ctf题php反序列化,从一道CTF题来理解PHP反序列化中的字符逃逸漏洞

最新推荐文章于 2022-11-02 19:03:18 发布
最新推荐文章于 2022-11-02 19:03:18 发布
阅读量464 收藏 2
点赞数 1
文章标签: ctf题php反序列化

一、前言

首先来看一下题目源码:<?php

error_reporting(0);

class a

{

public $uname;

public $password;

public function __construct($uname,$password)

{

$this->uname=$uname;

$this->password=$password;

}

public function __wakeup()

{

if($this->password==='yu22x')

{

include('flag.php');

echo $flag;

}

else

{

echo 'wrong password';

}

}

}

function filter($string){

return str_replace('Firebasky','Firebaskyup',$string);

}

$uname=$_GET[1];

$password=1;

$ser=filter(serialize(new a($uname,$password)));

$test=unserialize($ser);

?>

从源码来看,我们需要使$password为'yu22x'才能成功得到 flag,但问题在于,$password不是我们可控的,它被写死为 1,那如何才能让$password可控呢?这就是本文要探讨的主题:字符逃逸漏洞。

二、漏洞原理

字符逃逸漏洞属于PHP反序列化漏洞中的其中一种,漏洞原因是在反序列化某字符属性时,由于长度异常而导致后面注入字符串被正常解析,导致我们构造的恶意字符串逃逸出正常的属性值中,最终在反序列化后恶意修改了类属性。

针对上面的题目,如果我们提交以下字符串,就能成功得到 flag:FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";}

这是$uname的值,里面一共15个Firebasky,加上后面的";s:8:"password";s:5:"yu22x";}(30个字符),一共是165个字符,所以在serialize()后,序列化的字符串中,类属性$uname的长度也是165。

接下来,filter()方法会把序列化字符串里的Firebasky都替换为Firebaskyup,多了2个字符,总增加 2 x 15 = 30 个字符,因此$uname的实际长度其实已经达到了 165 + 30 = 195 个,但是在序列化字符串中,$uname的长度还是被定义为 165。

关键来了,反序列化时unserialize()是根据序列化字符串中定义的长度来获取数据的,这个长度之后的会被当作一个新的合法属性解析,所以会把以下当作$uname的数据:FirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyupFirebaskyup

而后面紧跟的这个字符串将被当作正常属性解析:s:8:"password";s:5:"yu22x";}

而因为PHP以左边数起第一个}符号来做反序列化终点,所以后面原本的s:8:"password";s:5:"1";}就被抛弃了,而此时,$password的值也成功被修改为了'yu22x',成功得到 flag。

三、总结

这类漏洞一般只能在代码审计时检测出来,利用的关键是序列化后到反序列化前的这段时间中某些关键的属性长度发生改变。这种与原序列化时的长度不一致的情况,给***者提供了恶意注入数据来修改类属性的机会。

weixin_39588432
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP 原生类学习与利用
snowlyzz的博客
09-22 1381
php 原生类利用与学习。
buuctf
qq_41788704的博客
10-28 1753
buuctfBJDCTF2020 Easy MD5网鼎杯 2020 青龙组 AreUSerialzGYCTF2020 Blacklist强网杯 2019 随便注 BJDCTF2020 Easy MD5 进来就是一个输入框,发包查看返回信息 可以看到SQL语句。这里猜想MD5出来的值会不会可以可以这样利用 select * from ‘admin’ where password=’‘or’1’ 这段PHP代码可以找到MD5出来的值类似于 '‘or’1…’ <?php for ($i = 0;;)
php 反序列化 ctf,Bugku CTF 反序列化
weixin_39693971的博客
03-27 590
反序列化php反序列化漏洞又称对象注入,可能会导致远程代码执行(RCE)个人理解漏洞为执行unserialize函数,调用某一类并执行魔术方法(magic method),之后可以执行类函数,产生安全问。所以漏洞的前提:1)unserialize()函数变量可控2)存在可利用的类,类有魔术方法右键查看源码image.png构造读出hint.phpimage.png解码base64class ...
unserialize php ctf,CTF-WEB-XTCTF-Web_php_unserialize
weixin_34677379的博客
03-26 316
目来源XTCTF-Web_php_unserialize目考点:PHP代码审计、PHP正则、PHP序列化与反序列化思路目源码class Demo {private $file = ‘index.php‘;public function __construct($file) {$this->file = $file;}function __destruct() {echo @high...
unserialize php ctf,ctf serialize 序列化和反序列化
weixin_34571272的博客
03-26 589
反序列化图片.png和往常一样,先进入网址。这里我们可以看到上面的源代码。unserialize($str) === "$KEY"我们举个例子$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$arr['address']='上海市浦东新区'; var_dump($ar...
ctfshow—SSRF详解
cosmoslin的博客
09-24 1306
web 351 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?> 前置 c
php代码-ctf payload 第九 反序列化 do you know robot
07-15
CTF(Capture The Flag)竞赛,编程者经常面临各种挑战,其反序列化”是一种常见的安全漏洞利用方式。第九的标暗示我们需要理解并利用PHP反序列化机制来解决这个问PHP是一种广泛使用的服务器端...
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
为了利用这种漏洞,攻击者可能需要找到一种方法来操纵`$profile`字符串,使得在反序列化过程PHP解释器错误地解析这个字符串,从而执行攻击者控制的代码。这通常涉及到对PHP内部类结构的理解,以及如何构造特定的...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 5671
web入门——php特性web123web125web126 web123 目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
CTF一些绕过
qq_41996851的博客
04-23 2467
PHP 主要体现在序列化php的类会有构造函数和析构函数,也还有内置的一些其他语言没有的函数: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; // 构造函数,声明对象时触发 public function __construct($username,$password){
BUUCTF的web方向目(一)
wanan的博客
10-06 389
BUUCTF的web方向目(一)
Bugku CTF 每日一 闪电十六鞭
彼岸花苏陌的博客
01-16 1063
闪电十六鞭 点开发现出现源码 <?php error_reporting(0); require __DIR__.'/flag.php'; $exam = 'return\''.sha1(time()).'\';'; if (!isset($_GET['flag'])) { echo '<a href="./?flag='.$exam.'">Click here</a>'; } else if (strlen
BUUCTF系列
qq_45655564的博客
07-11 496
[HCTF 2018]WarmUp 查看网页源代码,得到source.php 可以得到 <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
[CTF] 关于php代码审计的MD5类的练习
ZXW_NUDT的博客
12-03 2825
练习1 PHP代码: <?php error_reporting(0); highlight_file("pass-01.php"); if(isset($_GET["pass"])){ if($_GET["pass"] != hash("md4", $_GET["pass"])){ die('fail~~~'); }else{ echo "success!!!<br>";
ctfshow—PHP特性
cosmoslin的博客
09-14 2267
PHP特性 以ctfshow平台目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
2022 SWPU新生赛&HNCTF web部分
weixin_63231007的博客
11-02 3267
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php
浅析php反序列化原生类的利用
Christ1na的博客
03-31 4928
浅析php原生类的利用
ctf php反序列化
最新发布
06-07
CTFPHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击,攻击者通常会在Cookie、GET或POST参数注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值