2. 程式人生 > >ctf中的一道反序列化題

ctf中的一道反序列化題

阿新 發佈:2018-11-26

早就想寫了,今天剛好遇到一道反序列化的題就記錄一下

自己在本地搭的,原始碼如下:

index1.php

<?php
error_reporting(E_ALL & ~E_NOTICE);
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
 
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
    echo "hello admin!<br>";
    if(preg_match("/f1a9/",$file)){
        exit();
    }else{
        include($file); //class.php
        $pass = unserialize($pass);
        echo $pass;
    }
}else{
    echo "you are not admin ! ";
}
 
?>
 
<!--
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
 
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
    echo "hello admin!<br>";
    include($file); //class.php
}else{
    echo "you are not admin ! ";
}
 -->

class.php

<?php
error_reporting(E_ALL & ~E_NOTICE);
 
class Read{//f1a9.php
    public $file;
    public function __toString(){
        if(isset($this->file)){
            echo file_get_contents($this->file);    
        }
        return "__toString was called!";
    }
}
?>

f1a9.php

<?php
error_reporting(E_ALL & ~E_NOTICE);
//flag{hSh_ctf:[email protected]}
?>

本地測試

訪問首頁,檢視原始碼

根據以上原始碼洩露,是檔案包含漏洞,配合封裝協議讀取檔案原始碼

包含了class.php檔案,該怎麼讀它的原始碼內容呢

這裡得講到file_get_contents()函式

file_get_contents() 函式把整個檔案讀入一個字串中。

這裡的字串是$user引數接受的,利用它的檔案封裝協議來讀取$file引數include的檔案

當然這裡要使第一個條件成立。還需要講到一個檔案封裝協議

php://input 是個可以訪問請求的原始資料的只讀流

第一個條件:

if(isset($user)&&(file_get_contents($user,'r')==="admin"))

使$user的值等於admin,並且使$user接收讀入的檔案

可利用php://input繞過

成功繞過

現在利用php偽協議讀取class.php原始碼,格式為base64加密

解密後

可以直接讀取flag檔案嗎? 答案是不能

但是class.php把我們引入到另一個地方,就是利用反序列化來讀取flag檔案
於是我們構造反序列化的引數:
O:4:"Read":1:{s:4:"file";s:57:"php://filter/read=convert.base64-encode/resource=f1a9.php";}

這裡也是利用php://filter來讀取flag檔案

 上面的就是f1a9.php的內容,格式base64加密,解密即可

 

 

 

相關推薦

ctf一道序列

早就想寫了,今天剛好遇到一道反序列化的題就記錄一下 自己在本地搭的,原始碼如下: index1.php <?php error_reporting(E_ALL & ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["fil

一道ctf看php序列漏洞的應用場景

目錄 0x00 first 0x01 我打我自己之---序列化問題 0x02 [0CTF 2016] piapiapia 0x00 first 前幾天joomla爆出個反序列化漏洞,原因是因為對

處理範例程式碼Webapi的Monogodb的BsonObjectId序列異常

微軟程式碼範例中的一個Bug 處理Monogodb的Bson中ObjectId反序列化異常 Dotnet core 2.1已推出有一段時間,asp.net提供了一段關於Webapi的範例,是使用Dotnet Core+Monogodb搭建Webapi,範例說可以完成Monogodb資料CRUD操作。 一切順

MongoDB物件序列的一個小問題

今天在mongoDB存取物件資料的時候,碰到一個小問題:物件的某一個欄位型別是抽象類或者介面,在存入的時候沒有問題,但是在讀取的時候,由於沒有具體類的資訊,無法完成物件的重新構建,就會報錯: Can not construct instance of com.bp.samp

jdk1.8 日期新API LocalDateTime,LocalDate,LocalTime 在Hibernate無法序列解決方法

java JDK1.8 引入全新的時間日期API,但是無法結合Hibernate使用,hibernate原始碼並未對其進行支援,所以要使用hibernate的擴充套件進行支援。 以下是演示LocalDateTime如何使用,其餘兩個(LocalDate,LocalTime)

一道集PHP偽協議&PHP序列綜合運用的CTF

首先拿到題目後,毫無疑問,檢視一下原始碼 <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if

還原HITCON 2016一道web(php序列漏洞)

