CTF中web方向反序列化类题目搭建教程

反序列化是将序列化后的数据（如JSON、XML等）重新转换为内存中对象的过程，广泛应用于网络通信、数据持久化和远程调用等场景。然而，不当处理反序列化数据可能导致安全漏洞，攻击者可通过恶意构造的数据执行任意代码。本教程将带你深入理解反序列化的原理、实现方式及潜在风险，并分享防御漏洞的最佳实践，助你掌握这项强大技术的同时确保应用安全。

准备工作

在开始之前，请确保你的系统已经安装以下工具：

Ubuntu 系统（本文以 Ubuntu 为例）
Docker（用于容器化部署）
GZCTF 平台（一个开源的 CTF 平台）

如果你还没有安装 GZCTF，可以去👇

一键搭建 GZCTF 平台教程-CSDN博客

第一步:编写反序列化题目代码

结构如下

unserilize/
├── index.php
└── Dockerfile

Dockerfile

FROM php:8.0-apache

# 部署题目文件
COPY index.php /var/www/html/

# 配置 Apache
RUN chmod 755 /var/www/html/ \
    && chown -R www-data:www-data /var/www/html \
    && echo "ServerName localhost" >> /etc/apache2/apache2.conf

CMD ["apache2-foreground"]

index.php

<?php
$flag = getenv('GZCTF_FLAG');
show_source(__FILE__);
class flag {
    public $name = "catflag";

    public function __wakeup() {
        echo "this is __wakeup";
    }

    public function __destruct() {
        global $flag;
        echo $flag;
    }
}

$str = $_GET["ser"] ?? "";
$un_str = @unserialize($str);

if (is_object($un_str)) {
    echo $un_str->name . "<br>";
}
?>

创建镜像

docker build -t unserilize .

第二步:部署到GZCTF平台

在平台创建题目后输入上一步中镜像的名称创建测试容器

访问容器

代码显示只需要绕过__wakeup()之后触发__destruct()就可以获取flag

构建如下payload

?ser=O:4:"flag":1:{s:4:"name";s:7:"catflag";}

就可以获取flag

总结

反序列化作为现代软件开发中的关键技术，能够将序列化数据还原为可操作的对象，广泛应用于数据传输、存储和远程调用等场景。然而，其潜在的安全风险不容忽视，恶意构造的数据可能引发反序列化漏洞，导致严重的安全问题。通过本教程的学习，我们不仅掌握了反序列化的基本原理和实现方法，还深入了解了其安全隐患及防御策略。希望你能将这些知识运用到实际开发中，在享受反序列化带来便利的同时，筑牢安全防线，构建更加稳健的应用系统。