BUU-0CTFpiapiapia(反序列化字符串逃逸)

最新推荐文章于 2023-04-12 11:21:05 发布
原创 最新推荐文章于 2023-04-12 11:21:05 发布 · 3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全 #安全

本文讲述了在登录平台的安全审计中发现备份文件泄露,通过代码审计找到flag变量指向,利用序列化和反序列化实现字符串逃逸,最终在profile.php中获取config.php内容的过程。

前言

考点是反序列化字符串逃逸

wp

首先这个题,一进来就是一个登录平台,就属于一种基本的web网站的搭建,先登录再去后台,一般来说,可以sql注入之类的,但是我们习惯先看F12的源码,然后用御剑和dirsearch工具去扫描后台或者文件的泄露。

发现存在备份文件泄露,www.zip,得到源码

开始代码审计

config.php中发现了flag变量,看来题目目的是让我们读取config.php了。

我们来看下每个页面:
index.php

<?php
	require_once('class.php');
	if($_SESSION['username']) {
   
   
		header('Location: profile.php');
		exit;
	}
	if($_POST['username'] && $_POST['password']) {
   
   
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) < 3 or strlen($password) > 16) 
			die('Invalid password');

		if($user->login($username, $password)) {
   
   
			$_SESSION['username'] = $username;
			header('Location: profile.php');
			exit;	
		}
		else {
   
   
			die('Invalid user name or password');
		}
	}
	else {
   
   
    }
?>

register.php:

<?php
	require_once('class.php');
	if($_POST['username'] && $_POST['password']) {
   
   
		$username = $_POST['username'];
		$password = $_POST['password'];

		if(strlen($username) < 3 or strlen($username) > 16) 
			die('Invalid user name');