實驗環境搭建:PHPstudy,火狐(backbar),notepad++; 本人在還原此題目時,因為mysql資料庫使用者名稱密碼和方便除錯等原因對原始碼的一些引數做了一些相應的改動,但是沒有改變主要程式碼。 config.php: <?php $db_ho

java什麽是序列序列

zab question .com 程序 還原 破壞 ans 但我 實現 序列化:能夠把一個對象用二進制的表示出來。 類似我第一個字節表示什麽屬性名詞,第二個字節表示什麽屬性值,第幾個字段表示有幾個屬性等。 而且這個二進制可以寫到硬

ASP.NET JSON 的序列序列

urn 序列 del nbsp parseint 代碼 href end user JSON是專門為瀏覽器中的網頁上運行的JavaScript代碼而設計的一種數據格式。在網站應用中使用JSON的場景越來越多,本文介紹ASP.NET中JSON的序列化和反序列化,主要對JSON

asp.net mvc如何處理字符串與對象之間的序列序列(一)

osi strong 類結構 plain pbo edate inf esc arp 前臺我們一般用ajax來發送數據到後端進行處理,如果json數據結構和後臺的實體類結構一致,就直接可以反序列化為指定的對象進行操作,非常方便。 前端發送的json數據結構: 後端實體結

java序列序列學習筆記

文件 track 反序列化 out val nts 鼠標 main version 須要序列化的Person類: package cn.itcast_07; import java.io.Serializable; /* * NotSerializableE

Unity序列序列

private ons 並且 行修改 ges 面向對象 我們 為我 -1 為了滿足面向對象中的封裝性,我們通常使用private關鍵字使變量私有化,讓外界無法訪問修改,起到保護作用。 但是一些特殊情況,我們希望在Unity中Inspector面板中修改到腳本組件中的私有成員

C#怎樣實現序列序列

image .com 合並 小白 str mat get new ons 我們想要將數據進行持久化的操作的話,也就是將數據寫入到文件中,我們在C#中可以通過IO流來操作,同時也可以通過序列化來操作,本人是比較推薦使用序列化操作的 因為我們如果想要將一個對象持久化到文件中

ASP.NETJSON的序列序列

沒有 helper mic lar width pty on() dmi 包括 JSON是專門為瀏覽器中的網頁上運行的JavaScript代碼而設計的一種數據格式。在網站應用中使用JSON的場景越來越多,本文介紹ASP.NET中JSON的序列化和反序列化,主要對JSON的

python3 的Json序列序列 和 字符編碼的問題解決

ron bsp port imp 入參 oos elf asc 反序列化 python3在通過Json往文件裏寫內容時中文字符被轉成unicode編碼 import json class file_open(object): f = open(‘c

Flink1.4.0序列序列類變化

繼承 tde post 變化 flink ted 標記 api col Flink1.4.0中,反序列化及序列化時繼承的類,有一些被標記為了“@deprecated”,路徑上也有變化: 1.AbstractDeserializationSchema 以前路徑 org

jackson自定義處理序列序列

public turn ali fast col ast mar 繼承 con http://jackyrong.iteye.com/blog/2005323 ********************************************** 對於一直用gson的

關於metaspolit進行JAVA序列滲透RMI的原理分析

resp format shel git led 技術 文件 error: return 一、背景: 這裏需要對java反序列化有點了解,在這裏得推廣下自己的博客嘛,雖然寫的不好,廣告還是要做的。原諒我: 1、java反序列化漏洞原理研習 2、java反序列化漏洞的檢測 二

python序列序列

tmp 數據類型 load 一個 port style pick 序列 spa 之前,在學習python時,一直弄不明白pickle和json模塊的序列化和反序例化之間的區別和用法,最近閑來有時間,重新研究了這兩個模塊,也算是基本搞明白他們之中的區別了。 用於序列化的兩個模

.NETJSON的序列序列的幾種方式

存儲 ati mas int font javascrip AS memory 種類 一、什麽是JSON JSON(JavaScript Object Notation, JS 對象簡譜) 是一種輕量級的數據交換格式。它基於 ECMAScript (歐洲計算機協會制