强网杯web之假的反序列化漏洞
生活随笔
收集整理的這篇文章主要介紹了
强网杯web之假的反序列化漏洞
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
說明
打強網杯的時候一直在寫論文, 做林逸師傅的培訓題目。 現在得空,還是看了一部分的題目和wp。
源碼
源碼一共三部分, 這里只寫下我知識盲區的一部分,作為自己的記錄。
<?php
highlight_file(__FILE__);
$flag=file_get_contents('ssrf.php');
class Pass
{
function read()
{
ob_start();
global $result;
print $result;
}
}
class User
{
public $age,$sex,$num;
function __destruct()
{
$student=$this->age;
$body=$this->sex;
$a=$this->num;
$student->$body();
if(!(is_string($a)) || !(is_string($body)) || !(is_object($student)) )
{
ob_end_clean();
exit();
}
globa $$a;
$result=$GLOOBALS[‘flag’];
ob_end_clean();
}
}
if(isset($_GET['x']))
{
unserialize($_GET['x'])->get_it();
}
解析
上面的源碼只會運行最后4行,而最后四行會調用上面的類。所以容易產生反序列化漏洞。
1、需要想辦法輸出$result.
因為以前無論做PHP開發還是審計的時候,都很少碰緩存相關的東西。這里直接把我難住了, 因為。ob_start()之后的所有數據都會進入緩存,不再打印。
雖然下面也有print $result。但是實際上是存在服務器緩存中,無法打印出來的。
盲區1:啟用緩存之后,當代碼拋出異常之后緩存內容顯示運行結果。
方法:使用傳入序列化的時候讓Num的值等于result覆蓋掉原來的result值。再設置$this->um='this'即可。
第二部分。在摧毀序列化內容的時候,出現變量覆蓋漏洞$$a,這個由a的值this可以直接控制報錯,原來的$$a變成了$this。即上面的num->this的傳值
那么就很明確第一部分,和第二部的作用了。
第一部分,設置$$a
第二部分,反序列化。
那么考點就是,php啟用緩存之后PHP報錯原理以及利用方式。
payload
算了, 沒有。自己去網上找, 一大把。
總結
以上是生活随笔為你收集整理的强网杯web之假的反序列化漏洞的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: ElasticSearch之动态映射和模
- 下一篇: 第十八天 DNS服务原理及bind详细配