ctfshow前几天举办了一个比赛,其中一题web很是觉得挺好的,讲难也不难但就是很考思路和知识点的积累整合运用。
此题挺好的,思路很锻炼人
涉及知识点:反序列化pop链构造、反序列化字符串溢出
一些前置知识
O:5:"Login":1:{s:8:"username";O:8:"register":1:{s:9:"user_name";s:2:"ee";}}s:2:"ww";}
对这样一串序列化的字符串进行反序列化,得到的对象是register的对象
也就是说:我反序列化上面这个序列化字符串后为$a,那么$a->username就是register的对象
注意格式,不能写成如下的(多了个;),否则反序列化报错
O:5:"Login":1:{s:8:"username";O:8:"register":1:{s:9:"user_name";s:2:"ee";};}s:2:"ww";}
那么当然假使register类里有自动能执行的逻辑,比如construct里的system("ls"),那么当上面反序列化执行完毕后,system也自动执行
反序列化字符逃逸这里不提了,公众号文章写过,可以下翻查看通过原有的过滤机制实现拼接和注入拼接一个道理,拼接掉原有的语句,插入我们的恶意语句
pop链的构造,也在公众号文章写过,个人非常喜欢写反序列化pop链的题目,逻辑性很强就像做游戏一样
所以这题就是利用字符逃逸,实现类中类,也就是构造一个类似上面的那串序列化字符一样,去触发我们的
pop链
先一把梭,扫了一下,发现了 hint.php和class.php
hint有如下提示,说明hint,php后端是有东西的,遂罢,继续信息收集
题干说进入后台有惊喜,弱口令admin/admin888 登录成功 得到了这个提示
乍一看没啥用,好似被捉弄了一样,但题干说了登录有惊喜那就多留意一下,查看了一下源代码,搜索了一下php,找到了looKMe.php
访问得到如下源码
分析可知可以文件包含读源码,读取了hint.php源码得到如下新的页面
ezwaf.php、class.php、index.php、lookMe.php,分别读取源码,以下截取有用部分
ezwaf.php
index.php
class.php
截取完看着舒服多了,本地搭起来开始分析
首先分析ezwaf.php,涉及三个检测函数
之一个get函数,进行匹配替换,将forfun替换为chr(0)*chr(0),相当于6位替换为3位。这里也是反序列化逃逸的关键点
第二个checkData函数,利用stristr函数检测内容是否有username和password。stristr绕过方式如下
注意:strstr是区分大小写的,stristr不区分
第三个checkLogData函数,preg_match没有i模式众所周知区分大小写,大小写绕过即可
再来看index.php的核心代码,逻辑很简单,
通过传入账号密码到class.php的Login类进行序列化,且序列化过后的结果进行ezwaf.php三个函数挨个处理,再被反序列化
class.php有四个类,那么能出flag的地方在magic类的getFlag *** 里
现在只要想方设法,让程序反序列化到这个magic的getFlag *** 内
过了一遍代码,看到了register的__toString *** ,且__toString *** 内的
return $this->mdPwd->pwd;
很明显对应着把$this->mdpwd=new magic(),然后再触发magic的__get魔术 *** (请求类里不存在的属性则自动触发),哎~ 是吧 __get *** 里 调用了getFlag *** ,那么就出了
再看PersonalFunction类里的checkFunction *** ,被__destruct *** 自动触发,接收一个数组类型,然后和自带的数组进行stristr进行比较,注意!stristr是处理字符串的,那么此时只要让stristr处理我们的register类是不是就自动触发__toString了
所以整个pop链逻辑我们就清楚了,触发流程如下
那么此时先来构造一个初步的pop链脚本
当然啦$c这里需要url编码,因为是protected的,这里只先看效果
ok pop链出来以后,再来看index.php的这里逻辑,首先传一个正常账号密码,看一下序列化效果
上面这个样子,那么我们想要实现一开始说的类中类就是如下格式类型应该怎么办
目标格式
很简单,通过ezwaf.php的get函数去逃逸,然后我们自己构造一个新的pass_word,也就是构造成如下,在头部加上";s:12:"%00*%00pass_word";s:329:"1 注意这里是30位。
再传入index.php看看效果,这样测试更直观,提高容错性
所以我们需要吃掉的就是30位,然后我们的拼接的如下就成功衔接
这里 forfun 6位变为3位,也就是6*n->3*n
我们这里";s:12:"%00*%00pass_word";s:329:"1 是30位,那就只需10个forfun即可
还需要绕过:
register|magic|PersonalFunction
将这个大小写绕过
username=\70sername
password=\75assword
注意序列化里的s要变为S,这样才能解析16进制
所以最终payload
username=forfunforfunforfunforfunforfunforfunforfunforfunforfunforfun&password=1";S:12:"%00*%00pass_word";O:16:"PerSonalFuNction":3:{S:11:"%00*%00username";S:5:"Tkitn";S:11:"%00*%00\70assword";S:3:"123";S:7:"%00*%00func";a:1:{i:0;O:8:"rEgister":4:{S:11:"%00*%00\75sername";S:5:"Tkitn";S:11:"%00*%00\70assword";S:3:"123";S:9:"%00*%00mobile";S:3:"133";S:8:"%00*%00mdPwd";O:5:"Magic":1:{S:11:"%00*%00\75sername";S:5:"admin";}}}}
最终burp传入我们的payload即可出flag
非常综合的一道题,php反序列化很有意思,结合pop链和字符溢出。很能训练思维能力。
微信现在是我们使用的最基本的软件。 微信的聊天记录,怎么清除干净 1. 但是,有时我们需要定期删除聊天日志,因为它占用太多内存 2. 但是有时候我们会采取各种方式来删除聊天记录,您觉得这些聊天记...
常见的拉稀的原因有很多钟,对症下药才有好的治疗效果: 一、消化不良 这是最常见的拉稀的原因,尤其常见于半岁以下的小狗狗,单纯性的消化不良也叫溏便。 1、换食物 小狗狗的肠胃很娇嫩,因为消化...
FRAMED致命框架一代是商城5分好评,也是编辑推荐。 FRAMED2致命框架二代原价30多,今天冰点特价1米。 故事发生在近代中国,玩家游戏主角通过种种机关和切断,顺遂完成任务。 玩法对照稀奇...
下面是常用代码: <a href="/go/?url=<a href=" class="578a-2573-adc2-358c target" rel="external nofollow"javascript :history...
今天就分享一下关于淘宝店铺被抓了几次,淘宝违规扣分什么时候清零的问题,这个问题问得最多的就是那一些新手卖家,因为它们不懂平台规则,所以稍不注意就会被违规扣分。 一、淘宝违规扣分什么时候清零? 淘宝...
小本生意创业做什么赚钱? 不少人关注一些创业咨询尤其是一些热门项目更是火爆,随着人们生活压力越来越大,同时想要创业的人也越来越多,毕竟在这个物价跑的火箭快的时代,票子才是最可靠的。 那么现在到底什...