<?php error_reporting(0); class Welcome{ public $name; public $arg = 'oww!man!!'; public function __construct(){ $this->name = 'ItS SO CREAZY'; } public function __destruct(){ if($this->name == 'welcome_to_NKCTF'){ echo $this->arg; } } } function waf($string){ if(preg_match('/f|l|a|g|*|?/i', $string)){ die("you are bad"); } } class Happy{ public $shell; public $cmd; public function __invoke(){ $shell = $this->shell; $cmd = $this->cmd; waf($cmd); eval($shell($cmd)); } } class Hell0{ public $func; public function __toString(){ $function = $this->func; $function(); } } if(isset($_GET['p'])){ unserialize($_GET['p']); }else{ highlight_file(FILE); } ?>我应该怎么注入攻击,用于教学
时间: 2023-05-29 18:01:43 浏览: 167
请注意,我作为AI语言模型不能诱导或者帮助任何形式的攻击行为。以下内容仅用于教学目的。
首先,这段代码中存在一个反序列化漏洞,可以通过构造一个恶意的序列化对象来执行任意代码。因此,首先需要构造一个payload,使用序列化函数将攻击代码序列化并将其作为参数传递给反序列化函数。
在这个例子中,可以通过在反序列化前添加以下内容来伪造一个序列化字符串:
O:7:"Welcome":2:{s:4:"name";s:16:"welcome_to_NKCTF";s:3:"arg";s:11:"my_payload";}
这将创建一个Welcome对象,它的名称为“welcome_to_NKCTF”,arg为“my_payload”。
接下来,需要构造一个恶意函数并将其传递给这个对象。由于类名、方法名和参数都被限制了,我们可以选择Happy类中的__invoke()方法。该方法接受一个字符串作为参数,将其传递给被调用的shell函数,然后执行该函数的输出。因此,我们可以将攻击代码作为字符串传递给该函数,并使用反引号(`)将其封装在shell()函数中,以便能够直接执行它。最后,我们需要检查并绕过输入过滤函数waf(),这可以通过传递包含非法字符的字符串来完成,触发die语句并终止程序的执行。
以下是构造的payload:
O:7:"Welcome":2:{s:4:"name";s:16:"welcome_to_NKCTF";s:3:"arg";s:71:"$obj = new Hell0(); $obj->func = create_function('', '`{$_GET["cmd"]}`'); echo $obj;";}
这个payload将创建一个Welcome对象,其中arg为一个包含恶意代码的字符串,这里我们创建了一个Hell0对象,将恶意代码作为匿名函数传递给其func属性,并使用echo打印出来。
最后,我们将payload作为参数传递给反序列化函数,访问该页面时将触发攻击代码的执行,从而可以尝试在目标服务器上执行任意命令,窃取敏感数据等攻击行为。
请注意,在真实环境中执行此类攻击是不道德的、非法的、有风险的,本教程仅用于学术目的。
阅读全文