BUUCTF——[极客大挑战2019]PHP1

最新推荐文章于 2024-07-31 21:46:42 发布
最新推荐文章于 2024-07-31 21:46:42 发布
阅读量256 收藏 1
点赞数
分类专栏: BUUCTF题解 文章标签: web安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62248541/article/details/134616967
版权
文章讲述了如何通过PHP反序列化过程中的漏洞利用,利用CVE-2016-7124绕过`__wakeup()`函数,通过私有变量的URL编码技巧获取flag。详细讲解了涉及的知识点,如私有属性的序列化处理和绕过策略。
摘要由CSDN通过智能技术生成

相关过程:

通过目录扫描可以知道网站的备份网站在/www.zip里,即存在网站源码泄露

毫无疑问,这道题考的是PHP反序列化

经过代码审计之后,就是需要通过select参数名来传递一个序列化的查询参数,并且username对应的值为admin,password对应的值为100。但在unserialize成功后会调用__wakeup()将username对应的值变为guest从而使我们无法通过__destruct()拿到flag。那么关键就在于对__wakeup()方法的绕过,这里可以利用CVE-2016-7124。首先我们先获得这个Name对象的序列化字符串:

而又因为:

这里的$username和$password属性是通过private修饰的,即它们是私有变量,而私有变量在被序列化后,在它的类名和字段名(属性名)前面是存在空字符的(url编码为%00),而若通过echo将其打印出来则空字符会被过滤掉,但是在属性名长度字段上还是会将空字符也计算在内,所以这里我们需要手动将空字符加上去,修改后的payloa如下:

O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

然后就是绕过__wakeup()函数,由CVE-2016-7124可知当反序列化中的属性个数大于实际类中的属性个数时__wakeup()将被绕过,最终payload如下:

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

相关知识点:

