从一道ctf看php反序列化漏洞的应用场景

最新推荐文章于 2024-05-29 10:41:34 发布
最新推荐文章于 2024-05-29 10:41:34 发布
阅读量753 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HuaZi_Myth/article/details/102604190
版权

目录

0x00 first

前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。

0x01 我打我自己之---序列化问题

关于序列化是什么就不再赘述了,这里主要讲几个跟安全相关的几个点。
看一个简单的序列化

<?php
    $kk = "123";
    $kk_seri = serialize($kk); //s:3:"123"; 

    echo unserialize($kk_seri); //123

    $not_kk_seri = 's:4:"123""';

    echo unserialize($not_kk_seri); //123"

从上例可以看到,序列化后的字符串以"作为分隔符,但是注入"并没有导致后面的内容逃逸。这是因为反序列化时,反序列化引擎是根据长度来判断的。

也正是因为这一点,如果程序在对序列化之后的字符串进行过滤转义导致字符串内容变长/变短时,就会导致反序列化无法得到正常结果。看一个例子

<?php

    $username = $_GET['username'];
    $sign = "hi guys";
    $user = array($username, $sign);

    $seri = bad_str(serialize($user));

    echo $seri;

    // echo "<br>";

    $user=unserialize($seri);

    echo $user[0];
    echo "<br>";
    echo "<br>";
    echo $user[1];


    function bad_str($string){
        return preg_replace('/\'/', 'no', $string);
    }

先对一个数组进行序列化,然后把结果传入bad_str()函数中进行安全过滤,将单引号转换成no,最后反序列化得到的结果并输出。看一下正常的输出:

用户ka1n4t的个性签名很友好。如果在用户名处加上单引号,则会被程序转义成no,由于长度错误导致反序列化时出错。

那么通过这个错误能干啥呢?我们可以改写可控处之后的所有字符,从而控制这个用户的个性签名。我们需要先把我们想注入的数据写好,然后再考虑长度溢出的问题。比如我们把他的个性签名改成no hi,长度为5,在本程序中序列化的结果应该是i:1;s:5:"no hi";,再跟前面的username的双引号以及后面的结束花括号闭合,变成";i:1;s:5:"no hi";}。见下图

我们要让'经过bad_str()函数转义成no之后多出来的长度刚好对齐到我们上面构造的payload。由于上面的payload长度是19,因此我们只要在payload前输入19个',经过bad_str()转义后刚好多出了19个字符。

