BUUCTF | CODE REVIEW 1 (反序列化,md5绕过)

<?php
/**
 * Created by PhpStorm.
 * User: jinzhao
 * Date: 2019/10/6
 * Time: 8:04 PM
 */

highlight_file(__FILE__);

class BUU {
   public $correct = "";
   public $input = "";

   /*__destruct() :对象的所有引用都被删除或者当对象被显式销毁时执行
         uniqid() :函数基于以微秒计的当前时间,生成一个唯一的 ID。
   */
   public function __destruct() {
       try {
           $this->correct = base64_encode(uniqid());
           if($this->correct === $this->input) {
               echo file_get_contents("/flag");
           }
       } catch (Exception $e) {
       }
   }
}

if($_GET[‘pleaseget‘] === ‘1‘) {
    if($_POST[‘pleasepost‘] === ‘2‘) {
        if(md5($_POST[‘md51‘]) == md5($_POST[‘md52‘]) && $_POST[‘md51‘] != $_POST[‘md52‘]) {
            unserialize($_POST[‘obj‘]);
        }
    }
}

__destruct() :对象的所有引用都被删除或者当对象被显式销毁时执行。

uniqid() :函数基于以微秒计的当前时间,生成一个唯一的 ID。

序列化构造方法:注意传引用

MD5绕过一:数组

MD5绕过二:弱类型

原文地址:https://www.cnblogs.com/chrysanthemum/p/11737319.html

时间: 2024-08-03 20:03:51

BUUCTF | CODE REVIEW 1 (反序列化,md5绕过)的相关文章

Code Review Engine Learning

相关学习资料 https://www.owasp.org/index.php/Code_review https://www.owasp.org/images/8/8e/OWASP_Code_Review_Guide-V1_1.doc http://cwe.mitre.org/about/index.html 目录 1. INTRODUCTION: 代码审计介绍 2. PREPARATION: 代码审计需要的准备 3. SECURITY CODE REVIEW IN THE SDLC: 系统生命

不容错过,Code Review 的最佳实践方案来了

前言 我一直认为Code Review(代码审查)是软件开发中的最佳实践之一,可以有效提高整体代码质量,及时发现代码中可能存在的问题.包括像Google.微软这些公司,Code Review都是基本要求,代码合并之前必须要有人审查通过才行. 然而对于我观察到的大部分软件开发团队来说,认真做Code Review的很少,有的流于形式,有的可能根本就没有Code Review的环节,代码质量只依赖于事后的测试.也有些团队想做好代码审查,但不知道怎么做比较好.网上关于如何做Code Review的文章

转 Code Review最佳实践

本文转自 https://www.cnblogs.com/dotey/p/11216430.html 我一直认为Code Review(代码审查)是软件开发中的最佳实践之一,可以有效提高整体代码质量,及时发现代码中可能存在的问题.包括像Google.微软这些公司,Code Review都是基本要求,代码合并之前必须要有人审查通过才行. 然而对于我观察到的大部分软件开发团队来说,认真做Code Review的很少,有的流于形式,有的可能根本就没有Code Review的环节,代码质量只依赖于事后的

后端code review finished 12-28

今天只有天赋和士杰有相应的后端代码的code review工作,因为并没有召开daily scrum.只是天赋和士杰对后端所有的代码进行了review,对代码进行了整理并删除了一些残留的0 refrence的代码.

code review的目的

Code review 是系统的检查程序源码,目的是在初始开发阶段找到和修正错误,提高软件质量和开发人员的技术水平. Java源码的Code review包括哪些那: 1.编程规范 2.面向对象设计检查 3.性能检查 4.资源管理:内存泄露 5.线程安全:多线程,死锁 6.处理流程:条件语句,循环结构 7.异常处理 8.数据库 有许多帮忙我们检查代码的自动化工具:比如PMD工具,http://pmd.sourceforge.net/pmd-5.1.1/ PMD可以帮我做的: PMD scans

我是如何进行code review的

众所周知,代码审查是软件开发过程中十分重要的环节,楼主结合自己的实际工作经验,和大家分享一下在实际工作中代码审查是如何开展的, 笔者水平有限,若有错误和纰漏,还请大家指正. 代码审查的阻力 我想不通公司不同部门对代码审查这项工作的重视程度还是不一样的,对于代码审查的阻力总结了以下几点: 国内的整体环境,国内的公司,尤其是互联网公司,讲究速度致上,软件开发的迭代周期周期短,速度快,因为竞争太大,开发的产品要求快速上线,对代码审查不是很重视,先上线,出了问题再解决. 公司的规模,大公司重视流程,把代

使用RBTool自动提交code review请求

使用RBTool自动提交code review请求 前言 让我们回想一下手工提交review请求的过程: 首先得用 svn diff > filename.diff 生成diff文件. 然后输入review board的网址,可能是 rb.companyname.com 然后需要输入你的账号密码进行登录验证. 然后你需要填写你的svn repository 地址,然后上传diff文件. 然后你进到review请求的详细页面,填写summary, description, test-done, g

如何搭建gerrit开源code review工具

搭建环境:Ubuntu 14.04 一.环境准备 1.Java环境 gerrit依赖,用于安装gerrit环境. 下载:jdk-7u79-linux-x64.tar.gz http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-1880260.html 安装:sudo tar zxvf ./jdk-7u79-linux-x64.tar.gz -C /opt 配置:vim ~/.bashrc export JAV

如何在python脚本开发做code review

在软件项目开发中,我们经常提到一个词"code review".code review中文翻译过来就是代码评审或复查,简而言之就是编码完成后由其他人通过阅读代码来检查代码的质量(可编译.可运行.可读.可维护.可复用),这些性质都比较抽象,但是一般都可以通过以下的检查点来实现: 检查代码的命名方式是否符合规范,代码的可读和可维护必须要求所有参与编码的同事使用的命名有统一的规范(注意每个人有自己的代码风格,但是要符合可读性的代码规范): 检查代码的注释,注释一般包括:1.类要有类用途和使用