这道题在我看来是ctf-web方向第一阶段最难的题,涉及的知识点比较多,比较杂。

不过不当紧,方法总比困难多。

先打开题目场景,如图可知这是一道PHP序列化的题目:

ctf-web-unseping解题思路_序列化

第一步-先分析代码:

创建了一个类ease

function关键字用来自定义并声明函数,后跟函数名。

private私有的,声明对象只能在ease这个类中使用和进行访问,同样的public就是共有的意思。 

定义了两个对象methodargs

this关键字的作用是在实例化对象的时候用来确定指向谁。

array用来创建数组。

call_user_func_array

->调用或者是指向的意思。

waf中过滤掉的字符有|   &   ;   空格   /   cat   flag   tac   php   ls。到后面需要绕过。

wakeup中foreach是循环遍历的意思。

as 将遍历的数组内元素用一个替身变量来表示。

=>键值连接符

@忽略表达式可能产生的错误信息。

unserialize() 可以用此字符串来重建原始的变量值。

 题目的切入点,最后怎么拿到flag,就是通过这个ctf变量发送POST用来请求数据。

不过这道题涉及到了PHP序列化的概念,有点复杂。

第二步-学习知识:

所以说我们在解题之前,需要先了解点知识点: 

序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。

PHP序列化:将变量转换为可保存或传输的字符串的过程。

PHP序列化函数:serialize

参考实例:

ctf-web-unseping解题思路_上传_02

 =>在PHP中代表键对值,左边为键右边为值,和python中的字典相似,所以说编程语言之间有很多同性。

a是对象,3代表对象长度,你看a对应blue,b对应green,c对应red,正好是三个。

s代表str字符串类型,这个就不难理解吧,有双引号。

1是a这个变量名的长度,4是bule这个变量的长度,以此类推,举一反三。

第三步-解题步骤:

ctf-web-unseping解题思路_网络安全_03

使method等于ping才可以进入下一步,需要注意的是这两个对象都是数组的形式,我们总要看看目录下都有什么东西吧,所以需要用到ls,但是ls被过滤了,所以我们就要用''单引号进行绕过。

所以传入method = ping ,args=ls。

定义一个变量a用来存放实例化后的结果,new是面向对象的意思,实例化ease类,这个类里面有很多方法,实例化后的结果存放在$a中。

随后用serialization函数序列化实例化后的$a,并存放到$b中。

输出$b并进行换行操作。

用base64编码格式输出序列化的$a,拿到payload:

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo0OiJsJydzIjt9fQ==
通过payload数据流上传ctf参数。

 用火狐浏览器Max HackBar工具上传ctf参数:

ctf-web-unseping解题思路_序列化_04

flag_1s_here的文件夹,我们得看看里面有什么东西,用ls列出该文件夹下的文件,但是部分字符被过滤了,我们还得进行绕过。

空格也被过滤了,需要用到${IFS}进行绕过。

${IFS}是分隔符的意思,所以可以有${IFS}进行空格的替代。

重新构造args可执行命令的值'l""s${IFS}fl""ag_1s_here',需要注意闭合,注意'',和""的位置。

拿到payload:

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czoyNDoibCIicyR7SUZTfWZsIiJhZ18xc19oZXJlIjt9fQ==

ctf-web-unseping解题思路_序列化_05

 上传ctf参数:

ctf-web-unseping解题思路_上传_06

flag_831b69012c67b35f.php文件,flag大概率就在这个php文件中了。想要拿到flag,就必须cat这个文件,cat是查看内容的意思,因为有过滤所以还得进行绕过。

cat flag_1s_here/flag_831b69012c67b35f.php

cat flag php都可以通过""双引号进行绕过,空格可以通过${IFS}进行绕过,\要用printf及$()绕过,以及水平制表符57对应ASCII码。

进行构造:


'c""at${IFS}f""lag_1s_here$(printf${IFS}"\57")f""lag_831b69012c67b35f.p""hp'


还是要注意闭合。

ctf-web-unseping解题思路_序列化_07

 拿到payload:

Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czo3NDoiYyIiYXQke0lGU31mIiJsYWdfMXNfaGVyZSQocHJpbnRmJHtJRlN9Ilw1NyIpZiIibGFnXzgzMWI2OTAxMmM2N2IzNWYucCIiaHAiO319

上传ctf参数:

ctf-web-unseping解题思路_序列化_08

最终拿到flag:

 

ctf-web-unseping解题思路_序列化_09

大致思路看着是简单,但是这道题需要知道序列化,函数,过滤和绕过,参数上传等知识,综合比较强点。

有什么不懂的可以私聊我,才疏学浅,有什么不足,还望各位师傅指出,谢谢观看。