WEB255
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f01453f80.png "65386-dvh47j21rk.png")
这题可以看出,是从cookie处触发了反序列化。只需要$isVip是True的状态,vipOneKeyGetFlag()即可返回flag
注意,由于此处是从cookie处触发,所以payload需要url加密
<?php
class ctfShowUser{
public $isVip=true;
}
$a=new ctfShowUser();
echo urlencode(serialize($a));
?>![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f01468397.png "98453-1m4rnp5qnk7h.png")
WEB256
该题多了个对username和password值的对比![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f014843fc.png "16225-nstvkp43xk.png")
所以,我们只需要增加个通过反序列化修改他们值的操作便好![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f01494f5d.png "91196-g0sy2d8verk.png")
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f014ace39.png "14322-kq7xcercqzg.png")
WEB257
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f014c7dde.png "55399-6hdbrjx7j5l.png")
首先,我们知道__construct()函数会被new调用,所以这里我们可以修改其调用的函数,修改至backDoor().并修改$code的值来进行反序列化攻击。
所以,这里我们仅需要保证username和password不为空就够执行该后门了(后面我又发现当cat flag.php时不被执行,所以利用tac进行绕过)![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f014d99dd.png "62314-jhfnpvx6joi.png")
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041412-6781f014f2e11.png "43599-moasv7uad68.png")
WEB258
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f0151b531.png "12804-6sdfechoi9c.png")
/[oc]:\d+:/i这个正则的意思就是。匹配第一个是0或c,第二个字符是:,第三个字符跟随着数字的这种形式
\d: 匹配一个数字字符。等价于 [0-9]。
+: 匹配前面的子表达式一次或多次。例如,'zo+' 能匹配 "zo" 以及 "zoo",但不能匹配 "z"。+ 等价于 {1,}。
/i: 表示匹配的时候不区分大小写所以说如果要绕过这个正则,我们可以把0:数字这种形式改成0:+数字
放一个加号可以直接退出序列处理,从而绕过正则匹配。
详情可以参考https://www.phpbug.cn/archives/32.html
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f0152dfe4.png "86584-xq1dqdor4a9.png")
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f015524fe.png "84014-4x98hte0aam.png")
WEB260
额。这题不知道有什么意义![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f015717f0.png "73263-npjd8o1klti.png")
WEB261
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f0158698a.png "26041-bl158l751f.png")
在php7.4.0开始,如果类中同时定义了 __unserialize() 和 __wakeup() 两个魔术方法,则只有
__unserialize() 方法会生效,__wakeup() 方法会被忽略
__invoke()则要在将对象当做方法来使用才能触发,__sleep()则是被serialize调用,所以也可以忽略不计。
所以现在只需要梳理下图即可
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f0159a054.png "50992-0t5go026v01g.png")
$this->code==0x36d由于这是双==,即php弱类型,所以只要传递的是877跟上字母即可
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f015adc7f.png "97151-e1yftg9awv.png")
![[ctfshow]PHP反序列化(未完)](http://cn-sec.com/wp-content/uploads/2025/01/20250111041413-6781f015c5261.png "56667-5c2rkg0mnfp.png")
©著作权归作者所有 - source: 535yx.cn
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论