强网杯Web题ezphp解题全记录:利用PHP反序列化与条件竞争拿下服务器

最新推荐文章于 2026-04-05 02:12:50 发布
原创 最新推荐文章于 2026-04-05 02:12:50 发布 · 238 阅读 · 4
标签
#CTF #Web安全 #PHP反序列化

强网杯Web题ezphp深度解析:从PHP反序列化到条件竞争实战

1. 题目环境与核心漏洞分析

这道强网杯Web题目"ezphp"看似简单,却巧妙融合了PHP反序列化、文件上传绕过和条件竞争三大漏洞类型。题目提供了一个包含test类的PHP文件,通过精心构造的反序列化payload,我们可以实现从任意文件上传到最终获取服务器权限的全过程。

关键代码片段分析

class test{
    public $readflag;
    public $f;
    public $key;
    
    public function __construct(){
        $this->readflag = new class {
            // 匿名类实现文件上传功能
            public function __wakeup(){ phpinfo(); }
            public function readflag(){
                // 文件包含逻辑
            }
        };
    }
    
    public function __destruct(){
        $func = $this->f;
        if($this->key == 'class') new $func();
        else if($this->key == 'func') $func();
    }
}

题目通过unserialize($_GET['land'])接收用户输入,这直接开启了反序列化漏洞的大门。我们需要重点关注三个关键点:

  1. __destruct魔术方法的动态函数调用
  2. 匿名类中的文件上传功能
  3. readflag方法中的文件包含逻辑
最低0.47元/天 解锁文章
帅兔挽月
关注
ezphp:设置PHP开发环境的简便方法
05-26
EzPHP为您提供了一个用于开发的个人PHP Web服务器。 该项目的目标是提供一个.exe文件,使您可以随时使用PHP开发环境。 EzPHP将安装从下载PHP v.7.4.14 安装 下载 。 为您的项目创建一个新文件夹,然后复制ezphp.exe。 运行ezphp.exe。 如果未在本地安装PHP,则ezphp将尝试下载并安装PHP。 在打开浏览器。 高级用户执行ezphp.exe -h以查看所有选项。 Usage of ./ezphp: -S string <addr>:<port> - Run with built-in web server. (default "localhost:8080") -t string <docroot> - Specify document root <docroot> for built-i
ezphp php开发框架
06-27
ezphp easyphp mvc开发框架 欲学php者值得研究
[BJDCTF2020]EzPHP超级详解
qq_72685284的博客
06-28 1838
首先f12,base32解码一下,发现目录,这些都很简单关键是下面的,我在这里不是给大家讲如何拿到flag,我的重点是思路,和加深对这道目的理解,所以可能有些啰嗦。咱们接下来一点点分析。
[BJDCTF2020]EzPHP 许多的特性
m0_64180167的博客
12-07 930
这道可以学到很多东西 静下心来慢慢通过本地知道是干嘛用的就可以学会了这里开始一部分一部分看。
[GWHT]ezphp反序列化
Makabakahaha的博客
09-09 504
php反序列化基础
[BJDCTF2020]EzPHP
m0_62905261的博客
07-15 3197
[BJDCTF2020]EzPHP
[HFCTF2022]ezphp
q1415500189的博客
02-28 694
[HFCTF2022]ezphp
Webezphp复盘:利用PHP反序列化条件竞争的组合拳拿下flag
最新发布
weixin_33737774的博客
04-05 340
本文深度解析了Webezphp解题过程,重点探讨了PHP反序列化条件竞争漏洞的组合利用。通过构造POP链、利用匿名类文件上传机制以及并发攻击策略,最终实现getshell并完成SUID提权,为CTF选手提供了Web安全实战的宝贵经验。
CTF2025 Web精解:从代理头注入到条件竞争提权
weixin_29013129的博客
03-16 360
本文详细解析了2025 Web中的代理头注入、PHP反序列化漏洞和条件竞争提权等关键技术点。通过实战案例,展示了如何利用Go语言reverse proxy特性绕过JWT验证,以及PHP反序列化漏洞的深度利用方法,帮助CTF选手提升Web安全攻防能力。
PwnTheBox(web篇)---ezphp
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
05-08 986
文章目录PwnTheBox(web篇)---ezphp解 PwnTheBox(web篇)—ezphp 目 <?php $files = scandir('./'); foreach($files as $file) { if(is_file($file)){ if ($file !== "index.php") { unlink($file); } } }
[TSCTF-J] Ezphp
weixin_51804748的博客
10-28 388
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
[BJDCTF2020]EzPHP(create_function利用
paidx0
11-11 905
前言 额,目是没有做出来,环境多少是有点问,我这么菜只能敢怒不敢言了 至于什么问后面我会提到,只能跟着大佬的思路复现一下了 目还是能学到很多 打开环境 界面还是挺帅的,哈哈哈,不浪费时间, F12+base32新的页面1nD3x.php 代码审计 <?php highlight_file(__FILE__); error_reporting(0); $file = "1nD3x.php"; $shana = $_GET['shana']; $passwd = $_GET['passwd
第九届中国海洋大学信息安全竞赛(Web方向)
Zue3r的博客
05-20 581
第九届中国海洋大学信息安全竞赛(Web方向)
[BJDCTF2020]EzPHP1 --不会编程的崽
不会编程的崽的博客
03-04 1498
ctf create_function $_server&$request的绕过
HF2022-EzPHP复现
as you know, nlp is fantasitc!
07-27 619
由于程序是运行时动态加载链接的库,如果让程序加载一个恶意的文件,那么就可以劫持程序的运行,从而可以绕过disable_function,执行命令。LD_PRELOAD,是个环境变量,用于动态库的加载,动态库加载的优先级最高,一般情况下,其加载顺序为。构造更大的二进制文件,通过在一个so文件尾部追加脏字符。...
BJDctf2020 Ezphp
qq_62984336的博客
03-14 1094
BJDctf2020 Ezphp 目录 BJDctf2020 Ezphp 2.preg_match绕过 3.$_REQUEST绕过 4.file_get_contents绕过 5.sha1函数、比较类型数组绕过 6.create_function运用 0.01先查看源码,找到一串疑似base32编码的,解码得到1nD3x.php 0.02访问/1nD3x.php得到源文件 <?php highlight_file(__FILE__); error_reporti.
青岑CTF Web 入门 EZPHP系列 详解(write up)
Aniparty的博客
03-14 739
摘要:文章分析了PHP代码审计中的三个案例,重点探讨了弱类型比较的绕过技巧。案例1通过科学计数法(0e0)和数字字符串(2027abc)绕过数值判断;案例2利用JSON数组构造使"QCCTF"位于索引1的位置;案例3则通过弱类型比较(0=="QCyyds")和数组结构设计绕过检查。文中详细解释了PHP的松散比较规则、类型转换机制及数组处理函数的使用方法,展示了如何利用这些特性构造有效的payload获取flag。
第三届SHCTF--EZphp
小白求大佬ddw Orz
03-07 466
该文分析了SHCTF中一道PHP反序列化目,通过构造恶意对象链实现RCE。利用GC回收机制触发Sun::__destruct(),绕过异常抛出。调用链包含多个魔术方法:__destruct→__toString→__invoke→__set→__call,最终通过ReflectionFunction+invokeArgs绕过过滤执行系统命令。关键点在于通过修改序列化字符串触发GC提前回收对象,以及利用反射类绕过黑名单限制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值