CTF:PHP反序列化字符逃逸漏洞

已于 2022-05-27 15:44:36 修改
阅读量1.3k 收藏 12
点赞数 3
分类专栏: CTF 文章标签: php 安全 python ctf PHP序列化漏洞
于 2021-06-16 22:38:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cg_i/article/details/117968776
版权

作者:高玉涵

博客:blog.csdn.net/cg_i

时间:2021.6.16 22:26

CTF入门好难

赛后,主办方给出答案后的第77天,我终于解开了这道题。

CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。

现将解题过程分享出来,以达起到巩固知识,也便于帮助有需要的人。因个人能力所限,文中难免会有错误,不妥之处还请批评指正。

赛题源码

比赛期间我的心里路程

分析代码,需要通过将password字段的值修改为hacker才能拿到flag。

怎么拿?因代码中出现了unserialize反序列化函数,我自然联想到,这里定是存在“反序列化”漏洞。这个判断是正确的。紧接着分析代码,发现了filter函数,我锁定此处是拿到flag的关键,这个判断也是正确的。

虽然一开始我就走向了正确的方向,但限于我浅薄的知识,filter里的漏洞是什么?我即看不懂,更猜不透,解题更无从谈起。我只是笨拙、盲目、无限循环式的构造“反序列化”字符串,试图以撞大运的方式,妄图撞出个flag这一过程直至比赛时间终止结束。

filter里的反序列化字符逃逸详解

题目的本质就是改变序列化字符串的长度,导致反序列化漏洞。先来看一下PHP序列化代码的特征(图1)。

图1可以看到序列化字符串是以";}结束的,所以如果我们把";}带入指定序列化的字符串中间去,就能让反序列化提前闭合结束,后面的内容会被丢弃。

在反序列化的时候,PHP会根据s所指定的长度,读取后边的字符,如果指定的长度s错误,反序列化就会失败。下面给出一个实验例子代码(图2)。

name所读取的数据为aaaa"正常的语法是要用";闭合当前变量的,这里因为长度错误,PHP把闭合的双引号也当字符串处理了,下一个字符是分号,没能闭合导致抛出了错误。

现在我们再看开头给出的代码,filter函数替换secure成secured,长度比secure多1,这样前面的s所代表的长度为6但内容却变长了,成了secured(图3)。

根据反序列化读取变量的原则,此时username能读取到的只是secured,后面那个d是读取不到的,这就形成了一个字符的逃逸。当我们添加多个secured,每添加一个secured我们就能逃逸一个字符,我们可用逃逸的字符总个数,来构造我们要反序列化的字符,这就可以控制反序列化的结果以及类里面的变量值了。

尝试构造username为";s:8:"password";s:6:"hacker";}来间接修改password的值,如果只是单纯的把它加进去的话,就像下面这样(图4)。

由于$username被序列化后长度是固定的,反序列化后$username仍为";s:8:"password";s:6:"hacker";}$password仍为margin123。这里的关键点在于filter函数,这个函数检测并替换了非法字符串,看似增加了代码的安全系数,实则让整段代码更加危险。

我们构造的序列化字符";s:8:"password";s:6:"hacker";}长度为31,我们再加上31个secured,那最终的长度将增加31,不就能逃逸后面的";s:8:"password";s:9:"margin123";}了吗?构造payload(图5)。

Python攻击代码:

import requests

if __name__ == '__main__':
    payload = {
        'username': 'securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure'
                    'securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}',
        'password': 'aaa'
    }

    r = requests.post("http://IP/1.php", data=payload)
    print(r.text)

string(6) "Hacker"
  ["username"]=>
  string(217) "securedsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecured"
  ["password"]=>
  string(6) "hacker"

这31个secured完美占据了217个长度,成为了username的内容,而后面的部分则 “逃逸”了,变成了对象的属性password字段的变成了hacker成功拿到flag。

