序列化的。最后,在对象被销毁时,,它可能是一个错误或无意义的部分
[SWPUCTF 2021 新生赛] ez_unserialize
Welcome To Myon'Blog !
07-05 1988
链尾(就是最终我们想要利用的地方),在echo $flag 并且include了flag.php 往上看,发现只需要满足 再往上看,发现执行这条语句我们需要触发__destruct()函数 __destruct是析构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行,比如new完一个对象,当创建完成之后就不引用了,如果有赋值指向就会立马丢弃,触发destruct函数。 这里还有一个__construct()构造函数,它是在实例化一个对象(即new时)会自动调用。
PHP反序列化部分题目解析
LS_Sy的博客
02-17 496
稍加分析,我们可以知道在实现nss反序列化的同时,会触发__destruct()的魔术方法将lt的值赋给a,然后调用a中存储的函数,并将lly属性的值作为参数传递给该函数,由此我们想到把a变成system();this->lly变成ls就可以了。
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3248
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php
[SWPUCTF 2022 新生赛]ez_ez_unserialize
2301_80553405的博客
02-12 639
创造类x,定义了一个魔术常量x为_FILE_,有定义了几个函数,construct函数让x类中的常量x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在反序列化,否则输出。修改为O:1:"X":2:{s:1:"x";看到提示flag在fllllllag.php中,将代码复制,删掉没有的,加上x序列化。由于要绕过wakeup函数,只要序列化的中的成员数大于实际成员数,即可绕过。打开后是段php代码。
NSSCTF ez_unserialize
m0_49257076的博客
11-02 1099
打开题目是胡桃摇的表情包(手动滑稽????),下面是“题目在哪” 这边是上手直接使用蚁剑扫描得到的robots.txt文件,然后打开之后有cl45s.php文件,访问之后可以看到题目的源码 观察源码就知道是一个简单的unserialize,手写一下(菜狗枯了) <?php class wllm{ public $admin; public $passwd; public function __construct(){ $this->admin ...
[SWPUCTF 2018]SimplePHP
07-28
根据提供的信息,这个问题可能是关于SWPUCTF 2018比赛中的一个题目题目名称为"SimplePHP"。然而,由于提供的引用内容不完整,无法给出更具体的答案。如果您有关于这个问题的更多信息,请提供更多的上下文,以便我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值