BUUCTF [网鼎杯 2020 青龙组]AreUSerialz1

最新推荐文章于 2024-01-21 11:13:41 发布
最新推荐文章于 2024-01-21 11:13:41 发布
阅读量258 收藏
点赞数
分类专栏: php 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73995922/article/details/128400631
版权

进入靶机分析代码

这里看到我们重点需要进入read 利用 file_get_contents()获取flag.php中的内容

 我们需要使op==2

filename='flag.php'

但是我们看到is_valid对我们的payload进行了限制 需要我们输入的字符串的字符ASCII码在32-125之间

 同时我们还需要绕过_destruct() 也就是绕过 op==='2'

1.首先因为题目类型是protected,在我们进行序列化时会产生%00*%00,%00对应ASCII码0,这里我们可以利用php7.1+版本对属性类型不敏感,在序列化时将类型改为public

 2.然后是===强等绕过 可以将 op=(int)2 将op改为int类型

最后得到payload

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:7:"abcdefg";}

 查看源码得到flag

XXX_WEB
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[杯 2020 龙组]AreUSerialz 1
bazzza的博客
12-21 2178
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
[杯 2020 龙组]AreUSerialz1
陈艺秋的博客
07-05 674
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
[杯 2020 龙组]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3034
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUU实战笔记——[杯 2020 龙组]AreUSerialz1
qq_51175992的博客
07-14 116
方向很明确的PHP反序列化题,找到两个特征之后,再找对象、属性及属性的值就可以做出来啦!
[杯 2020 龙组]AreUSerialz1详解两种常用方法及php伪协议扩展
最新发布
m0_73615178的博客
01-21 499
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
2020龙组Boom
05-12
2020龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
2020年龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
龙组18道.rar
06-11
2020龙组的题目压缩包,里面已经分好类了。
2020龙组白虎组部分试题.rar
05-14
2020龙组白虎组部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次龙难度大于白虎。
20200510.龙组.zip
06-10
2020 5 10 龙组 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
buuctf - [杯 2020 龙组]AreUSerialz
qq_40860153的博客
10-11 2524
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
------已搬运-------BUUCTF:[杯 2020 龙组]AreUSerialz 1
Zero_Adam的博客
01-31 321
[杯 2020 龙组]AreUSerialz 1 先记录一下我自己的误区/易错点: __construct() 方法,在unserialize()反序列化之后不执行。。。 尽管他口口声声说 __construct() 在生成一个新的实例时会调用该方法。但仅仅限于 $a = new A() 才成立。反序列出来的不执行该方法 注意PHP的===,和弱类型比较等,这些点可以进行绕过 知识点: 一、序列化中的表征字符型的s,可以替换称S。表示 支持后面的字符串用16进制表示。可在这种情形下,将%0
buuCTF-AreUSerialz_第二届杯web
Fisher
05-22 685
写在前面: web菜鸟,在做buuctf中的杯赛题的时候,有去学习了一遍php反序列,加深了理解。 为什么会用到序列化,自己的理解就是当一段代码消失时候,保存的数据也会跟着消失,但时如果要是再去使用这些数据的时候,如果在添加十分的不方便,于是就出现了序列化,将数据保存起来。 关键点: 1.我们想用反序列必须存在 unserialize(),且提交的变量可控。 unserialize():反序列化,将字符串转化为类。 serialize():序列化,将类转化为字符串。 2.可控的值,为class 类中的属
CTF学习-WEB-PHP反序列化-[杯 2020 龙组]AreUSerialz 1
qq_43564182的博客
07-13 617
步骤思路 第一:获取flag存储flag.php 第二:两个魔术方法__destruct __construct 第三:传输str参数数据后触发destruct,存在is_valid过滤 第四:__destruct中会调用process,其中op=1写入及op=2读取 第五:涉及对象FileHandler,变量op及filename,content,进行构造输出** 解题 打开页发现如下代码: <?php include("flag.php"); highlight_file(__FILE__
2020杯(龙组)--WEB--AreUSerialz(反序列化)
a965527596的博客
05-17 2306
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
序列化2之[杯 2020 龙组]AreUSerialz1
qq_58970968的博客
04-17 2234
class FileHandler { protected $op; protected $filename; protected $content; function __construct(){ $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World!"; $this->process(); } public .
反序列化 [杯 2020 龙组]AreUSerialz 1
m0_75178803的博客
11-06 218
protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上 \0*\0 的前缀,注意,这里的 \0 表示 ASCII 码为 0 的字符,也就是我们经过 urlencode 后看到的 %00。if 语句中的判断语句用的是弱类型的比较,那么只要op=2,这个是int整数型的2, op == "2"则为True,就可以进入read函数。从__destruct()代码中可以看到,这里 if 中的判断语句用的是强类型比较。
[杯 2020 龙组]AreUSerialz(超详细)
2201_75955146的博客
10-22 299
一周一更,这是第二周啦,还是一道PHP审计题。学了蛮久了,终于算是懂了一点了。话不多说,直接开始。感觉好难学啊!哎,慢慢来吧,会熬出头的。
[杯 2020 龙组]AreUSerialz
qq_52907838的博客
05-26 99
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel.
允许外访问龙面板
10-10
要允许外访问龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值