[网鼎杯 2020 青龙组]AreUSerialz

ZHH-BA 2020-07-11 原文

题目分析

        <?php

include(“flag.php”);

highlight_file(FILE);

class FileHandler {

protected $op;
protected $filename;
protected $content;

function __construct() {
    $op = "1";
    $filename = "/tmp/tmpfile";
    $content = "Hello World!";
    $this->process();
}

public function process() {
    if($this->op == "1") {
        $this->write();
    } else if($this->op == "2") {
        $res = $this->read();
        $this->output($res);
    } else {
        $this->output("Bad Hacker!");
    }
}

private function write() {
    if(isset($this->filename) && isset($this->content)) {
        if(strlen((string)$this->content) > 100) {
            $this->output("Too long!");
            die();
        }
        $res = file_put_contents($this->filename, $this->content);
        if($res) $this->output("Successful!");
        else $this->output("Failed!");
    } else {
        $this->output("Failed!");
    }
}

private function read() {
    $res = "";
    if(isset($this->filename)) {
        $res = file_get_contents($this->filename);
    }
    return $res;
}

private function output($s) {
    echo "[Result]: <br>";
    echo $s;
}

function __destruct() {
    if($this->op === "2")
        $this->op = "1";
    $this->content = "";
    $this->process();
}

}

function is_valid($s) {
for($i = 0; $i < strlen($s); $i++)
if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
return false;
return true;
}

if(isset($_GET{‘str’})) {

$str = (string)$_GET['str'];
if(is_valid($str)) {
    $obj = unserialize($str);
}

}

1.传入str，经过处理反序列化。
2.is_valid过滤：传入的string要是可见字符ascii值为32-125。
3.$op：op=="1"的时候会进入write方法处理，op=="2"的时候进入read方法处理。

利用php>7.1版本对类属性的检测不严格(对属性类型不敏感)

1.正常构造payload的话因为$op、$fliename、$content都是protected属性，序列化的的结果的属性名前面会有/00/00(或者%00%00)，/00的ascii为0不可见的字符如下图，就会被is_valid方法拦下来。

2.php>7.1版本对类属性的检测不严格来绕过，将序列化里的portected属性换成public属性，就不会有/00。

3.弱类型绕过

然后$obj = unserialize($str);会调用__destruct魔术方法，如果$op=“2”的话就把$op=”1″

这时候要使op=”2″不成立且op==”2″成立，这里可以自己使用op等于整数2使得进入read方法里面。

构造payload

1.非预期的解法

2.通过php伪协议读取

比赛的是通过读取/proc/self/cmdline下的配置文件得到网站的绝对路径然后通过php伪协议读取flag的

参考：(https://blog.csdn.net/Oavinci/article/details/106998738)[https://blog.csdn.net/Oavinci/article/details/106998738]

本文链接：https://www.cnblogs.com/ZHH-BA/p/13283160.html

[网鼎杯 2020 青龙组]AreUSerialz的更多相关文章

成理信安协会题目反序列化02

绕就完了。明面上看着不可能的题一般就预示着有空子可钻。直接上源码### <?php show_sou […]...

ThinkPHP5 远程命令执行漏洞分析

本文首发自安全脉搏，转载请注明出处。前言 ThinkPHP官方最近修复了一个严重的远程代码执行漏洞。这个主要 […]...

代码审计之seacms v6.45 前台Getshell 复现分析

1.环境： php5.5.38+apache+seacms v6.45 seacms目录结构： │─admin […]...

DedeCMS—V5.7_UTF8_SP1、SP2—任意前台用户登录（cookie伪造）

漏洞触发点在include/memberlogin.class.php中的MemberLogin类中的登录校验 […]...

通过WebGoat学习java反序列化漏洞

首发于freebuff。 WebGoat-Insecure Deserialization Insecure […]...

CVE-2017-6920 Drupal远程代码执行漏洞学习

1.背景介绍： CVE-2017-6920是Drupal Core的YAML解析器处理不当所导致的一个远程代 […]...

审核Memcrashed Drdos攻击代码

0x00前言：距离世界上最大的Drdos攻击已经过去了两个星期左右昨天在交流的时候。群友在Github中找 […]...

Thinkphp 3.2.3 parseWhere设计缺陷导致update/delete注入分析

目录分析总结分析首先看一下控制器，功能是根据用户传来的id，修改对应用户的密码。 13行把用户传来的i […]...

随机推荐

第一周编程学习总结

本周学习了编程入门知识，接触了简单的程序编写，在编程过程中总出现一些细节错误。字母大小写，中英文符号及位置，空 […]...

图灵测试已过时，AI 需要新基准测试；别了Flash，Adobe播放器正式停运

开发者社区技术周刊又和大家见面了，让我们一起看看，过去一周有哪些值得我们开发者关注的重要新闻吧。软件绿色联盟 […]...

git命令行or图形化界面?看这篇操作就够了

我们在自己的私人分支开发好各自的模块后,就要合并到master,这个时候在idea里边先切换到master,然 […]...

矩阵乘法

矩阵乘法定义设 $A$ 是一个 $n \times p$ 的矩阵， $B$ 是一个 \(p \ […]...

git常用笔记整理

Git 什么是Git 初始化 guthub创建sshKey 下载上传更新创建切换分支删除分支合并分支 […]...

设计模式的简单理解——单例模式

简单理解单例模式是指进程生命期内，某个类型只实例化一个对象。这是一种通过语言特性实现的编程约束。如果没有约束 […]...

Docker镜像基本原理

前言 Docker系列文章: 如果没有安装过Docker请参考本文最后部分，大家从现在开始一定要按照我做的De […]...

Solon详解（11）- Mybatis 与 Solon 相亲相爱

Solon详解系列文章：Solon详解（一）- 快速入门Solon详解（二）- Solon的核心Solon详解 […]...