buuctf web [极客大挑战 2019]PHP

已于 2023-11-25 17:22:19 修改
阅读量597 收藏 1
点赞数 1
文章标签: php 开发语言
于 2023-11-25 13:48:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_61903191/article/details/133250423
版权
文章讲述了使用dirsearch工具扫描网站备份,发现了一个包含PHP代码的页面,通过分析`unserialize`和`serialize`函数,揭示了如何利用构造函数`__wakeup`和析构函数`__destruct`绕过安全限制获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

提示有备份,dirsearch扫描网站备份

GitHub - maurosoria/dirsearch: Web path scanner下载.zip格式文件

解压到python目录下

在上图位置cmd打开窗口

输入python setup.py install安装dirsearch

安装好后输入命令使用dirsearch

python dirsearch.py -u http://44296191-973d-448e-9964-d30eab452926.node4.buuoj.cn:81/ -e php

发现了www.zip压缩包

网址输入www.zip,下载zip包

打开www.zip压缩包,里面的文件挨个看看

index.php

<!DOCTYPE html>
<head>
  <meta charset="UTF-8">
  <title>I have a cat!</title>
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
      <link rel="stylesheet" href="style.css">
</head>
<style>
    #login{   
        position: absolute;   
        top: 50%;   
        left:50%;   
        margin: -150px 0 0 -150px;   
        width: 300px;   
        height: 300px;   
    }   
    h4{   
        font-size: 2em;   
        margin: 0.67em 0;   
    }
</style>
<body>

<div id="world">
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我!!!
    </div>
    <div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
    <?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>
    </div>
    <div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script  src="index.js"></script>
</body>
</html>

这部分代码重点为

意思是:引用class.php页面,用get方法传参,获取变量select,将select进行反序列化,@符号表示忽略可能出现的错误信息。

unserialize() 函数
unserialize() 函数用于将通过 serialize() 函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。

(反序列:序列转数组)

unserialize ($str )
$str:序列化的字符串(序列化字符串i表示位置,s表是大小)
如果传递的字符串不可解序列化,则返回 FALSE,并抛出异常

serialize() 函数
serialize() 函数用于序列化对象或数组,并返回一个字符串。

serialize() 函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变.

(序列化:数组转序列)

serialize ($value )
$value: 要序列化的对象或数组。

class.php页面

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

发现可以输出flag的地方

在_destuct()函数下,要求的条件是password==100,username==='admin',具体来看看各个函数

__construct
构造函数(也称为构造器)是类中的一种特殊函数,当使用 new 关键字实例化一个对象时,构造函数将会自动调用。代码中用到了 $this,它表示当前调用的对象,而且 $this 只能在类的方法中使用.

__wakeup()
__wakeup():当类外部使用`unserialize()` 时,会检查是否存在一个 `__wakeup()` 方法。如果存在,则会先调用 `__wakeup` 方法,预先准备对象需要的资源。

题目中的作用:
__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
这里的作用就是先将username赋值,使我们传入的username永远为guest。

__destruct():

析构函数/方法,析构函数的作用和构造函数正好相反,析构函数只有在对象被垃圾收集器收集前(即对象从内存中删除之前)才会被自动调用。析构函数允许我们在销毁一个对象之前执行一些特定的操作,例如关闭文件、释放结果集等。

作用:
这里的作用是,在wakeup函数调用完后,进行判断,如果password不为100为真:抛出错误回显,并利用die()函数退出当前脚本
如果为假,也就是password=100,接着强类型比较username是否=== admin 如果为真就打印flag

所以本题主要是,需要绕过wakeup函数强制将username赋值为guest。

因为在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup(),去执行__destruct。

尝试构造payload

"O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}"

且因为声明变量时使用的时private(私有变量),所以payload应为:

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

ps:补充

public 、public、protected
类中的 公有、私有、受保护成员

public 表示全局,类内部外部子类都可以访问;

private表示私有的,只有本类内部可以使用;

protected表示受保护的,只有本类或子类或父类中可以访问;

不同的访问修饰符对应的序列化也有不同。

各访问修饰符序列化后的区别:

