ctfshow_Web入门_反序列化(更新中...)
Web254
审题:三个if对应了三个条件。
1、条件一:GET中传递username和password的值
2、条件二:username、password的值和格式都必须完全相等
3、条件三:只要触发checkVip函数,就返回flag
解题:1、url中输入?username=xxxxxx&password=xxxxxx,直接获取flag
2、new ctfShowUser时,就已经触发了checkVip,条件三等于没设
3、成功过关!
Web255
审题:三个if对应三个条件
1、GET中传递username和password的值,Cookie中传递反序列化后的user参数
2、username和password的值和格式都必须完全相等
3、$isVip为真,返回flag
解题:1、抓包,GET/后输入?username=xxxxxx&password=xxxxxx
2、PHP运行以下内容:
得到值:O:11:"ctfShowUser":3:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";s:5:"isVip";b:1;}
在数据包内添加Cookie并传入:user=O:11:"ctfShowUser":3:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";s:5:"isVip";b:1;}
释放数据包,获取flag
3、成功过关!
Web256
审题:三个if对应三个条件
1、条件一:GET中传递username和password的值,Cookie中传递反序列化后的user参数
2、条件二:username和password的值和格式都必须完全相等
3、条件三:username和password在格式相同的情况下值不相等,返回flag
解题:1、抓包GET/后输入?username=xxx&password=xxxxxx
2、PHP运行以下内容:
得到值:O:11:"ctfShowUser":3:{s:8:"username";s:3:"xxx";s:8:"password";s:6:"xxxxxx";s:5:"isVip";b:1;}
在数据包中添加Cookie并传入:user=O:11:"ctfShowUser":3:{s:8:"username";s:3:"xxx";s:8:"password";s:6:"xxxxxx";s:5:"isVip";b:1;}
释放数据包,获取flag
3、成功过关!
浙公网安备 33010602011771号