博客
关于我
[网鼎杯 2020 青龙组]AreUSerialz
阅读量:480 次
发布时间:2019-03-06

本文共 659 字,大约阅读时间需要 2 分钟。

[网鼎杯 2020 青龙组] AreUSerialz

目录ticket protective layers

解题过程两个防护is_valid()防护destructor的魔术方法防护

题目:在buu平台上图片解题过程代码审计代码分析php代码中,需要传入一个序列化的类对象,并绕过两层防护机制。实现方法:第一,需要满足is_valid()函数的条件,确保序列化的字符串不包含不可见字符。第二,需要绕过Destructor的魔术方法中的强制比较和弱比较。

实现思路:因为php7.1以上版本对属性类型不敏感,应该设置所有属性为public属性,这样在序列化时不会产生不可见字符。

类对象结构如下:class FileHandler {public $op = 2;public $filename = "flag.php";public $content = "1";}

序列化结果:FileHandler Object (@properties {op=2;filename=flag.php;content=1;})

伪协议输入示例:strSer=O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:1:"1";}

通过上述方法,可以成功绕过is_valid()的验证,并且在destructor中利用op="2"做强迫调用,从而获取flag。

最终解答:[网鼎杯 2020 青龙组]AreUSerialz

转载地址:http://ifcdz.baihongyu.com/

你可能感兴趣的文章
PHP代码格式化工具phpcf常见问题解决方案
查看>>
PHP使用3DES算法加密解密字符串
查看>>
PHP使用curl multi要注意的问题:每次使用curl multi同时并发多少请求合适
查看>>
php使用memcached扩展的一个BUG
查看>>
PHP函数
查看>>
PHP函数__autoload失效原因(与smarty有关)
查看>>
PHP函数操作数字和汉字互转(100以内)
查看>>
php判断复选框是否被选中的方法
查看>>
PHP利用正则表达式实现手机号码中间4位用星号(*)替换显示
查看>>
PHP加密与安全的最佳实践
查看>>
PHP去掉转义符
查看>>
php反射api
查看>>
php取当天的最后一秒_Docker快速搭建PHP开发环境详细教程
查看>>
php后台的在控制器中就可以实现阅读数增加
查看>>
php命令行生成项目结构
查看>>
php商店管理系统,基于PHP的商店管理系统.doc
查看>>
php在liunx系统中设置777权限不起作用解决方法
查看>>
PHP基于openssl实现的非对称加密操作
查看>>
php如何定义的数位置,php如何实现不借助IDE快速定位行数或者方法定义的文件和位置...
查看>>
RabbitMQ集群 - 仲裁队列、Raft协议(最详细的选举流程)
查看>>