------已搬运-------BUUCTF:[网鼎杯 2020 青龙组]AreUSerialz 1

最新推荐文章于 2024-08-01 21:40:27 发布
最新推荐文章于 2024-08-01 21:40:27 发布
阅读量351 收藏 1
点赞数
分类专栏: BUUCTF刷题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zero_Adam/article/details/113472927
版权
本文介绍了在网鼎杯2020青龙组的AreUSerialz 1挑战中遇到的PHP反序列化问题。文章详细讨论了__construct()方法在unserialize()后的执行情况,以及如何通过使用S标识符和16进制表示绕过限制。提到了PHP 7.1+版本对属性类型不敏感的特性,并给出了两种绕过in_valid的方法,包括使用大写S表示字符串和改用public属性。
摘要由CSDN通过智能技术生成

[网鼎杯 2020 青龙组]AreUSerialz 1

先记录一下我自己的误区/易错点:

  1. __construct() 方法,在unserialize()反序列化之后不执行。。。
    尽管他口口声声说 __construct() 在生成一个新的实例时会调用该方法。但仅仅限于 $a = new A() 才成立。反序列出来的不执行该方法

  2. 注意PHP的===,和弱类型比较等,这些点可以进行绕过

知识点:
一、序列化中的表征字符型的s,可以替换称S。表示 支持后面的字符串用16进制表示。可在这种情形下,将%00替换为\00来进行绕过。
二、PHP版本7.1+的时候,对属性的类型不敏感,当用privat,protected不方便时,可以用public进行代替。可以F12看一下X-Powered-By
分析代码:

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {
   

    protected $op;     //这是三个保护属性注意了。
    protected $filename; //属性会有 %00*%00filename的样式
    protected $content;
	
	/*这个不调用, 不用看*/
    function __construct() {
   //仅仅在new FileHandler()的时候才调用
        $op = "1";//所以这里只是unserialize()。就不用看这个__construct方法了
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
   
        if($this->op == "1") {
   
            $this->write();
        } else if($this->op == "2") {
   
            $res = $this->read();
最低0.47元/天 解锁文章
Zero_Adam
关注
专栏目录
[网鼎杯 2020 青龙]AreUSerialz 1
bazzza的博客
12-21 2223
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
BUUCTF-[网鼎杯 2020 青龙]AreUSerialz
AndyNoel的博客
04-27 272
BUUCTF-[网鼎杯 2020 青龙]AreUSerialz 看题 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/t
[网鼎杯 2020 青龙]AreUSerialz1
最新发布
kw741951的博客
08-01 819
分析此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的process()方法和output()方法,所以write()方法也可以删除不用看, protected $content属性也可直接删了。根据代码逻辑分析,咱们可知 function __construct() {按照常规方法,首先,我们先将代码复制到本地进行序列化构造,$s的值ASCII码范围得在32<=$s<=125;根据构造函数is_valid($s) 可知,再根据构造函数read()可知,
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
m0_73995922的博客
12-21 272
1.首先因为题目类型是protected,在我们进行序列化时会产生%00*%00,%00对应ASCII码0,这里我们可以利用php7.1+版本对属性类型不敏感,在序列化时将类型改为public。但是我们看到is_valid对我们的payload进行了限制 需要我们输入的字符串的字符ASCII码在32-125之间。2.然后是===强等绕过 可以将 op=(int)2 将op改为int类型。同时我们还需要绕过_destruct() 也就是绕过 op==='2'我们需要使op==2。查看源码得到flag。
web buuctf [网鼎杯 2020 青龙]AreUSerialz1
weixin_44214568的博客
03-17 809
1.代码审计(魔法函数,序列化) 2.成员变量关键字 public、protected、private 代码粘贴如下: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
AEC-Q102-002:2020 Board Flex Test(电路板柔性测试 )- 完整英文电子版(5页)
11-12
完整英文电子版AEC-Q102-002:2020 Board Flex Test - (电路板柔性测试)。本规范建立了确定表面贴装光电元件承受印刷电路板在搬运装过程中产生的弯曲、弯曲和拉力的能力的程序和标准。
行业文档-设计装置-钢筋网片搬运夹具.zip
09-05
《钢筋网片搬运夹具设计与应用》 在建筑行业中,钢筋网片是常见的结构材料,主要用于增强混凝土的力学性能。然而,由于其尺寸大、重量重,搬运过程中常常面临效率低、安全隐患等问题。为此,设计出合适的钢筋网片...
JEDEC JESD22-B110B.01:2019 机械冲击 - 设备和子件 - 完整英文电子版(11页)
11-08
完整英文电子版JEDEC JESD22-B110B.01:...由于突然施加的力,或由搬运、运输或现场操作产生的运动的突然变化而产生的机械冲击,可能会扰乱操作特性,特别是如果冲击脉冲是重复的。这是一个用于设备鉴定的破坏性测试。
行业文档-设计装置-一种服装搬运纸箱.zip
08-27
在本压缩包“行业文档-设计装置-一种服装搬运纸箱.zip”中,主要包含了一份名为“一种服装搬运纸箱.pdf”的文档,该文档详细介绍了针对服装搬运领域的一种创新设计——服装搬运纸箱。这个设计旨在提高服装物流过程中...
BUUCTF——[网鼎杯 2020 青龙]AreUSerialze
Ho1aAs‘s Blog
05-27 305
文章目录利用点代码审计解题完 利用点 unserialize()反序列化public类变量 ==弱比较 代码审计 <?php # 包含flag include("flag.php"); highlight_file(__FILE__); class FileHandler { # 均是protected变量 protected $op; protected $filename; protected $content; # 构造函数,初始化变量,调用proces
BUUCTF】[网鼎杯 2020 青龙]AreUSerialz
aoao331198的博客
04-07 326
不带演的,直接给出了源代码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2693
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
Buuctf[网鼎杯 2020 青龙]AreUSerialz
weixin_52653109的博客
04-07 3333
[网鼎杯 2020 青龙]AreUSerialz 打开题目仔细阅读源码 <?php include("flag.php"); highlight_file(__FILE__); //文件包含,联想到php://filter伪协议读取文件 class FileHandler { protected $op;//protected保护类,成员可以被自身以及其子类和父类访问 protected $filename; protected $content;
BUUCTF [网鼎杯 2020 青龙] AreUSerialz1
m0_74167420的博客
06-19 238
(2)对于FileHandler类,由于在反序列化中,先调用__destruct()析构方法,所以需要设计op的值绕过与 "2" 的强相等。(3)所以当op = 2时,一方面利用弱相等,可以调用read()方法和output()方法,另一方面也可以绕过强相等,避免执行在__destruct()时 op 赋值为 1。(1)get传参 "str",string转化为字符串,用 is_valid() 函数来进行过滤,要求传入的字符串的每一位字符的ASCII码都在32~125之间。1、阅读题目:php绕过类型。
[网鼎杯 2020 青龙]AreUSerialz
Sk1y的博客
03-02 3009
[网鼎杯 2020 青龙]AreUSerialz 目录 题目:在buu平台上,题目传送门 解题过程: 两个防护: is_valid() destruct()魔术方法 本地进行序列化操作 题目:在buu平台上 解题过程: 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename;
埃夫特EC1-S控制柜电气维护手册
"EC1-S 控制柜电气维护手册V2.3_ER3B(3A)-C30.pdf,这是由埃夫特智能装备股份有限公司提供的EC1-S系列机器人控制柜的电气操作和维护手册,涵盖了从基本使用到故障处理以及维护保养的详细指南。" 在《EC1-S机器人...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值