在网络安全的学习路径中我们常常会经历从 CTF 赛题练手到真实 SRC 漏洞挖掘的进阶过程。近期的「逻辑漏洞深挖与信息工具赋能」实战课上我们从经典 CTF 真题出发拆解 PHP 反序列化的底层逻辑再到实战的信息收集工具与 SRC 漏洞提交全流程完成了一次从理论到实战的完整落地。本文就来对这次课程的核心内容做一次完整复盘分享其中的关键技巧与实战心得。一、疑难点复盘两道 PHP 反序列化真题深挖反序列化漏洞是 Web 安全中最经典的漏洞类型之一而其中的逻辑绕过技巧更是 CTF 与实战中都高频出现的考点。这次课程我们拆解了两道经典真题把其中的核心逻辑彻底讲透。1.1 2020 网鼎杯 AreUSerialz弱类型与析构函数的绕过这道题是网鼎杯青龙组的经典 Web 题核心考点是 PHP 弱类型比较与析构函数的逻辑绕过。我们先来看核心代码​ class FileHandler { protected $op; protected $filename; protected $content; ​ public function process() { if($this-op 1) { $this-write(); } else if($this-op 2) { $res $this-read(); $this-output($res); } } ​ private function read() { $res ; if(isset($this-filename)) { $res NewFlag::getFlag($this-filename); } return $res; } ​ function __destruct() { if($this-op 2) $this-op 1; $this-content ; $this-process(); } } ​ function is_valid($s) { for($i 0; $i strlen($s); $i) if(!(ord($s[$i]) 32 ord($s[$i]) 125)) return false; return true; } ​ if(isset($_GET{str})) { $str (string)$_GET[str]; if(is_valid($str)) { $obj unserialize($str); } }这道题的坑点非常多我们一步步拆解不可见字符过滤is_valid函数过滤了 ASCII 小于 32 的字符而如果我们直接用 protected 属性生成序列化字符串会自带\0ASCII 0的不可见字符直接被过滤掉。析构函数的防护逻辑开发者在__destruct里做了防护如果op严格等于2就会把它改成1同时清空content防止我们写文件或者读文件。弱类型的绕过这里的关键在于process函数里用的是弱比较而析构函数里用的是强比较所以我们的绕过思路就很清晰了把属性改成public这样序列化字符串就不会有\0不可见字符绕过is_valid的过滤。把op的值设置为 2前面带一个空格这样在process函数里 2 2弱比较为真会进入read分支帮我们读取 Flag 文件。在析构函数里 2 2强比较为假开发者的防护逻辑根本不会触发我们成功绕过了他的防护顺利拿到了 Flag。这就是典型的逻辑漏洞开发者以为自己加了防护但是因为混用了强弱比较运算符直接被我们绕过了。1.2 2019 极客大挑战 PHP反序列化属性与__wakeup 绕过另一道经典真题是极客大挑战的 PHP 题这道题的核心是 private 属性的序列化特性以及__wakeup 函数的绕过。很多同学会疑惑为什么要在属性前面加%00Name%00这其实是 PHP 序列化的底层规则对于public属性序列化后的格式是属性名对于protected属性序列化后会变成\0*\0属性名对于private属性序列化后会变成\0类名\0属性名而\0这个字符URL 编码之后就是%00所以如果目标类的属性是 private 的我们构造序列化字符串的时候就必须给每个属性加上\0类名\0的前缀也就是 URL 编码后的%00Name%00否则反序列化之后属性无法正确匹配。除此之外这道题还有一个__wakeup函数的绕过利用的是 PHP 的一个旧版本漏洞 CVE-2016-7124当序列化字符串里的属性个数大于实际的属性个数的时候反序列化的时候就会跳过__wakeup函数的执行。所以我们只需要把原本的O:4:Name:2:{...}里的属性个数2改成3就能绕过__wakeup然后构造出usernameadmin、password100的属性就能顺利拿到 Flag 了。二、效率利器信息收集工具集与无影工具信息收集是渗透测试的第一步也是 SRC 漏洞挖掘的核心基础只有先找到资产才能进一步挖掘漏洞。这次课程我们重点介绍了一套高效的信息收集工具集。2.1 全能选手无影TscanPlus工具解析很多同学好奇课程里提到的「无影工具」是什么其实它就是 TideSec 团队开发的TscanPlus一款综合性的网络安全检测工具也是目前安全圈非常受欢迎的信息收集与漏洞扫描工具。