SDUTsec-writeup:源码泄露+反序列化

SDUTsec-writeup:源码泄露+反序列化

1.源码泄露

题目链接:源码泄露
打开链接之后整个页面只有一句话:

Flag_is_there

右键查看源代码啥也没有,试一下有没有备份文件,访问:
http://139.199.31.116:9003/index.php.bak
404,那换下一个:
http://139.199.31.116:9003/index.php.swp
可以访问,下载下来index.php.swp
(使用vi编辑器打开文件时,会生成一个.文件名.swp的备份文件,防止意外退出等情况导致文件内容丢失。产生原因主要是管理员在web目录下修改代码文件,导致生成了.swp备份文件。)
拖到kali里执行:

vim -r index.php.swp

还原index.php:
SDUTsec-writeup:源码泄露+反序列化_第1张图片
分析源码,需要传入Usernamepassword参数,要求Username必须全部是字母组成,password必须全是数字,如果username和password的MD5值相同,则echo flag。
我们可以利用php中的MD5函数的漏洞,PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以“0E”开头的,那么PHP将会认为他们相同,都是0。
以下值在md5加密后以0E开头:

  • QNKCDZO
  • 240610708
  • s878926199a
  • s155964671a
  • s214587387a
  • s214587387a

我们这里取前两个,传入参数:

http://139.199.31.116:9003/index.php?Username=QNKCDZO&password=240610708

得到flag。

2.反序列化

题目链接:反序列化
告诉我们只有这些,你个糟老头子坏得很,我信你个鬼0.0

只有这些:
class HELLO{
  public $flag;
  function FLAG(){
   	if($this->flag=='flag'){
   	echo 'flag';
}
}
}

右键查看源码发现:


分析代码,需要我们构造php序列化字符串参数传入,让他解析之后HELLO.flag的值为flag,那么就echo flag。
那么什么是php序列化字符串呢?个人感觉这篇文章讲的很通俗易懂:
FREEBUF:最通俗易懂的PHP反序列化原理分析
json格式:
SDUTsec-writeup:源码泄露+反序列化_第2张图片
unserialize():
SDUTsec-writeup:源码泄露+反序列化_第3张图片
我们的题目是用的反序列化函数,也就是第二种格式
那么我们构造payload:

http://139.199.31.116:9000/unserialize.php?data=O:5:HELLO:1:{s:4:flag;s:4:flag;}

由于我的疏忽,忘了加双引号了…现在可以了。。
http://139.199.31.116:9000/unserialize.php?data=O:5:“HELLO”:1:{s:4:“flag”;s:4:“flag”;}

SDUTsec-writeup:源码泄露+反序列化_第4张图片
网页弹窗一个base64编码的字符串,解码base64即得到flag。

你可能感兴趣的:(ctf,writeup)