[NewStarCTF 2023 公开赛道]Unserialize

最新推荐文章于 2024-07-25 18:42:49 发布
原创 最新推荐文章于 2024-07-25 18:42:49 发布 · 630 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #开发语言

本文讨论了PHP中如何处理私有属性$cmd在反序列化过程中的问题,涉及到了不可见字符%00的处理、URL编码技巧以及利用sort命令查看flag文件的细节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一道反序列的基础题,但是细节蛮多的。

这里有一个细节。$cmd 是 private 属性的,赋值只能在内部赋值。即 private $cmd = <命令>

不能

然后if判断语句是过滤我们输入的命令,这里比较好绕过。常见的cat命令代替

编写exp

<?php
highlight_file(__FILE__);
// Maybe you need learn some knowledge about deserialize?
class evil {
    private $cmd="ls";
}


$res=new evil;
echo serialize($res);
?>

浏览器输出的结果:O:4:"evil":1:{s:9:"evilcmd";s:2:"ls";}

这里直接将输出结果传进去是不行的。原因

PHP 序列化的时候 private和 protected 变量会引入不可见字符%00,private是%00类名%00属性名 ,protected为%00*%00属性名 ,注意这两个 %00就是 ascii 码0的字符。这个字符显示和输出可能看不到,甚至导致截断(无法复制),但是url编码后就可以看得清楚.。