public:属性被序列化的时候属性名还是原来的属性名,没有任何改变

protected:属性被序列化的时候属性名会变成\0*\0字段名

private:属性被序列化的时候属性名会变成\0类名\0字段名

【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 7333
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF [极客挑战 2019]PHP 1 解题思路
Welcome
11-12 635
BUUCTF [极客挑战 2019]PHP 1 解题思路。
BUUCTF-web极客挑战-2019 PHP
qq_48149564的博客
11-13 240
反序列化
1.【BUUCTF】[极客挑战 2019]PHP(反序列化)
最新发布
2401_86760082的博客
02-12 1264
打开题目页面如下很有趣的前端页面,猫猫会随着球的方向目光跟随,靠近猫猫还会把玩球看到提示备份网站,但不知道备份文件名,用kali中的dirsearch扫描根目录试试扫描特定的后缀,命令如下结果如下看到有www.zip构造url看到下载完成,打开查看有如下几个文件打开flag.phpqyq,果然不可信,没那么简单打开源码文件index.php看到里面的php语句,直接开审include 是一个文件包含语句作用是将指定路径下的文件 class.php 的内容包含到当前脚本中。
[BUUCTF][极客挑战 2019]PHP
朋克归零膏的博客
10-17 511
反序列化漏洞。
BUUCTF-[极客挑战 2019]PHP
网络空间安全学习
06-29 828
通过第二个if控制语句,我们发现通过正则表达式过滤掉了flag,所有说file参数传入时,如果有flag出现就会被过滤掉,我们再根据下一句话,文件包含,我们尝试去获取useless.php 的源码,看是什么信息,再次构造payload。发现是网页的源码,经过分析可得,三个参数分别为text,file,password通过get方式进行传参,在if控制语句当中,设置text变量,并在文件当中读取数据,要等于welcome to the zjctf才会返回true。:私有的类成员则只能被其定义所在的类访问。
[极客挑战 2019]PHP
pakho_C的博客
02-04 791
web第18题 [极客挑战 2019]PHP 打开靶场 本来页面是有一只小猫猫的,不知道为啥不见了 源码没什么可以利用的。页面提醒文件备份,那么开始的思路和另外一道题一样, buuctf初学者学习记录–[ACTF2020 新生赛]BackupFile 先寻找备份文件,使用dirmap扫描 得到一个www.zip文件的响应码为200 访问将其下载下来解压 得到不少文件,先看看flag.php 显然不是哈哈 再查看class.php: <?php include 'flag.php'; e
BUUCTF--[极客挑战 2019]PHP
qq_46263951的博客
09-04 362
学了几天的PHP反序列化漏洞,找一个比较简单的题练练手 进入后给出提示网站存在备份,尝试几种常见的备份目录或者也可以直接扫描目录 访问/www.zip时弹出下载框,得到源代码,flag.php文件只有被调用执行才可获得到flag 在index.php中发现这样一段代码 <?php include 'class.php'; $select = $_GET['select']; //可控参数 $res=unserialize(@$select); //反序列化 ?> ...
BUUCTF】[极客挑战 2019]PHP
aoao331198的博客
04-06 1002
打开网站提示说有备份文件 dirsearch扫描 下载www.zip查看 重要文件class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this-&
buuctf [极客挑战 2019]FinalSQL
zoixsoadji的博客
03-30 874
进入题目,又是这个作者,试试万能密码 经过实验,双写什么的都没用。 作者说的神秘代码,点进去发现url变了 发现并没有什么卵用…… 正当我没有头绪的时候,我突然看到一句话,审题真的很重要: 盲注!这里附上佬的脚本: import requests import time url = "http://def9937b-1746-4f41-98c7-a2b55b95664a.node4.buuoj.cn:81/search.php" temp = {"id" : ...
BUUCTF-Web:[极客挑战 2019]Upload
m0_56161093的博客
05-29 1048
题目 解题过程 1、上传文件 从网页上来看是上传一个图片文件,但我们不知道他的检查上传的文件,所以可以试一试上传各种文件。一般检查文件的地方有:后缀名、content-type、文件头的部分内容。 这里我们先上传一个php文件,不做任何修改。如下图: 结果如下: 2、修改文件后缀名和content-type 将文件名修改为test.phtml,绕过常规php文件后缀检测 将文件类型修改为:image/jpeg 注意:phtml一般是指嵌入了php代码的html文件,但是同样也会作为php解析 修
BUUCTF_[极客挑战 2019]Http解题思路
时光不老的博客
01-10 603
[极客挑战 2019]Http
BUUCTF | Web [极客挑战 2019]EasySQL-- BUUOJ WriteUP
zxsctf的博客
07-15 462
测试的时候输入了1’and‘1’=1这个有问题的payload,看报错信息中带有一个andpassword=‘1’and‘1’=1说明sql语句是SELECT*FROMtablesWHEREusername=‘1’and‘1’=1andpassword=‘1’and‘1’=1类似这样的查询,and的两边同时为TRUE结果才能为TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。我们要从最简单的题目开始做起,一点一点的培养我们的网络安全技术。...
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 832
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 452
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
BUUCTF】[极客挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 2149
BUUCTF】[极客挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
BUUCTF WEB [极客挑战 2019]PHP
Y1da的博客
04-16 1087
BUUCTF WEB [极客挑战 2019]PHP 题目提示网站存在备份,使用御剑扫描目录,发现备份文件 http://9ce7b58e-0829-4ed4-b7ca-7a1b7fd02741.node4.buuoj.cn:81/www.zip 下载后解压,得到index.php、class.php、flag.php等文件。 index.php(部分代码) <?php include 'class.php'; $select = $_GET['select']; $res=unser
BUUCTF[极客挑战 2019]PHP1题解
cxm4545的博客
04-26 1736
想要得到flag,必须满足username===admin,password==100,于是我们就要绕过__wakeup()函数了。(Value是代码运行结果,这里要注意改一下参数个数以绕过__wakeup()函数)(1)进入靶机,我们看到网页提示:备份网站,这时候我们就应该想到有可能源码泄露了。很明显,用get传参,然后反序列化,其实这里就是一个反序列化的题目了。(5)在class.php中,我们观察一下这个Name类。(2)因此,写一个python脚本,扫描一下这个网站。(7)我们写一下代码。
buuctf 极客挑战2019php
08-24
buuctf 极客挑战2019php是指buuctf举办的一个PHP编程比赛,它是基于阿里云IoT技术平台的创新挑战赛。在该比赛中,参赛者需要利用PHP编写代码解决一系列技术难题。这些问题可能涉及到序列化、反序列化、变量值的展示等。序列化是指将对象转化为字符串的过程,而反序列化则是将字符串转化为对象的过程。在PHP中,可以使用serialize()函数进行序列化,并使用var_dump()函数进行反序列化结果的展示。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [阿里云IoT极客创新挑战赛.pdf](https://download.youkuaiyun.com/download/weixin_38744375/11634853)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【BUUCTF-Web】 [极客挑战 2019]PHP](https://blog.youkuaiyun.com/m0_51683653/article/details/126693573)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿勉要睡觉(考试版)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值