这款工具的核心能力非常全面内置 2.6w 指纹库与 6100POC能够快速识别目标资产的 CMS、框架、服务版本集成了资产测绘、端口扫描、目录枚举、弱口令猜解、URL 爬虫等 15 功能模块图形化界面操作简单能够实现从资产发现到漏洞验证的全流程自动化支持 ICP 查询、空间测绘集成能够快速梳理目标的整个资产面对于安全从业者来说这款工具能够极大提升信息收集的效率原本需要手动跑多个工具的工作用无影一个工具就能完成。2.2 空间测绘工具Hunter 与 Fofa 的实战用法除了本地的扫描工具空间测绘工具也是我们快速定位漏洞资产的利器。课程里给我们分享了两个非常实用的搜索语法Hunter 搜索 phpinfo 泄露资产​ web.titlephpinfo()web.bodyphpinfo()ip.country中国icp.number!header.status_code200用这个语法我们可以快速定位国内存在 phpinfo 信息泄露的资产phpinfo 里会泄露服务器的大量敏感信息比如绝对路径、数据库配置、PHP 版本等等是非常高危的信息泄露漏洞。Fofa 搜索 Glassfish 漏洞资产​ glassfish port4848 countryCN这个语法可以快速定位国内开放了 4848 端口的 Glassfish 服务器而这些服务器很可能存在路径遍历漏洞我们只需要在 IP 后面拼接 Payload​ https://ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd就能触发漏洞读取服务器的/etc/passwd文件获取系统用户信息。这个漏洞的原理是 Glassfish 对 UTF-8 字符的解析缺陷%c0%ae会被解析成.从而绕过目录限制实现目录穿越。三、漏洞攻坚逻辑漏洞的核心与突破技巧很多同学会问什么是逻辑漏洞和普通的代码漏洞有什么区别其实逻辑漏洞的核心不是代码的语法错误也不是函数的使用错误而是开发者的业务逻辑缺陷。开发者在写代码的时候按照自己的思路设计了一套流程但是攻击者可以跳出这个流程找到逻辑里的断点绕过开发者的防护。比如我们前面讲的两道反序列化的题开发者以为自己在析构函数里加了判断就能防止攻击者读文件但是他没想到攻击者可以用弱类型绕过他的判断。开发者以为自己的__wakeup函数可以修改用户名防止 admin 登录但是他没想到攻击者可以直接跳过__wakeup函数的执行。这些都是开发者的逻辑想当然了他以为用户会按照他的规则来输入但是攻击者根本不按规则来这就是逻辑漏洞的核心。挖掘逻辑漏洞的关键就是站在开发者的角度思考然后再跳出他的思考找到他没想到的情况。比如他用了你就要想有没有办法用弱类型绕过他加了防护你就要想防护的判断是不是有漏洞。四、从 CTF 到 SRC漏洞挖掘与提交全流程练完 CTF 的题最终我们要落地到真实的 SRC 漏洞挖掘这也是很多同学想要进阶的方向。课程里给我们分享了完整的漏洞挖掘与提交流程还有写漏洞报告的技巧。4.1 规范的漏洞报告怎么写找到漏洞只是第一步写一份清晰规范的漏洞报告才能让审核人员快速确认你的漏洞拿到赏金。一份标准的漏洞报告需要包含这四个部分漏洞概述用最简洁的话描述这个漏洞是什么能造成什么影响不要废话让审核人员一眼就能看懂。复现步骤清晰的步骤配上截图最好能配上短的复现视频。为什么要视频一方面审核人员看视频就能快速复现不用一步步对着文字试另一方面这是你的证据防止对方偷偷修了漏洞之后说你的漏洞复现不出来赖掉你的赏金。漏洞危害客观描述漏洞的危害比如这个路径遍历漏洞会导致服务器的敏感信息泄露这些信息可能被黑产利用进一步攻击服务器引起审核的重视但是也不要太夸张。修复建议给出具体的修复方案比如对输入的路径做严格的校验过滤目录穿越的字符升级 Glassfish 到最新版本等等让厂商知道怎么修这个漏洞。4.2 漏洞提交的心得与流程这次课程的作业就是让我们体验一次完整的漏洞提交流程我也有很深的感受原来 CTF 里学的技巧在真实的 SRC 挖掘里完全能用比如我们在 CTF 里学的反序列化、路径遍历在实战里就是真实存在的漏洞。而信息收集的工具能帮我们快速从全网的资产里找到存在这些漏洞的目标。整个提交的流程也很简单以漏洞盒子平台为例注册平台账号完成实名认证找到漏洞之后进入提交漏洞的页面填写目标的信息漏洞的类型然后把我们写好的漏洞报告填进去附上复现的截图和视频提交之后等待审核审核通过之后就能拿到赏金和积分了。这个过程里最关键的就是报告的规范性很多新手找到漏洞之后写的报告乱七八糟审核人员看不懂就会打回甚至直接忽略所以写好报告非常重要。写在最后这次实战课我们从 CTF 的真题出发拆解了反序列化的底层逻辑又学习了信息收集的工具最后落地到 SRC 的漏洞挖掘与提交完成了一次从理论到实战的完整进阶。网络安全的学习从来都不是只背知识点而是要把学到的技巧用到真实的场景里。从 CTF 练手到实战挖 SRC这是每个安全学习者的必经之路。希望这篇复盘能帮到同样在进阶路上的你。参考链接TscanPlus无影项目地址https://github.com/TideSec/TscanPlus