西普实验吧ctf-web-天网管理系统(序列化与反序列化)

最新推荐文章于 2024-03-24 09:31:55 发布
最新推荐文章于 2024-03-24 09:31:55 发布
阅读量656 收藏
点赞数
分类专栏: # ——【 Code Audit】 ★ CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/85307308
版权

题目地址:http://ctf5.shiyanbar.com/10/web1/

 首先还是查看页面源代码,发现注释有一个提示:

当传入的username值经md5加密后等于0,就会返回某样东西!

如何绕过md5函数呢?可以参考下面这篇文章。

https://blog.csdn.net/dyw_666666/article/details/82348564

我们可以用QNKCDZO绕过。

访问 http://ctf5.shiyanbar.com/10/web1/user.php?fame=hjkleffifer

得到以下代码:

$unserialize_str = $_POST['password']; 
$data_unserialize = unserialize($unserialize_str); 
if($data_unserialize['user'] == '???' && $data_unserialize['pass']=='???') 
{ 
    print_r($flag); 
}

知识扩展:

1) PHP序列化与反序列化

serialize() 对单一的已序列化的变量进行操作,将其转换回反序列化 PHP 的值。

返回的是转换之后的值,可为 integer、float、string、array 或 object。

如果传递的字符串不可解序列化,则返回 false,并产生一个 E_NOTICE。

unserialize() 恢复原来的变量,还原已经序列化的对象。

比如:

$b=array('user'=>"admin",'pass'=>"admin");

$a = serialize($b);
var_dump($a);

$b = unserialize($a);
var_dump($b);

结果:

string(52) "a:2:{s:4:"user";s:5:"admin";s:4:"pass";s:5:"admin";}"

      array(2) { ["user"]=> string(5) "admin" ["pass"]=> string(5) "admin" }

(a代表array,s代表string,b代表bool,而数字代表个数/长度)

2) php弱类型

== : 比较运算符号,不会检查条件式的表达式的类型

===:恒等计算符,同时检查表达式的值与类型

当php进行一些数学计算的时候,当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。

var_dump(0 == '0hhhhh');  //true
var_dump(0 == 'abcdefg'); //true
var_dump(1 == '1ooooo');  //true

bool类型的true跟任意字符串可以弱类型相等

true == "aaa" //true
true == 111   //true
true == 0     //false

从这道题的代码中我们可以得到下面的结论:

  1. 我们需要构造序列化的password填入,代码意思是把post提交的password值经过"反序列化"得到一个数组,要求数组里的user和pass都等于某个值时就打印flag。
  2. 加上代码提示布尔型
  3. bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据,无论比较的值是什么,结果都为true。

Payload:

