ctf中的一道反序列化题 - 代码天地

ctf中的一道反序列化题

其他 2018-11-26 15:46:47 阅读次数: 0

版权声明：莫者 https://blog.csdn.net/weixin_40709439/article/details/82875024

早就想写了，今天刚好遇到一道反序列化的题就记录一下

自己在本地搭的,源码如下：

index1.php

<?php
error_reporting(E_ALL & ~E_NOTICE);
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
 
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
    echo "hello admin!<br>";
    if(preg_match("/f1a9/",$file)){
        exit();
    }else{
        include($file); //class.php
        $pass = unserialize($pass);
        echo $pass;
    }
}else{
    echo "you are not admin ! ";
}
 
?>
 
<!--
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
 
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
    echo "hello admin!<br>";
    include($file); //class.php
}else{
    echo "you are not admin ! ";
}
 -->

class.php

<?php
error_reporting(E_ALL & ~E_NOTICE);
 
class Read{//f1a9.php
    public $file;
    public function __toString(){
        if(isset($this->file)){
            echo file_get_contents($this->file);    
        }
        return "__toString was called!";
    }
}
?>

f1a9.php

<?php
error_reporting(E_ALL & ~E_NOTICE);
//flag{hSh_ctf:e@syt0g3t}
?>

本地测试

访问首页，查看源码

根据以上源码泄露，是文件包含漏洞，配合封装协议读取文件源码

包含了class.php文件，该怎么读它的源码内容呢

这里得讲到file_get_contents()函数

file_get_contents() 函数把整个文件读入一个字符串中。

这里的字符串是$user参数接受的，利用它的文件封装协议来读取$file参数include的文件

当然这里要使第一个条件成立。还需要讲到一个文件封装协议

php://input 是个可以访问请求的原始数据的只读流

第一个条件：

if(isset($user)&&(file_get_contents($user,'r')==="admin"))

使$user的值等于admin，并且使$user接收读入的文件

可利用php://input绕过

成功绕过

现在利用php伪协议读取class.php源码，格式为base64加密

解密后

可以直接读取flag文件吗？答案是不能

但是class.php把我们引入到另一个地方，就是利用反序列化来读取flag文件
于是我们构造反序列化的参数：
O:4:"Read":1:{s:4:"file";s:57:"php://filter/read=convert.base64-encode/resource=f1a9.php";}

这里也是利用php://filter来读取flag文件

上面的就是f1a9.php的内容，格式base64加密，解密即可

猜你喜欢

转载自blog.csdn.net/weixin_40709439/article/details/82875024

ctf中的一道反序列化题

一道反序列化的CTF题分享

记一道CTF反序列化

记一道集PHP伪协议&PHP反序列化综合运用的CTF

从一道ctf看php反序列化漏洞的应用场景

php反序列化总结(结合jarvis上的一道题)

一道php反序列化题的pop链构造

Java中的序列化与反序列化（一）

ctf 序列化与反序列化

[原题复现+审计][0CTF 2016] WEB piapiapia(反序列化、数组绕过)[改变序列化长度，导致反序列化漏洞]

CTF-PHP反序列化漏洞5-反序列化字符逃逸

[网络安全/CTF] 记一次PHP序列化反序列化解题详析

CTF2--php反序列化

攻防世界——ctf php反序列化

CTF反序列化漏洞学习记录

[0CTF 2016]piapiapia(反序列化逃逸)

Hadoop 中数据的序列化与反序列化

Java中的序列化和反序列化

Android中序列化与反序列化

详解java中的序列化与反序列化

Java 中的序列化与反序列化

Java中的Json序列化与反序列化

PHP中的序列化与反序列化

java中的序列化And反序列化

Java中的序列化与反序列化

java中序列化与反序列化的问题

JS中的序列化与反序列化

java中序列化和反序列化

java中序列化与反序列化

android中json的序列化与反序列化

今日推荐

基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个！

美国拟限制 AI 大模型出口中国和俄罗斯

苹果将与 OpenAI 达成协议，将 ChatGPT 应用于 iPhone

openKylin 社区生态委员会第六次会议圆满召开

阿里云正式发布通义千问 2.5

Python 3.13 发布首个 Beta：实验性自由线程模式和 JIT、改进交互式解释器

Stack Overflow 拿我的代码去训练 AI 大模型，还封了我的账号

Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作

报告：Django 仍然是 74% 开发者的首选

《2024 年一季度互联网投融资运行情况》研究报告

15 年前上了“FFmpeg 耻辱柱”，今天他还得谢谢咱——腾讯QQPlayer一雪前耻？

TIOBE 5 月榜单：Fortran “复活”进入 Top 10

周排行

BPM为企业带来的实际利益

好程序员web前端分享css常用属性缩写

Java文件下载（excel）

css样式的动态添加及显示和隐藏等零碎用法

axios全局配置以及拦截器

使用Logstash来实时同步MySQL和log日志数据到ES

C++获取当前时间（年月日、时分秒、毫秒）

Odoo产品分析 (四) -- 工具板块(11) -- 网站即时聊天(1)

Java环境配置正确，但是java、javac、java -version均返回“不是内部或外部命令，也不是可运行的程序或批处理文件”？

01 官网下载各种CentOS教程（超详细版）

每日归档

更多

2024-05-14(0)

2024-05-13(18)

2024-05-12(0)

2024-05-11(38)

2024-05-10(38)

2024-05-09(35)

2024-05-08(42)

2024-05-07(14)

2024-05-06(40)

2024-05-05(0)