[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-02-17 23:20:05 发布
最新推荐文章于 2024-02-17 23:20:05 发布
阅读量1.9k 收藏
点赞数
文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45869407/article/details/121057396
版权

这道题是比较简单的PHP代码审计与pop链构造

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

这里首先看到include(“flag.php”),就可以知道他们把flag文件包含到这个页面了,所以我们往后看,发现file_get_contents这个函数可以利用进行读取flag.php,但想要执行这个函数,我们需要执行read,但read需要在process中调用,并且op必须为2,那我们往后看,调用process是在__destruct中调用的,这个__destruct是个魔术函数,就是当对象销毁的时候会自动的执行这个函数,所以我们需要构造这个类,这里还有is_valid函数,这个是用来判断提交的数据是否在这个ASCII码范围内的,这里我们看看好像大致没什么影响,所以我们继续往后构造,我们现在需要将filename,还有op的构造为flag.php和2,前者没什么问题,但后者在
在这里插入图片描述
这里会继续一次重置op,但看这里为===,为强等于,PHP中的强等于需要判断数据的类型与数据本身,如果我们传一个int型的2,则会和“2”进行比较,会比较出false,这里就可以绕过了,最后再进行序列化就可以了。然后貌似我们已经构造完pop链了,但is_valid函数会对序列化的结果进行判错,因为private和protected型的变量序列化后会产生不看见字符\x00这个在ASCII码中为0,所以我们可以改属性类型为public,因为PHP7.1以上对属性类型不敏感,所以可以用来绕过。
这里为我构造的pop链
在这里插入图片描述
当然这里的flag.php可以改为PHP的伪协议,php://filter/read=convert.base64-encode/resource=flag.php,然后需要对其进行base64解码即可
获取flag
在这里插入图片描述

zyyzds
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙web AreUSerialz详解
永远是少年
12-20 785
今天继续给大家介绍CTF刷题,本文主要内容是2020网鼎杯青龙web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
[网鼎杯 2020 青龙]AreUSerialz-BUUCTF-XING
chinese_cabbage0的博客
02-01 939
此处为=,弱类型比较,op=="2”,结果为true,op==="2",结果为false。//定义了赋初值,如果在这了把filename设置为flag.php和op设置为2就可以看到flag了,但是后面有个。查看代码可以看出来,GET方式传入序列化的str字符串,str字符串中每一个字符的ASCII范围在32到125之间,然后对其反序列化。//把op=2给赋值成了op=1,所以不行。op==="2",将其赋为"1",同时content赋为空,进入process函数。(===是强类型比较)
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 611
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
web | CTF】BUUCTF [网鼎杯 2020 青龙]AreUSerialz
最新发布
weixin_46301214的博客
02-17 893
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
[网鼎杯 2020 青龙]AreUSerialz 解题思路&过程
iamblackcat's blog
09-23 5850
buu复现 [网鼎杯 2020 青龙]AreUSerialz 解题思路&过程
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
2020网鼎杯白虎赛题.zip
05-15
比赛试题附件,其中包括misc,re,crypto,pwn,web只有题目,没有环境,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
2020网鼎杯.zip
07-20
综合以上,2020网鼎杯的比赛内容涵盖了网络安全的多个关键领域,参赛者不仅需要深入理解逆向工程、pwn技术,还要精通密码学,并具备一定的隐写术知识。这样的比赛有助于提升参赛者的实战技能,同时也推动了网络安全...
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙)部分题目附件 2022年第三届“网鼎杯”网络...
网鼎杯2022白虎题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎,ctf
2020年第二届“网鼎杯”网络安全大赛 青龙】Crypto boom
01-20
题目 原创文章 58获赞 99访问量 8393 关注 私信 展开阅读全文 作者:你们这样一点都不可耐
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
m0_73734159的博客
11-27 1693
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
buuctf-AreUSerialz
m0_62094846的博客
03-24 1520
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "He.
AreUSerialz
天天学安全专属博客
03-19 496
AreUSerialz
允许外网访问青龙面板
10-10
要允许外网访问青龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,青龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值