  1. 通过private定义的属性在被序列化后在类名和属性名前面会存在空字符
  2. PHP中的urldecode()函数会将%00解码成空字符而不会将其直接过滤掉,同理urlencode()也可以识别字符串中的空字符并将其编码为%00。
&_@
关注
专栏目录
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 5229
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 682
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
[极客挑战 2019]PHP1
最新发布
kw741951的博客
07-31 975
浏览器输入payload下载下来得到目录文件解读一下php代码,进行反序列化payload?i:100;但是发现这个里面有空格,所以把空格url编码变成%00再传参Payload:i:100;
BUUCTF[极客挑战 2019]PHP1题解
cxm4545的博客
04-26 980
想要得到flag,必须满足username===admin,password==100,于是我们就要绕过__wakeup()函数了。(Value是代码运行结果,这里要注意改一下参数个数以绕过__wakeup()函数)(1)进入靶机,我们看到网页提示:备份网站,这时候我们就应该想到有可能源码泄露了。很明显,用get传参,然后反序列化,其实这里就是一个反序列化的题目了。(5)在class.php中,我们观察一下这个Name类。(2)因此,写一个python脚本,扫描一下这个网站。(7)我们写一下代码。
BUUCTF-[极客挑战 2019]PHP1
Monica的博客
09-27 3773
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
web安全入门-buuctf-[极客挑战 2019]PHP 1
2301_80137226的博客
04-21 401
class定义了一个Name,当password=100和username=admin时会输出flag。有点提示,‘有一个良好的备份网站的习惯’,我们尝试一下看一下网站目录,或尝试输入网站源码来备份文件。发现index.php包含了class.php还有一个select为变量,我们看一下class。调用unserialize()时会自动调用魔法函数wakeup(),可以通过改变属性数绕过,把。一,使用用dirsearch或dirmap来扫描网站。后面的2改为3或以上即可。得到了这样的一个URL。
BUU CTF---[极客挑战 2019]PHP 1
weixin_46685211的博客
05-04 1179
文章目录知识点一、备份网站二、代码审计1._wakeup()魔术方法2.GET方法3.类代码4.构造对象参考资料 知识点 1、PHP反序列化 2、绕过魔术方法 __wakeup() 一、备份网站 查看界面,提示备份网站。则搜索下载网站的备份文件。写一个程序遍历常见的备份文件网址,发现其中/www,zip的response为200 import requests url = "url地址" l1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 351
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
WEB】[极客挑战2019]EasySQL WP
Miscedence__的博客
04-15 400
0X0000000000000001 审题 其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码: admin’ or ‘1’='1 如名字所说,这是一道很ez的SQL注入 通过这道题,我们来延伸一下其他东西 0X0000000000000002 关于万能密码 为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗? 那么首先,让我们清楚 SQL注入-万能密码的注入原理 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句 //
BUUCTF——Web
2201_75331136的博客
07-11 1055
启动靶机,出现这个用户登录页面 随便输入一个用户名和密码,通过网址可以判断出该请求方式使用万能密码测试是否存在SQL注入漏洞登录后便可查看到flagflag为:启动靶机,出现以下页面 查看源代码尝试在网址后面加上?cat=dog出现以下存在flag的页面flag为:启动靶机,出现以下页面查看源代码source.php 应该是后端的源码,这题代码审计了 源码中 给出了 两个文件,还有一个 hint.php,这里给出了flag的位置 得到flagflag为:启动靶机,出现以下界面点击tips跳转到flag.ph
2024年网络安全最新Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结
2401_84264096的博客
05-03 1139
例如输入1)、1"、1-等,这些数字后面的字符不是闭合符,所以数据库会把这些输入的错误数据转换成正确的数据类型。但是,若输入的数字后面的字符恰好是闭合符,则会形成闭合。原理:当闭合字符遇到转义字符时,会被转义,那么没有闭合符的语句就不完整了,就会报错,通过报错信息我们就可以推断出闭合符。时,没有SQL语句报错,只是提示我们输入的值是不对的,因此我们可以先假设SQL语句闭合方式是单引号。分析报错信息:看\斜杠后面跟着的字符,是什么字符,它的闭合字符就是什么,若是没有,就为数字型。可知此页面与数据库产生交互。
BUUCTF-web [极客挑战 2019]PHP1
zzqzzq11的博客
08-06 927
buuctf
Buuctf-web:[极客挑战 2019]PHP1
羽的博客
07-06 222
这个撸猫游戏还挺好玩的 哈哈哈哈 回来做题。 你既然有网站备份文件,那我扫一下。 扫出一个www.zip文件 下载下来。 解压。 看到GET 数据传入点,下面还有一个反序列化函数。指向class.php 就是一个反序列化的题目: 推荐先看看这个题目: 另一个类似的题目 <?php class Name{ public $username = 'nonono'; public $password = 'yesyes'; public f...
BUUCTF [极客挑战 2019]PHP 1
weixin_45642610的博客
01-14 5663
BUUCTF [极客挑战 2019]PHP 1-刷题日记 进去后是这样: 提示备份,用dirsearch或dirmap扫出来(怎么安装上网找,很多教程,实在不会可以问我(除了dirmap))。搜个大字典下载,自带的字典很少。 py3 dir.py -u http://3c25afd0-8c4a-4832-8e11-f182ffcccae4.node3.buuoj.cn/ -e * -w db/dir.txt -u+地址 -e选择语言 -w选择字典 要多试几次,有时扫不出来,真的坑。(御剑更坑!) 输
BUUCTF】[极客挑战 2019]PHP
aoao331198的博客
04-06 943
打开网站提示说有备份文件 dirsearch扫描 下载www.zip查看 重要文件class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this-&
web | CTF】BUUCTF [极客挑战 2019]PHP 1
weixin_46301214的博客
08-28 400
首先是打印序列化出来的结果是自带类名的,这个一开始以为是个bug,后来发现flag需要这个,导致我也搞不懂为什么了。开始答题,题目说有备份,那就用工具或自己写个脚本去扫(主要看字典),拿CTF的字典一顿扫,发现有源码泄露。你在代码里直接转会自带这种%00,有特殊效果,不知道是截断还是其他效果,反正没有这东西就不通过。当然了,我也是看了答案再反推逻辑的,也不知后台服务器是不是真的这样写。所以就需要把序列化出来的字符串改动一下,从2个元素,改成3个元素。好了,懂开发,踩过坑之后,咱们继续踩坑……
BUUCTF--极客挑战php
woshicainiao666的博客
03-06 1307
www.zip。
BUUCTF-web PHP[极客挑战] wp
想喝奶茶的胖大海
02-26 1075
检查 有一只超级可爱的猫猫哦,可以跟你玩毛球球 然后提示说有备份,可以扫一下 思路 跟进得到压缩包,解压得到3个文件 在index.php得到关键代码 <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> 由unserialize(...
web buuctf [极客挑战 2019]PHP1
weixin_44214568的博客
09-13 283
1.根据题目,存在源代码备份文件,flag应该在备份文件里,需要扫描后台的目录 我没有别的啥工具,用的dirsearch,这个可以从github上直接下,然后解压之后就可以直接用 cmd 打开 py dirsearch.py -u 路径 -e * -s 4(简单解释一下,u后填上需要爆破的后台路径,e是必填项,填上*因为确实不知道格式,重点说一下-s 这后面跟的是一个浮点,表示的是请求的延迟,因为爆破需要大量的请求,会爆出一堆429,这个http错误代码表示的就是因为请求太多,后台拒绝了请求,导致无法.
buuctf web 极客挑战2019
08-24
嗨!对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计和网络协议等。参赛者需要通过解决各个题目来获取相应的flag,以证明自己的能力。如果你有具体的问题或需要更详细的信息,我会尽力帮助你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

&_@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值