尝试payload:ka1n4t'''''''''''''''''''";i:1;s:5:"no hi";}

成功注入序列化字符。前几天的joomla rce原理也正是如此。下面通过一道CTF来看一下实战场景。

0x02 [0CTF 2016] piapiapia

首页一个登录框,别的嘛都没有
www.wityx.com

www.zip源码泄露,可直接下载源码。

flag在config.php中

最低0.47元/天 解锁文章
HuaZi_Myth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfphp,CTF中常见的PHP知识点
weixin_35796207的博客
03-09 1286
PHP是一门比较松散的语言,既方便,又容易出现一些问题。本文主要概括一些常见的PHP弱类型,正则表达式函数跟变量覆盖的内容,在CTF这方面也经常出现在代码审计相关的题目中。一、弱类型0x01 "=="与"==="的区别在使用"=="时会自动转换类型,而"==="则是校验类型,而非转换。1 == '1'; //true1 == '1abcdef'; //true0 == 'abcdefg'; ...
一道CTF题学习PHP反序列化漏洞-附件资源
03-02
一道CTF题学习PHP反序列化漏洞-附件资源
matlab table中的文字转string_【代码审计】CTF中的代码审计题目应对策略(一)
weixin_39538693的博客
11-04 281
作者:kee1ongzI.前言​ 目前,CTF赛事中关于代码审计的题目,已经从一开始的简单函数trick、逻辑绕过逐渐向框架分析、0day改编甚至新出0day(2020WMCTF)过渡。这类题目具有文件多,代码量大复杂的特点,难以下手。以PHP为例,Thinkphp,Laravel,typecho等框架/CMS(甚至包括一些运维工具,例如WMCTF中涉及到了宝塔)都已经沦为出题点。实际上,如果...
ctfphp常见的考点
一个安全研究员
11-06 1万+
本博文转自:大佬博客(侵权删) 总结的很详细,忍不住转载 系统变量 123456 $_POST // 获取 post 数据,是一个字典$_GET // 获取 get 数据,是一个字典$_COOKIE // 获取 cookie$_SESSION // 获取 session$_FILE // 获取上传的文件$_REQUEST // 获取 $_GET,$_POST,$_C
反序列化漏洞复现/PHP session反序列化漏洞原理解析_详细攻防教学
最新发布
程序员六七的博客
05-29 404
本质上,就是一种可以维持服务器端的数据存储技术。即**技术就是一种基于后端有别于数据库的临时存储数据的技术**PHP 工作流程以PHP为例
CTF线下攻防赛总结
热门推荐
Sp4rkW的博客
10-01 3万+
原文链接:http://rcoil.me/2017/06/CTF%E7%BA%BF%E4%B8%8B%E8%B5%9B%E6%80%BB%E7%BB%93/ 作者:Rcoll 总结的非常好,转载收藏,感谢表哥的分享~ 一张常规的CTF线下攻防思维导图 SSH登陆 两三个人进行分工,一个粗略的看下web,有登陆口的话,就需要修改密码,将情况反馈给队友,让登陆ssh的小伙伴进行密码的修改...
“百度杯”CTF比赛 九月场------code
大方子
08-16 3079
============================= 个人收获: 1.phpstorm创建的文件会自动穿件idea,里面的workspace.xml会保存目录结构 2.URL文件包含要多注意   =============================   题目:   刚开始以为是隐写,保存到本地打开看没有什么奇怪的地方,打开源码也很正常 但是URL的连接引起我...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
ActiveMQ 反序列化漏洞(CVE-2015-5254)利用工具
08-15
在2015年,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
ctf .php.bak,【绿盟大讲堂】CTF夺旗赛最强秘籍Part2:Web
weixin_39656206的博客
03-20 718
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称为“Flag”。以我国的CTF赛事来总结,题目通常分为:WEB、逆向、PW...
CTF常见php猥琐小段代码审计
syh_486_007的专栏
02-25 2353
https://github.com/youngcraft/louchaooo.github.io CTF中一些猥琐的php代码审计内容
CTF中常见的php函数绕过(保持更新)
csu_vc的博客
11-03 1万+
is_numeric()用于判断是否是数字,通常配合数值判断is_numeric(@$a["param1"])?exit:NULL; if(@$a["param1"]){ ($a["param1"]>2017)?$v1=1:NULL; } //param1不能是数字,但又要比2017大,利用数组$pos = array_search("nudt",$a["param2"]); $pos ==
CTF线下赛AWD总结
YICONGITSME的博客
09-20 3万+
AWD     记录一下自己最近参加的线下攻防比赛,没时间学习了,就准备了几天,果然不出意外的被安全专业的大佬打得很惨。 缺点是不会攻击,我和我队友两个人就只有防,AWD防了400分,综合渗透拿了200分。 感觉自己的知识欠差很多,代码审计能力弱,写脚本能力弱,sql注入我一直学不会。最重要的是比赛前没有真正练习过,所以比赛时才没把技能发挥出来。谨记:多实践,学好代码审计,sql注入...
一天一道ctf 第33天(反序列化字符串逃逸)
scrawman的博客
07-15 264
看界面很像sql注入,但是试了几次发觉不太行。dirsearch扫一下目录,找到了www.zip文件。 profile.php里有反序列化的代码,应该可以利用: <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } $username = $_SESSION['username']; $profile=$user->show_profile($use.
CTF-web_php_serialize反序列化
Be Smart
02-24 843
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
PHP反序列化字符逃逸详解
qq_45521281的博客
07-05 7757
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列化字符串的长度,导致反序列化漏洞 这种题目有个共同点: php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。 总是先进行序列化,再进行替换修改操作。 第一种情况:替换修改后导致序列化字符串变长 示例代码: <?php function filter($st
ctf系列——反序列化漏洞
超级无敌菜阿板的博客
05-26 4632
题目 http://123.206.87.240:8006/test1/ 拿到题之后先看源码 you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&a...
PHP反序列化漏洞 ctfhub
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化和反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序中,特别是在使用不安全的反序列化函数(如`unserialize()`)时。 CTFHub是一个CTF(Capture The Flag)平台,旨在提供安全竞赛和训练平台,供安全爱好者学习和应对各种网络安全挑战。在CTFHub中,可能会涉及到PHP反序列化漏洞作为一个题目或挑战,参与者需要通过利用该漏洞来获取目标系统的控制权或敏感信息。 为了防止PHP反序列化漏洞,开发人员应该采取以下几个措施: 1. 验证和过滤用户输入:确保反序列化的数据来自可信任的来源,并对输入进行严格的验证和过滤,以防止恶意数据的注入。 2. 使用安全的序列化库:使用经过审计和被广泛接受的序列化库,如JSON或Protocol Buffers,而不是不安全的`unserialize()`函数。 3. 最小化反序列化操作:只反序列化必要的数据,并避免反序列化不受信任的或未知的数据。 4. 对敏感数据进行加密:如果必须在序列化过程中传输敏感数据,应该对其进行加密,以防止泄露。 希望以上信息对你有所帮助。如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值