半点闲
关注
  • 3
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF中常见的PHP函数漏洞
渗透、攻防、CTF、编程
07-04 2520
1.弱类型比较 2.MD5 compare漏洞 PHP在处理哈希字符串时,如果利用”!=”或”==”来对哈希值进行比较,它把每一个以”0x”开头的哈希值都解释为科学计数法0的多少次方(为0),所以如果两个不同的密码经过哈希以后,其哈希值都是以”0e”开头的,那么php将会认为他们相同。 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a...
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1126
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
反序列化漏洞实例解析:CTF挑战中的技巧与策略
最新发布
weixin_43822401的博客
06-15 568
反序列化漏洞通常发生在应用程序接收序列化对象时,未能正确验证或清理输入数据,导致恶意构造的序列化数据被不当还原为对象,可能触发代码执行或其他安全问题。
unserialize3与反序列化漏洞零基础详解
sGanYu
09-08 2899
反序列化漏洞序列化←→反序列化) 什么是序列化(serialize) 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串 什么是反序列化(unserialize) 将字符串转换为状态信息
CTF php反序列化总结
m0_53567065的博客
11-17 4406
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
CTF-PHP反序列化
m0_65336233的博客
10-18 1311
CTF-PHP反序列化
PHP反序列化漏洞详解.rar
02-07
CTF比赛中,了解PHP反序列化漏洞可以帮助选手找到并利用系统的弱点。参赛者需要分析代码,理解类和对象的结构,然后构造特定的序列化字符串来触发漏洞。同时,防御方则需要设计安全的代码,防止此类漏洞被利用。 ...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
记一道CTF反序列化
Peithon的博客
05-28 9590
0x00 使用burpsuite抓包,在URL上发现有用信息 发现key=123对应一个hash值,该hash的值通过md5解密得到kkkkkk01123,如果我们不是123那么就可以get到flag,构造kkkkkk01456,将其MD5加密,得到2a5414055268d6f1f82288af38e5ce4e,将key和hash替换,构造 index.php?key=456&h...
反序列化漏洞汇总
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
反序列化漏洞
weixin_45007073的博客
02-03 263
序列化与反序列 序列化:把对象转换为字节序列的过程称为对象的序列化 反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因及本质 成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。 本质:unserialize函数的变量可控、php文件中存在可利用的类,类中有魔术方法。 魔术方法 魔术方法 触发条件 __wakeup() 使用unserialize时触发 __sleep() 使用seria
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6294
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
四个实例递进php反序列化漏洞理解
大方子
09-14 8019
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化反序列化。顺便安利一下D0g3小组的平台...
CTFshow新春欢乐赛--web6--反序列化字符逃逸
unexpectedthing的博客
02-09 1850
web6 考点:反序列化数组+字符逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
CTFSHOW 反序列化
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9476
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
百度杯CTF Write up集锦 WEB篇
热门推荐
4ct10n
09-21 4万+
九月场1.code一开始的URL为http://ace3c302efed4a9094cbac1dff0250e8add1b4b45f8249d4.game.ichunqiu.com/index.php?jpg=hei.jpg尝试着令jpg=index.php得出了base64编码的文本 丢到解码器里解出文本index.php<?php /** * Created by PhpStorm. *
PHP反序列化漏洞 ctfhub
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序中,特别是在使用不安全反序列化函数(如`unserialize()`)时。 CTFHub是一个CTF(Capture The Flag)平台,旨在提供安全竞赛和训练平台,供安全爱好者学习和应对各种网络安全挑战。在CTFHub中,可能会涉及到PHP反序列化漏洞作为一个题目或挑战,参与者需要通过利用该漏洞来获取目标系统的控制权或敏感信息。 为了防止PHP反序列化漏洞,开发人员应该采取以下几个措施: 1. 验证和过滤用户输入:确保反序列化的数据来自可信任的来源,并对输入进行严格的验证和过滤,以防止恶意数据的注入。 2. 使用安全序列化库:使用经过审计和被广泛接受的序列化库,如JSON或Protocol Buffers,而不是不安全的`unserialize()`函数。 3. 最小化反序列化操作:只反序列化必要的数据,并避免反序列化不受信任的或未知的数据。 4. 对敏感数据进行加密:如果必须在序列化过程中传输敏感数据,应该对其进行加密,以防止泄露。 希望以上信息对你有所帮助。如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值