CTFshow 反序列化 web263

最新推荐文章于 2024-11-08 13:04:46 发布
最新推荐文章于 2024-11-08 13:04:46 发布
阅读量1.4k 收藏 2
点赞数 7
分类专栏: CTFshow 文章标签: php 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Kracxi/article/details/122024812
版权
本文探讨了一次CTF挑战中的反序列化问题。由于PHP的不同页面session.serialize_handler设置不一致,导致了session反序列化漏洞。通过控制session值,利用User类的魔术方法写入文件,实现远程代码执行。可以使用base64编码后的payload在index.php中设置cookie,然后在check.php或inc/inc.php中触发反序列化,创建并访问log-1.php以验证成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

源码

也没有什么别的信息,扫一下目录,下载www.zip拿到源码

思路

知识点:
  1. php在session存储和读取时,都会有一个序列化和反序列化的过程,PHP内置了多种处理器用于存取$_SESSION数据,都会对数据序列化和反序列化,源码中有session_start的时候会读取session,从而进行反序列化.
  2. php . ini 中默认 session.serialize_handler 为 php_serialize,而 index.php 中将其设置为 php ,这个差异就导致了 sesssion 反序列化问题。
  3. php有三种处理器对$_SESSION数据进行序列化和反序列化。

php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
php 键名+竖线(|)+经过serialize()函数处理过的值
php_serialize 经过serialize()函数处理过的值,会将键名和值当作一个数组序列化

先找几个关键点

index.php

$_SESSION['limti']键名写错了,应该是limit,所以永远不成立,我们可以通过$_SESSION['limit']=base64_decode($_COOKIE['limit'])来控制session的值