就是说上面的O:4:"evil":1:{s:9:"evilcmd";s:2:"ls";}

要改为O:4:"evil":1:{s:9:"%00evil%00cmd";s:2:"ls";}

接下来查看根目录,这里也有一个细节%20算作一个字符串,所以s:后面填4。

最后就是查看flag文件了,可以用上面提到的命令替换cat命令。这里就用sort命令来看。

zero__ddday
关注
[NewStarCTF 公开赛]UnserializeOne
qq_20242529的博客
04-29 716
先将代码复制进vscode,然后把所有和属性无关的删除。将结果以POST请求传给参数POP。这里不知魔术方法的功能可以看这两个链接。这题的链路比较好复原,正向逆向都可以。正向复原,图画的比较丑,谅解一下。这题是反序列pop类型的。
Newstar week5 WEB Unserialize Again(phar反序列化,__wakeup()绕过,phar重签名)
2301_76690905的博客
11-10 610
newf = s + sha1(s).digest() + h # 对要签名的数据进行SHA-1哈希计算,并将原始数据、签名和类型/标识拼接成新的数据newf。//写文件,文件名是$pear,内容是$file。f = file.read() #打开名为1.phar的文件,以二进制只读模式读取文件内容,并将其存储到变量f中。在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以。因为重新赋值修改了文件的内容,之前的签名就会无效,所以需要。
[极客大挑战 2019]PHP unserialize
qq_45951598的博客
10-26 748
这里我用的是buuctf里面的[极客大挑战 2019]PHP 1。 这里我们看到题目,然后发现提示,他说有网站备份,我们知备份文件一般是bak格式的,这里我用xshell连接kali,然后用kali去扫描网站目录。 这里dirsearch在kali不是自带的,要自己去下一条命令就可以下载好,然后自己学一下如何扫描,很简单。 进入目录之后输入网址 这里发现有非常多的目录 但是发现这个颜色不一样,事出反常必有妖,所以访问看看。 这里发现需要下载文件,然后我们把文件下载一下,看一下。 这里我们解压一下发现这里应
BUUCTF [安洵杯 2019]easy_serialize_php
weixin_73399382的博客
07-25 1366
然而因为filter函数的过滤,将php和flag过滤掉,因为指定的键名长度为10,产生了字符串逃逸,我们在后面随便添加几个垃圾字符让它往后读取形成一个新的键名,形成一个键值对,如下所示是payload过滤加上字符串逃逸后形成的序列化数据。php反序列化的过程中必须严格按照序列化规则才能成功实现反序列化,如果出现这种情况s:10:"flag",键名长度为4,但规定长度为10,就会造成字符串逃逸向后读取,这里是我们解题的关键。s:3:"img";后面代码中先进行序列化操作,原本的序列化数据应该为。
NewStarCTF2023week2-Unserialize
Welcome To Myon'Blog !
10-15 7012
创建了一个 evil 对象并设置了 cmd 属性,然后对对象进行了序列化。但要注意,在 PHP 中,如果一个类包含私有属性,并且你尝试序列化该对象,私有属性的值将不会被包括在序列化结果中。因此,在反序列化时,你无法访问 cmd 属性的值,因为它不会被正确反序列化。定义了一个eval类,该类下有一个私有变量cmd和公有成员函数destruct(),该函数在对象的所有引用都被删除或类被销毁时会自动调用;如果满足if条件,没有被匹配到,则会调用system函数,执行我们传入的cmd内容;在根目录下找到flag。
NewStarCTF 2023 公开赛 Week2
Fab1an的博客
10-16 1671
时,得到的结果只是phpinfo()这个字符串,它只是将我们构造的array_rand(array_flip(getallheaders()))给执行了而已,所以我们要先用一个eval将array_rand(array_flip(getallheaders()))变为phpinfo();如果在后面,可以用array_reverse()将数组反转过来之后,再用current拿它,它在中间就不好搞了,又不能用next套娃,因为next的参数要是数组,第一次next完成之后就不是数组了,变成字符串了。
NewStar CTF UnserializeOne
qq_62260766的博客
10-03 1352
NewStarCTF php反序列化
NewStarCTF 公开赛
m0_62129839的博客
10-29 1126
reverse一下倒着取得到最后将回显逆转收获无2.文件包含先进行一个代码审计1219893521,伪随机,给了值,爆破出种子就行if语句playload:flag收获base被禁用rot13反序列化,这类题我觉得是我比较薄弱的地方,好好研究研究:poc链我们这样分析,尾链是Sec-> invoke,倒推__invoke() //当脚本尝试将对象调用为函数时触发clone() //当把一个对象赋给另一个对象时自动调用。
NewStarCTF 公开赛-web
qq_61768489的博客
11-22 2769
cookie 修改admin 源码发现key GET和POST传参即可。
NewStarCTF 2023 web
pwfortune的博客
04-21 1640
访问 /robots.txt 可以得到 flag{r0bots_1s_s0_us3ful访问 /www..zip 下载文件,有两个文件,放了flag(目录扫描)
从CTF到漏洞挖掘:二进制安全的入门指南
11-17
内容概要:本文从CTF到漏洞挖掘全方位介绍了二进制安全领域的基础知识、学习路径及实际应用。首先,介绍了CTF的基本概念及其作为入门方式的优势;接着,重点探讨了CTF PWN方向的学习方法和常用技巧;然后,分析了当前CTF比赛的趋势和特点;最后,详细阐述了二进制漏洞挖掘的方法,尤其是模糊测试技术的具体应用。 适合人群:信息安全专业的学生、初学者和技术爱好者,特别是对CTF和二进制安全感兴趣的人员。 使用场景及目标:帮助读者系统地了解和掌握二进制安全的基础知识,提高在CTF竞赛中的竞争力,同时提供实际操作中的漏洞挖掘技巧。 阅读建议:本文内容丰富,建议读者逐章阅读并结合实际案例进行练习。对于复杂的概念和技术点,可以查阅相关文献和教程进一步学习。
通过[NewStarCTF 2023 公开赛]POP Gadget,精析PHP反序列化POP链的构造(新手可学习)
2301_79575827的博客
04-24 1620
php反序列化POP链详细构造
[NewStarCTF 2023 公开赛]Unserialize
最新发布
01-20
### 关于 NewStarCTF 2023 公开赛 Unserialize 问题解决方案 在处理 `NewStarCTF` 的反序列化挑战时,核心在于理解 PHP 反序列化的机制以及如何利用对象属性触发特定行为。给定的代码片段展示了通过反序列化来...
NewStarCTF 2023 week5--web
pwfortune的博客
07-12 1305
比如别人读取的文件, 应该是要有个docker然后再是后面的数字啊, 有点懵,感觉应该是环境变了。却没有反应,啥也没有,不知为啥,看别人的博客应该是可以的。不管前面的反序列化,直接利用 php://input ,猜测路径为var/www/html。不晓得为啥1.php就是无法执行命令, 蚁剑也连不上,可能哪里出问题了 哎,太菜了。网上搜到的一个, 但是用不了,可能具体的版本不一样,尝试使它报错,得到具体的版本情况。离谱了,之前都还行,现在环境又不行了 , 一样的参数, 我真服了, 重启也不行。
NewStarCTF 2023 web(2)
pwfortune的博客
06-04 1199
之前没写完的题继续。
# NewStarCTF 公开赛 WEEK4
as you know, nlp is fantasitc!
10-17 1392
payload注意用url编码将base64编码后的特殊字符编码。文件上传+phar反序列化。生成下payload就能打。简单的反序列化题,用。
NewStarCTF 2023---Web week2
WMY0323的博客
01-09 639
本题是一个反序列化题目,从题目中可以分析出,题目中定义了一个类evil,一个成员属性为private私有的cmd,过滤了cat、tac、more、tail、base并且大小写都进行了过滤。使用post方式进行传参,参数为unser。
[NewStarCTF 2023] web题解
热门推荐
rev1ve的博客
10-16 1万+
分析一下,第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038;和反引号去绕过对system函数的过滤,反斜杠绕过flag,tac替换cat命令。(多次尝试,发现回显的位置在5而不是1,开始卡了很久没回显)简单的文件包含,这里过滤了常见的转换过滤器base和rot。打开题目,发现是小游戏(题目跟最近打的SHCTF比较像)我们丢到重放器,发现是页面302状态,并且出现了提示。(这里用XFF不行,我用的是X-Real-IP)打开题目,提示我们传参两个数,然后帮我们计算。
2023NewStarCtf [WEEK2] web 方向超详细wp(题目+思路+拓展知识点)
2301_76690905的博客
10-15 1937
这里需要修改前端js文件,用变量覆盖修改gamescore的值,使得判定为大于100000分。步骤:火狐找到调试器下的js文件,在里面gamescore这一行打断点(点一下347那行的开头就行),然后点击开始游戏,游戏会在打中目标的时候停在断点处,这时候点击控制台,在里面写入gameScore=99999999999然后回车,就相当于给这里的gamescore赋值了99999999999,然后点击左上角这个运行,回到调试器把鼠标移到gamescore上面看看有没有赋值成功,然后点击运行,就能弹出flag。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值