CTFshow 反序列化 web256

最新推荐文章于 2024-02-26 23:52:37 发布
最新推荐文章于 2024-02-26 23:52:37 发布
阅读量425 收藏
点赞数
分类专栏: CTFshow 文章标签: php 服务器 https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kracxi/article/details/122016582
版权
本文介绍了CTFshow中一个关于反序列化的Web挑战。关键点在于通过使username不同于password来绕过比较检查。通过修改源码中的变量值并进行反序列化,可以实现条件满足。题解和总结表明这是一个相对简单的题目。
摘要由CSDN通过智能技术生成

目录

源码

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
   
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
   
        return $this->isVip;
    }
    public function login($u,$p){
最低0.47元/天 解锁文章
Kradress
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow-web256(反序列化)
m0_62094846的博客
02-23 614
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
ctfshow反序列化web256
m0_62584974的博客
04-22 330
反序列化 Web256 题目有判断password和username相不相等 判断了才进行反序列化 <? //ctfshow 反序列化web256 class ctfShowUser{ public $username='1'; public $password='2'; public $isVip=ture; public function checkVip(){ return $this->isVip; }
ctfshow web255 web 256 web257
姜小孩的博客
07-02 1360
目录web255web256附代码 整体的思路和上一题差不多只是多了一句 可以看到unserialize就是反序列化,所以需要我们序列化一些东西,通过cookie的user变量传入,改变这个数据。 这段代码无法让isVip为true,所以我们就需要通过user这个变量改变isVip的值。直接把类拿过来,只有类和变量会被反序列化,其他都可以去掉。 所以参入参数就是拿到flag,债见!!附代码 ​ 这个题的关键点在于username和password不相等,因为都是强比较,所以我们传入
web256-257
陈艺秋的博客
07-01 195
最后如果没有cookie信息,就抓包后自行添加,然后GET方法传入username和password参数,就可以获得flag。因为在类中都是单独用===比较,所以只需要将username重新赋值就好,最后再序列化编码输出。对于上一题,这题关键点在于让username不等于password。
ctfshow-web265(反序列化)
m0_62094846的博客
02-28 472
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php'); hi.
java反序列化工具
11-21
类似地,WebLogic也可能在处理反序列化的JMX(Java管理扩展)或Web服务请求时遇到安全问题。 3. **WebSphere**:IBM的产品,同样遵循Java EE标准。反序列化漏洞可能出现在处理JNDI(Java命名和目录接口)查找、EJB...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
c#序列化和反序列化
05-24
### C#中的序列化与反序列化 #### 一、序列化概述 序列化是将对象的状态转换为可持久化的形式的过程。在计算机科学中,序列化常常用于将对象的状态保存到磁盘或其他存储媒介中,或者在网络上传输对象状态。这种技术...
C# xml序列化和反序列化
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
CTFshow 反序列化 web265
Kradress的博客
02-11 800
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('
ctfshow反序列化 wp
yink12138的博客
01-04 2661
ctfshow反序列化wp
ctfshow web入门-反序列化
akxnxbshai的博客
05-19 1230
反序列化中常用的魔术方法: __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set() //用于将数据写入不可访问的属性 _.
ctfshow——反序列化
最新发布
qq_55202378的博客
02-26 576
不要相等即可,注意GET传参时也要做修改。这里就是使用GET传输,username赋值为。变量进行反序列化,因此只需要GET传输的变量。以上一题相比,其实就是反序列化的类中的变量。,注意需要对user的值进行URL编码。,password也1赋值为。相等,且反序列化后的。
ctfshow-反序列化
m0_72898152的博客
02-17 717
ctfshow、反序列化
反序列化的学习以及ctfsow_反序列化模块的练习
RealIiikun的博客
03-16 403
1.序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。2.反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。​ 对象序列化成的字节序列会包含对象的类型信息、对象的数据等,说白了就是包含了描述这个对象的所有信息,能根据这些信息“复刻”出一个和原来一模一样的对象。
CTFSHOW WEB入门反序列化
Npceer-一位网安初学者的博客
03-01 1167
最近特别懒 等开学在高强度更新其他几篇 不会写太细 反序列化入门文章找Y4爷爷 反序列化web254web255 web254 直接传 username=xxxxxx&password=xxxxxx web255 首先和254一样 传username和password 然后是需要cookie验证VIP身份 抓包构造 注:需要对分号进行url编码 引号好像不用 我当时瞎搞的 ...
CTFShow web入门刷题记录-爆破
打酱油的杯具的博客
11-29 2281
CTFShow web入门刷题记录-爆破 web21 先下载提供的密码包,查看hint得知考点为tomcat 账号提示为amdin,点击提交并使用burpsuit抓包 发现底下为一串经过base64编码的文字,翻译后得知为admin: 得知提交格式为:账号:密码 传入intruder,选中并添加$ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsSzs95u-1606660930041)(C:/Users/%E8%83%A1%E5%A5%87/AppData/Roami
ctfshow————反序列化
qq_45655564的博客
06-30 811
web254 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法...综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值