	session_start();
	//超过5次禁止登陆
	if(isset($_SESSION['limit'])){
   
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		$_COOKIE['limit'] = base64_encode(base64_decode
最低0.47元/天 解锁文章
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 2164
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
反序列化3(ctfshow web263-web267 )
最新发布
m0_72929232的博客
02-01 753
session.serialize_handler 是用来设置 session 序列化引擎的,在 5.5.4 前默认是 php,5.5.4后默认是 php_serialize,在 PHP 反序列化存储的 $_SESSION 数据时如果使用的引擎和序列化时使用的引擎不一样,就会导致数据无法正确第反序列化,也就是 session 反序列化漏洞。message.php页面要求设置Cookie:msg的值,没有要求,随便输入即可。用dirsearch扫一下,发现www.zip文件,访问下载下来是网站源码。
ctfshow web入门 反序列化 263
m0_64815693的博客
04-08 1998
ctfshow web入门 反序列化 263
ctfshow web入门反序列化263——学习session的两种存储方式
qq_45766062的博客
09-14 823
一. 题目分析: 跑dirsearch发现有个www.zip压缩包,是网站的源码,通过源码分析,我先梳理解题思路: (1)首先访问首页,建立session,并获得cookie。 (2)然后将cookie修改为反序列化字符串 (3)访问check.php实现反序列化shell的写入 (4)访问log-1.php,获取flag 废话不多说直接上exp: <?php class User{ public $username; public $password; public $sta
session反序列化漏洞2——ctfshow web263
m0_73756016的博客
03-31 759
die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);会解析session文件里面的内容(用php处理器)(把它反序列化)然后这里就会触发_destruct()析构函数。通过inc.php反序列化触发析构函数 用file_put_contents()写入一句话木马getshell。看别人的wp分析 猜测这里phpini的默认处理器应该不为php 才在这里声明的。这里的$_SESSION['limit']是可控变量。
Ctfshow 反序列化
qq_74806534的博客
03-17 1818
SSTI和SQL注入原理差不多,都是因为对输入的字符串控制不足,把输入的字符串当成命令执行。SSTI就是服务器端模板注入SSTI也是,其成因其实是可以类比于sql注入的。sql注入是从用户获得一个输入,然后后端脚本语言进行数据库查询,所以可以利用输入来拼接我们想要的sql语句,当然现在的sql注入防范做得已经很好了,然而随之而来的是更多的漏洞。SSTI也是获取了一个输入,然后在后端的渲染处理上进行了语句的拼接,然后执行。当然还是和sql注入有所不同的,
CTFshow 反序列化 web274
Kradress的博客
02-12 382
目录源码思路题解总结 源码 源码中提示反序列化入口 思路 去网上搜下ThinkPHP 5.1相关的漏洞 题解 找到2个exp 第一个 <?php namespace think; abstract class Model{ protected $append = []; private $data = []; function __construct(){ //GET传参 shell $this->data = ['shell' =
CTFshow 反序列化 web270
Kradress的博客
02-11 301
目录题解总结 题解 exp <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2021-05-03 21:55:29 # @Last Modified by: h1xa # @Last Modified time: 2021-05-04 01:25:28 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ namespace yii\rest { clas
CTFshow 反序列化 web257
Kradress的博客
12-19 2022
目录源码思路题解总结 源码 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 20:33:07 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight
ctfshow反序列化
cosmoslin的博客
11-15 2276
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用
ctfshow反序列化
wz0819529的博客
10-21 916
web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com ​ */ ​ error_reporting(0); highlight_fi..
CTFSHOW(反序列化)
2301_80125214的博客
03-23 878
使用get传参?
ctfshow-web入门-反序列化web260-web264)
Welcome To Myon'Blog !
11-08 1772
session.serialize_handler 是用来设置 session 序列化引擎的,在 5.5.4 前默认是 php,5.5.4后默认是 php_serialize,在 PHP 反序列化存储的 $_SESSION 数据时如果使用的引擎和序列化时使用的引擎不一样,就会导致数据无法正确第反序列化,也就是 session 反序列化漏洞。要求传入的内容序列化后包含指定内容即可,在 PHP 序列化中,如果键名或值包含 ctfshow_i_love_36D,那么整个序列化结果也会包含这个字符串。
CTFshow 反序列化
CyhDl666的博客
03-29 661
文章目录web254web255web256web257 **题记:**今天来复习反序列化 web254 第一道题不是序列化和反序列化吧… error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; publ
ctfshowweb入门->反序列化
2301_80481202的博客
03-23 1531
运行得到:O%3A10%3A%22ctfshowvip%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A7%3A%22877.php%22%3Bs%3A8%3A%22password%22%3Bs%3A25%3A%22%3C%3Fphp+%40eval%28%24_POST%5B1%5D%29%3B%3F%3E%22%3B%7D。file_get_contents('php://input')代码中的这一句可以访问请求的原始数据流,可以获取到GET和POST的数据。
Web反序列化 262~263详解
读书 买花 长大
11-19 1393
262~263
ctfshowweb入门—反序列化
2301_80337881的博客
03-24 1121
别看上面乌拉乌拉一大堆,实际上就是要检测你传入的username和password和类中定义的username和password一不一样。所以直接get传参就可以了。
ctfshow web入门(php反序列化)
Blazing-Angel的博客
07-19 597
ctfshow
5(web263
weixin_53955759的博客
04-09 2782
进入环境是一个登录界面 查看源码也没有什么东西,试着扫扫看 刚开始没扫出来东西,工具不太行了,看了wp发现是www.zip 访问得到源码 check.php: <?php error_reporting(0); require_once 'inc/inc.php'; $GET = array("u"=>$_GET['u'],"pass"=>$_GET['pass']); if($GET){ $data= $db->get('admin', [ 'id', 'UserNa
ctfshow 反序列化
01-21
### CTFShow平台中的反序列化挑战解决方案 #### 背景介绍 CTFShow是一个提供多种信息安全竞赛题目和教程的学习平台。其中涉及到了许多Web安全漏洞的实践练习,包括SQL注入、XSS攻击以及反序列化漏洞等。 #### 反序列化的概念 反序列化是指将保存的对象状态信息转换为对象的过程。如果应用程序允许用户控制的数据参与此过程,则可能导致严重的安全隐患,如远程代码执行(RCE)[^3]。 #### CTFShow上的反序列化挑战实例 在CTFShow平台上存在多个有关PHP反序列化的挑战案例。通常情况下,这些挑战会给出一个带有已知类定义的服务端脚本,并提示参与者通过构造恶意输入来触发特定行为完成解题目标。 对于此类问题的一般解决思路如下: 1. **分析源码** 查看给定程序逻辑,识别出可能被利用的地方。特别是那些接受外部可控参数并对其进行unserialize()操作的位置[^4]。 2. **寻找可操控点** 寻找能够影响到`__destruct()` 或者 `__wakeup()` 魔术函数调用链路的机会。因为当对象销毁时这两个特殊成员会被自动调用,在这里可以植入自定义指令实现任意命令执行等功能[^5]. 3. **构建Payload** 利用上述发现创建合适的payload字符串,使其能够在服务器上成功解析成预期形态从而达成目的。这一步骤往往需要结合具体环境下的其他条件共同考虑,比如php版本差异等因素都会带来不同表现形式[^6]. ```php // 假设有一个简单的易受攻击的 PHP 类 class VulnerableClass { public $command; function __destruct(){ system($this->command); } } // 构造 Payload 实现反弹 Shell 的例子 (仅作教学用途) $malicious_data = 'O:13:"VulnerableClass":1:{s:7:"command";s:9:"whoami > /tmp/output";}' ``` 请注意以上代码仅为说明原理所用,在实际环境中切勿非法尝试!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值