password: a:2:{s:4:"user";b:1;s:4:"pass";b:1;}

烟敛寒林o
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
暑期练习web3:天网管理系统实验吧)
qq_41618162的博客
07-31 777
我们首先打开题目,随便试试发现没有任何反应 我们查看一下源码 <html> <head> <meta charset=utf8> <title>最安全的管理系统</title> </head> <body> <h1>天网管理系统</h1> &l
西普部分CTF题目(web)(持续更新)
技术学习人生
08-16 9223
1、菊花 题目地址:http://www.simplexue.com/ctf/examctfdetail/729 点击“我是吊死”进入sim.php页面,post参数为id=,提示需要net framework 9.9 用burp拦截,修改user-agent为Mozilla/5.0 (MSIE 9.0;.NET CLR 9.9),下面的注入均在这个条件下进行 id=1 提示hacker:w
CTF-web_php_serialize反序列化
Be Smart
02-24 894
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
ctf实验天网管理系统
YenKoc的博客
10-18 216
这明显不可能登上的,所以直接看源代码 这里如果不懂得,php中处理哈希值的方式,是只要是0e开头的哈希值,都认为是0,通过输入一个这样的0e开头的字符串,会被php解释成0. 这个可以去在线工具上得到。 说明用户名任选一个登陆 成功了,之后出现了上面这样,手动输入url。 审计下代码,发现将输入的password反序列化了,同时因为bool类型的true可以和任意类型字符串弱类型相等。最...
实验吧_密码忘记了(vim编辑器+代码审计)&天网管理系统(php弱比较+反序列化)
a173262565的博客
03-25 154
密码忘记了 一开始尝试了各种注入发现都无效,在网页源码中找到了admin 的地址,输入地址栏发现并没有什么有用的信息,随便输个邮箱,网页返回了一个地址./step2.php?email=youmail@mail.com&check=???????,还是没注入,没了思路,看了大佬的wp后才想起来vim编辑器才是关键: 用vim编写的文件会留下.swp的临时文件,试了一下ste...
[ctfshow-web]反序列化
nareku的博客
07-25 275
PHP中的魔术变量__sleep()//执行serialize()时,先会调用这个函数__wakeup()//将在反序列化之后立即调用(当反序列化时变量个数与实际不符时绕过)__construct()//当对象被创建时,会触发进行初始化__destruct()//对象被销毁时触发//当一个对象被当作字符串使用时触发__call()//在对象上下文中调用不可访问的方法时触发__callStatic()//在静态上下文中调用不可访问的方法时触发。......
西普WEB大部分题解
12-09
【标题】"西普WEB大部分题解"是一个针对网络安全领域中的Web安全训练平台——西普CTF)的解题指南。这个资源包含了对西普平台上多种Web安全挑战的解答,旨在帮助那些参与CTF(Capture The Flag)比赛或者希望提升...
中国民航大学第四届“西普杯”信息安全竞赛-题目源程序和Writeup.zip
10-23
中国民航大学第四届“西普杯”信息安全竞赛-题目源程序和Writeup.zip
论文研究 - 依那西普治疗类风湿关节炎患者肿瘤坏死因子-α的基因表达
06-02
通过逆转录定量聚合酶链反应(qRT-PCR),在51例类风湿性关节炎(RA)患者中,通过逆转录定量聚合酶链反应(qRT-PCR)评估了肿瘤... 结论是依那西普可以有效地使TNF基因表达正常化,但是观察到与性别,疾病持续时间和某
实验CTF逆向题目easycreakme题解
iqiqiya的博客
12-24 3376
实验吧看到这道题 题目链接 http://ctf5.shiyanbar.com/reverse/easycreakme/Easy_CrackMe.exe.bak   我是直接用的脱壳后的 https://pan.baidu.com/s/1qYLZaXm      IDA载入很清楚的可以发现先后与a,5y,R3versing,E进行比较 若都
CTF_Web反序列化学习笔记(一)php中的类与对象
AFCC_的博客(Web_Dog)
08-13 1769
0x00 前言 前期第一次遇到反序列化这方面题目的时候,也看了不少资料,都是前辈们写的总结,但是都是直接从在ctf中的运用开始的,自己在这段时间整理的过程中,发现对于php类与对象了解不是很多,导致在看一些题目、或值前辈的总结时都比较困难,下面参考php文档,结合自己对php类与对象的理解先把反序列化的基础知识做一下整理。 0x01 php类与对象 class 在php手册中这样介绍: 每个类的定义都以关键字 class 开头,后面跟着类名,后面跟着一对花括号,里面包含有类的属性与方法
ctfshow—web入门—反序列化
最新发布
2301_80337881的博客
03-24 960
别看上面乌拉乌拉一大堆,实际上就是要检测你传入的username和password和类中定义的username和password一不一样。所以直接get传参就可以了。
CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3392
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
实验吧-天网管理系统
苟有恒,必有三更眠,五更起。
08-07 314
天网管理系统 原题链接 http://ctf5.shiyanbar.com/10/web1/ 分析 查看源码 <!-- $test=$_GET['username']; $test=md5($test); if($test=='0') --> easy username=QNKCDZO 页面结果 /user.php?fame=hjkleffi...
CTF_Web反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6545
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF——Web——PHP序列化反序列化
小锤队长的博客
08-09 5777
PHP 序列化反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
天网管理系统-实验
Xi4or0uji
05-14 581
进去页面看源码看见有这样一句也就是说,username有个md5函数漏洞,可以用QNKCDZO绕过绕过以后返回访问一下就看见$unserialize_str = $_POST['password']; $data_unserialize = unserialize($unserialize_str); if($data_unserialize['user'] == '???' &a...
天网管理系统------实验
weixin_30795127的博客
07-09 110
题目地址:http://www.shiyanbar.com/ctf/1810 打开题目 让进行登录,账号密码不对,看一下源码 发现有一个提示,用户名为0,并将其进行MD5加密,到网上找一个值 提交,返回一个/user.php?fame=hjkleffifer,进行访问 去看了下大佬的writeup,构造PHP反序列化,用post提交 转载于:https://ww...
实验吧-天网管理系统 Writeup
baynk的博客
08-18 346
这个题真是折腾了我一个夜晚,感觉网上的东西太多“人云亦云”,服了。 思路 链接:http://ctf5.shiyanbar.com/10/web1/index.php 进入后默认就有用户名和密码,登陆后没变化 ,就直接扔到burpsuite中去了。 在源代码中看到了注释,要求将username做md5后和0做比较相等。很明显,正常情况下这是不可能的,我第一反应就想起来了前几天做mysql中的弱类...
CTF web题总结--unserizable
bob的博客
08-29 1274
php的反序列化漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值