		if(strlen($password) <
最低0.47元/天 解锁文章
easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门-BUUCTF]
qwsn
11-24 1949
0x01、Web 1.easy_serialize_php-[安洵杯 2019]-[反序列化字符逃逸]-[关键词变少]-[传送门->BUUCTF] 第一步:打开题目环境,进入题目链接,代码审计 <?php $function = @$_GET['f']; //GET传参:f function filter($img){ //函数:filter(),使用$img传参 $filter_arr = array('php','flag','php5','ph
BUUCTF:[0CTF 2016]piapiapia
qq_46230755的博客
12-26 684
题目页面是一个登录页面。拿到题目第一步当然考虑一下有没有注入。当然经过几次测试答案是没有的。 利用工具扫一下是否存在其他的页面 果然扫到了一个www.zip 我们尝试一下进入注册的页面 注册一个admin 123456 进去里面看看,发现可以传东西,考虑是不是文件上传漏洞(事实证明没有) 随便传个东西,发现会跳转到另一个页面 回到一开始拿到的源码,发现config.php文件里存在flag,但是不可读 config(): <?php $config['hostname'] = '1.
BUUCTF--[0CTF 2016]piapiapia
qq_43054896的博客
05-01 1397
一、[0CTF 2016]piapiapia 1、dirsearch扫出了了www.zip压缩包 2、审计代码,在config.php中有变量flag,但为空,flag应该在服务器的config.php文件中,要找漏洞读取服务器的flag 3、审计代码,有注册功能,且代码中要求必须注册才能进行其后的操作;update.php中对用户填写的信息进行了一些限制,且将信息序列化保存,除此之外clas...
web buuctf [0CTF 2016]piapiapia
weixin_44214568的博客
04-11 1141
知识点:1.反序列化字符串逃逸 1.开题 2.常规操作,看源码,查看robots.txt,disearch扫描 抓包,用常规的sql注入测试了一下,没啥效果,disearch扫描也结束了,看了下disearch扫描 有文件www.zip,是源码的一个包,下载下来 3.查看源码,没有路由文件,从index.php看,加载了config.php(里面有flag值),profile.php(会话已经加载的情况下读取信息),都看了一下文件,register.php(注册),注册了一个账号试了试,链
【学习笔记 31】 buu [0CTF 2016]piapiapia
weixin_43553654的博客
07-30 509
0x00 知识点 网站目录的扫描(源码泄露) 代码审计 PHP反序列化字符逃逸 0x01 知识点详解 网站目录扫描工具都是那几种? 答:这里不单单是指常规的御剑,还包括dirsearch,dirb,nikto等工具,一定要多积累一些这样的工具,不然遇到这种同样的源码泄露,或者有robots.txt文件的题都没法下手。 什么是PHP反序列化字符逃逸? 答:这里引用一个大佬的例子,感觉很是清晰明了,之后我也会自己再详细学习。 序列化 <?php $a = array('123', 'abc', '
CTFshow新春欢乐赛--web6--反序列化字符串逃逸
unexpectedthing的博客
02-09 2037
web6 考点:反序列化数组+字符串逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
反序列化字符逃逸
qq_63928796的博客
07-04 561
序列化:函数 : serialize()把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。反序列化:函数: unserialize()恢复原先被序列化的变量 三个属性 public:表示全局,类内部外部子类都可以访问private:表示私有,只有本类内部可以访问protected:表示受保护的,只有本类或者子类中可以访问 特点 php反序列化时,底层代码是以;作为字段的分隔,以}作为结尾(字符串
0CTF piapiapia
Yang_99的博客
08-09 290
源码泄露 第一步是用扫描工具扫描到www.zip文件,获得网站源码。 看到网站目录结构。打开config.php发现有flag,所以我们的目的就是如何读取这个config.php 随便注册个号进去 这里就是注入点,之后会提到。 读源码 用代码审计工具发现几个要点,我们进去看看。 <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } $username = $_S
BUUCTF WEB PIAPIAPIA1
qq_41696858的博客
01-04 2134
打开场景,是一个登录界面,尝试SQL注入未果,审计页面不行,那就扫目录吧 由于BUUCTF自带的防扫机制,所以不要指望很快的得到扫描结果 dirsearch -u http://9a2c0157-a94f-4247-8539-ea25ed3f0b21.node4.buuoj.cn:81/ -t 7 -s 1 扫了大概有十分钟。。。。。。。。 扫出来config.php,register.php,login.php,/static目录,/upload目录,www.zip 行了,那就源码审计吧 config.
BUU CODE REVIEW 11反序列化
weixin_50339832的博客
09-09 739
反序列化漏洞 进入靶机是这个样子 首先进行分析后 看最后一行那个函数unserialize,判断反序列化 然后用post方法传obj变量,利用反序列化漏洞 这里要进行一个判断,就是buu类中的correct和input内容强相等,这里利用传引用的方法 到http://c.runoob.com/compile/1运行下列代码 <?php class BUU { public $correct=""; public $input=""; } $obj = new BUU...
ctf piapiapia反序列化逃逸)解题记录
rt555016的博客
07-28 1089
ctf piapiapia反序列化逃逸)解题记录 前言 出现漏洞的两个重要因素是:1、敏感函数,2、可控参数。 打开url是一个登录界面,而且只有一个登录按钮。由于看到了登录界面而且没有验证码所以第一个想法是尝试弱口令登录,显然不成功,所以在这里来走了弯路。该题首先是需要通过目录扫描得到源码压缩包、注册账户的地址,得到源码后进行代码审计,发现蛛丝马迹,最终通过构造修改用户名的字符串利用反序列化逃逸得到在config.php中的flag 一、使用dirserch目录扫描工具对目标进行目录扫描
BUUCTF [0CTF 2016] piapiapia
Senimo
01-05 1087
BUUCTF [0CTF 2016] piapiapia 考点 php代码审计 反序列化字符串逃逸 启动环境: 首先是个登录框,只有登陆功能,尝试了一波弱密码和万能密码: 猜测可能不是,继续对题目进行信息收集,使用ctf-wscan扫描网站目录: python3 ctf-wscan.py http://xxx.cn/ 得到扫描结果: 查看到其存在注册页面: 访问update.php页面: 需要先进行登陆。 以及其存在源码泄露,下载www.zip到本地: 对源码进行分析,其中static中存
[0CTF-2016] piapiapia
Logerrik的博客
05-11 607
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化
weixin_44632787的博客
06-25 844
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
BUU [0CTF 2016]piapiapia
Jay17的博客
04-12 285
BUU [0CTF 2016]piapiapia
buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)
weixin_63231007的博客
10-20 2242
如果我们传入 _SESSION[imgflagphp]=1111 会发现 s:10:"img" 我们输入的flagphp被替换为了空,只剩下了img,这样就有反序列化逃逸那味了,逃逸了7个字符。序列化串为:a:4:{s:5:"phone";因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,所以要传_SESSION[img]=s:3:"img";看一下这个序列化串:a:2:{s:10:"img";s:3:"img";
BUUCTF--ReadlezPHP反序列化简单应用)()
cainiao17441898的博客
08-15 315
目录扫描之后发现没有文件泄露。 查看一下源码发现了两个链接。 源码: PHP魔术方法:magic 这里eval没有用了不知道为啥(可能被过滤了吧)。 这里用了assert截断函数(作用跟eval差不多,eval里面的语句要以;结尾) 这里用蚁剑连接会连不上,就先查看一下phpinfo的信息。 生成payload: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function
easy_serialize_php(反序列化字符逃逸)
weixin_45007073的博客
03-16 1200
前言 今天突然想起来代码审计好像很久没搞了,在网上找到了个2019的安洵杯的题目。题目的考点是反序列化字符逃逸,通过字符的逃逸我们才能拿到对应的flag值。 反序列化原理 我们要了解反序列化字符逃逸的原理,首先就要先了解反序列化的原理,我们先举个简单的例子帮助理解和分析。 <?php $img["one"] = "flag"; $img["two"] = "test"; $a = serialize($img); var_dump($a); $b = unserialize($a); va
Day10反序列化
Panacea
10-13 256
为了校赛要紧急突击下反序列化了,否则就不是我打CTF了,就成CTF打我了 定义 序列化是将对象转换为字符串以便存储和传输的一种方式。而反序列化就是序列化的逆过程,它会将字符串重新转换为对象供程序使用。简单的说,序列化就是对象–>字符串反序列化就是字符串–>对象 函数 序列化和反序列化对应的分别是serialize()函数和unserialize()函数,反序列化本身并不危险,如果传参时反序列化的函数是用户可控的就会造成反序列化漏洞 组成 一般经过反序列化后的内容为: O:4:“user”:2
BUU-Crypto-RSA1解题详解与Python实现
整个流程完成后,所得m即为原始明文,将其转换为字节串后便可提取出flag字符串。题目示例代码运行后成功输出flag{W31c0m3_70_Ch1n470wn},验证了解法的正确性。 此外,该题反映出CTF竞赛中常见的密码学考察模式:不...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值