【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析

已于 2024-05-31 09:41:44 修改
阅读量3.7k 收藏 1
点赞数 2
分类专栏: CTF 文章标签: CTF 网络安全 web安全
于 2023-05-28 20:39:53 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/130902069
版权
本文详细剖析了CTF中关于Web_PHP_unserialize的解题过程,涵盖了代码审计、解题思路、wakeup绕过、preg_match绕过、base64绕过以及GET参数传递等关键步骤。通过逆向思维和对PHP序列化机制的理解,成功构造出绕过机制的POC。
摘要由CSDN通过智能技术生成

文章目录

在这里插入图片描述

代码审计

这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。其中:

  • __construce()方法用于初始化 $file 变量
  • __destruce方法用于输出文件内容
  • __wakeup() 方法检查当前对象的 $file 变量,如果不等于 index.php,则将其重置为 index.php,从而防止攻击者通过反序列化攻击来读取 fl4g.php 文件的内容。
if (isset($_GET[
了解本专栏 订阅专栏 解锁全文 超级会员免费看
秋说
关注
专栏目录
订阅专栏
网络安全 | CTF攻防世界wife_wife解题详析
等风来
07-23 5286
若isAdmin的属性是true,则它为管理员,否则为普通用户;于是我们可构造污染。该题涉及Java Script原型链污染。可以看到,后端编程语言为Node.js,
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 704
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2539
最近开始刷攻防世界web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
CTF 总结02:preg_match()绕过
最新发布
qq_53058639的博客
07-22 861
链接在此:[PHP: preg_match - Manual](https://www.php.net/manual/zh/function.preg-作为匹配检查的大函数,可以带五个小参数:pattern、subject、matches、flags、offset,其中前两个:pattern、subject是必须要填写的后三个不填写的话会有自动的默认值需要被检查的字符串(通常就是我们传到网页的字符串)~需要被比较的字符串(通常就是被WAF拉黑的字符串)~
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 736
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
攻防世界 web Web_php_unserialize
汗的博客
08-24 672
攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
攻防世界Web_php_unserialize
m0_74979597的博客
09-21 320
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
网络安全 | CTF攻防世界 baby_web 解题详析
等风来
05-21 4635
当用户请求访问一个使用 PHP 构建的网站时,Web 服务器将会搜索该网站根目录下是否存在名为 index.php 的文件,如果找到了该文件,则会将其视为默认的初始页面文件并返回给用户。具体来说,当访问一个 URL 时,服务器返回 302 状态码和一个 Location 头部字段,该字段指示了资源被临时移动到的新 URL 地址。这两个文件名都是 Web 服务器默认的首选文件名,当用户访问一个网站时,服务器会优先寻找这些文件并返回给用户。文件是最常用的初始页面文件名,它在网站根目录下。
网络安全 | CTF攻防世界 Web_php_include【php伪协议|data伪协议|file伪协议】
等风来
05-22 9930
PHP 语言中一个重要的文件包含机制,可以将一个 PHP 文件包含到另一个 PHP 脚本文件中。该机制通常用于代码复用和模块化开发,在不同的 PHP 文件之间实现函数和类等代码的共享。file 伪协议用于访问本地文件系统中的文件,可以在 web 页面中链接到本地文件,或者读取本地文件中的数据。PHP 伪协议是一种特殊的 URI 协议,可以绕过通常的协议限制,直接访问本地文件和执行 PHP 代码。函数,该函数返回当前工作目录的绝对路径。函数,该函数返回当前执行的 PHP 脚本所在位置的绝对路径。
网络安全 | CTF攻防世界 php_rce 解题详析
等风来
05-22 5701
PHP RCE 指的是通过远程代码执行漏洞(Remote Code Execution)来攻击 PHP 程序的一种方式。简单来说,由于PHP应用程序没有正确处理外部输入数据(如用户提交的表单、请求参数等),此时通过某些手段向 PHP 应用程序中注入恶意代码,然后通过这些恶意代码实现对受攻击服务器的控制。由上图可知,flag字段储存在flag文件夹下的flag文件中。使用thinkphp 5.1.payload进行尝试,根据提示,使用5.0.20版本的Payload。说明命令执行成功,接着抓取flag即可。
攻防世界---web---Web_php_unserialize
2201_75556700的博客
06-02 1295
表示的是一个对象,后面的数字4表示类名的长度。通过将4替换为+4,可以使正则表达式无法匹配,从而绕过检查。:最后,将修改后的序列化字符串进行Base64编码,然后输出。类的实例,并对其进行序列化,然后将序列化后的字符串赋值给变量。这样的正则表达式检查。原始的序列化字符串中,6、在源代码中我们需要绕过几个函数。7、运行代码可以看到序列后的结果。4、根据代码中的提示,我们将。的类,该类有一个私有属性。通过将序列化字符串中的。:这行代码的目的是绕过。:这行代码的目的是绕过。
攻防世界-web-Web_php_unserialize
wuh2333的博客
06-02 710
2.1 __wakeup函数:若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。根据以上分析,我们将Demo后门的1改为2即可绕过__wakeup函数,O:4改为O:+4即可绕过正则,再进行base64编码即可(这里注意一定要再代码中处理,线上以及一些工具上进行base64和php代码中进行base64获取到的结果不一样)
攻防世界-Web_php_unserialize
fresh_fistpupiu的博客
02-02 361
构造完毕得到相应的payload:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==//将对象的属性个数改为大于实际数,substr_replace(字符串,要替换进去的字符,开始位置,替换的字符数目)。如:http://url/index.php/?以GET方式,将payload放在var变量中注入。//在O:4:的4前加个‘+’,绕过字符串检测。//base64编码。
攻防世界 Web_php_unserialize
Jay17的博客
02-24 239
攻防世界 Web_php_unserialize
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 Web 安全漏洞,它允许攻击者通过构造恶意请求来包含并执行服务器上的任意文件。攻击者可以利用这个漏洞来读取敏感文件、执行任意代码以及获取服务器权限。 在 CTF 中,解决 "Web_php_include" 题目的步骤通常如下: 1. 探测漏洞点:通过发送不同的请求,观察是否存在 PHP 文件包含漏洞。 2. 利用漏洞点:构造特定的请求,使得服务器执行恶意代码或读取敏感文件。 3. 获取目标:根据题目要求,尝试获取相应的 flag 或其他标识符。 4. 提交答案:将 flag 或其他标识符提交给比赛组织者验证。 请注意,在实际应用开发中,要避免 PHP 文件包含漏洞,可以使用安全的文件包含函数(如 require_once 或 include_once)、限制包含路径、以及对用户输入进行严格过滤和验证等安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值