PHP-Wakeup魔术漏洞骚操作

最新推荐文章于 2024-03-18 19:51:41 发布
最新推荐文章于 2024-03-18 19:51:41 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 安全 黑客 漏洞 文章标签: php 安全 web安全 网络安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/121889044
版权
本文介绍了在攻防世界中遇到的一个关于PHP Wakeup魔术方法漏洞的案例。通过分析代码和利用条件,展示了如何通过使序列化字符串中变量数量大于实际变量来绕过_wakeup()函数,主要影响PHP5<5.6.25和PHP7<7.0.10的版本。文中给出了构造payload的方法,并提供了Flag的获取过程。
摘要由CSDN通过智能技术生成

起因

前两天在攻防世界做题的时候,看到了一个Wakeup绕过的典型案例。正好拿来写一篇随笔记录。

在这里插入图片描述

案例

进入后,我们得到题目代码,我们现在需要读一下这个代码。
先对代码进行一个审计
__wakeup()很容易绕过,只需要令序列化字符串中标识变量数量的值大于实 际变量即可绕过__wakeup()函数
_wakeup()的绕过,大概应该是PHP5<5.6.25,PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。
( 在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过,当成员属性数目大于实际数目时可绕过wakeup方法,正则匹配可以用+号来进行绕过。)
正则匹配这里匹配的是 O:4,我们用 O:+4 即可绕过(看到类似题才想到所以构造 payload
$a= new Demo(‘fl4g.php’);
b=serialize(a);
b=strreplace(′O:4′,′O:+4′,b);
KaTeX parse error: Expected '}', got 'EOF' at end of input: …ce('1:{','2:{',b);
echo base64_encode($b);

<

最低0.47元/天 解锁文章
IT老涵
关注
专栏目录
__wakeup绕过版本_PHP__wakeup()方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1115
​ __wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。只要序列化的中的成员数大于实际成员数,即可绕过
21-3 PHP反序列化漏洞-魔术方法绕过
weixin_43263566的博客
01-17 649
启动靶场 -> 在浏览器打开链接(这个靶场平台比较良心不用花钱,有些平台按分钟收钱,时间一到靶场不续费就自动关闭)先进行进行收集,根据页面提示网站备份,我们可以通过目录探测方式找到备份文件,并根据文件进行审计等后续操作,以达到读取flag文件的目的。在PHP中,__wakeup()是一个魔术方法,用于在反序列化对象时自动调用。来进行绕过,通过添加位置来改变类名的个数。或 搜索: “[极客大挑战 2019]PHP”:指定排除的HTTP状态码,以逗号分隔。
php---魔术方法(__wakeup和__sleep)
weixin_33856370的博客
02-09 142
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP反序列化-__wakeup()方法漏洞(CVE-2016-7124)
bin789456的博客
08-13 3765
写在前面 wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 漏洞影响的版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 漏洞出现情况 1.可以之间或简介控制序列化结果 2.__wakeup(
__wakeup函数漏洞随笔
qq_46635165的博客
10-10 1033
__wakeup()函数漏洞利用随笔 <!-- php __wakeup() 函数漏洞分析,测试 --> <!-- __wekup()函数是在反序列化操作时,unserialize()函数会先检查有没有存在 一个名为 __wakeup()的函数,如果存在,先执行 __wakeup()--> <?php class A{ function __wakeup(){ echo 'hello'; } } // 反序列化一个类,__wakeup() 执行,
php单例模式 __wakeup,单例模式
weixin_39769767的博客
03-13 178
单例模式,正如其名,允许我们创建一个而且只能创建一个对象的类。这在整个系统的协同工作中非常有用,特别明确了只需一个类对象的时候。那么,为什么要实现这么奇怪的类,只实例化一次?在很多场景下会用到,如:配置类、Session类、Database类、Cache类、File类等等。这些只需要实例化一次,就可以在应用全局中使用。本文我们以数据库类为例。1 问题如果没有使用单例模式,会有什么样的问题?如下是一...
PHP-反序列漏洞 例题详解
weixin_57041250的博客
11-03 293
PHP反序列化漏洞利用条件:1.代码中要unserialize()2.在参数传递给unserialize()的过程是可控的。
【反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2837
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
php __wakeup(),PHP魔术方法__wakeup()
weixin_42394913的博客
03-20 1050
与__sleep()方法相对的就是__wakeup()方法,常用来反序列化,如重建数据连接,或执行其他初始化操作等。示例代码如下:classPerson{public$sex;public$name;public$age;publicfunction__construct($name="",$age=25,$sex='Male'){$this->name=$name;$...
php __sleep() 和__wakeup()
没有用户名的博客
03-25 1338
<?php class Person { private $name, $age, $sex, $info; public function __construct( $name, $age, $sex ) { $this->name = $name; $this->age = $age; $this->sex = $
php中_sleep和_wakeup,php中_sleep跟_wakeup
weixin_32239819的博客
03-20 123
php中__sleep和__wakeupphp中,__sleep和___wakeup是两个分别自对象序列化前和后分别调用的方法,其中__sleep在一个对象序列化前调用,它不接收任何参数,但会返回数组,这里可以放置哪些属性需要序列化,比如下面的例子:class Customer { private $name; private $credit_card_number; public funct...
PHP反序列化--_wakeup()绕过
最新发布
2302_79800344的博客
03-18 560
【代码】PHP反序列化--_wakeup()绕过
__wakeup()魔术方法绕过(CVE-2016-7124)
weixin_74985952的博客
08-14 327
php反序列化数据过程中,如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行。
PHP魔术方法 __sleep和__wakeup()
www.phptuku.com——PHP全栈工程师的摇篮!
10-25 563
更多精彩内容请访问PHP图库 serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则 NULL 被序列化,并产生一个 E_NOTICE 级别的错误。__sleep() 不能返回父类的私有成员的名字。这样做会产生一个 E_
魔术方法__sleep(),__wakeup()
didanve1659的博客
05-31 207
  这两个方法是在对象的序列化与反序列话里使用的,当序列化serialize对象时,可以把对象里的属性和方法转换成连续的bytes数据,保存在一个文件里或者在网络上传输,当需要使用这个对象时,就可以反序列话unserialize这个字符串,得到这个对象,然后继续使用。   当对一个对象序列化时,php就会调用__sleep方法(如果存在的话),在反序列化时,php就会调用__wakeu...
unserialize函数和__wakeup魔术方法
Home to come
04-18 686
之前做过unserialize的题,当时看了wp,做是做出来来了,但是没有看懂这到底是什么东东,这次再次碰见了,认真的搜索了一下原理 什么是serialize? PHP 序列化后的内容是简单的文本格式,但是对字母大小写和空白(空格、回车、换行等)敏感,而且字符串是按照字节(或者说是 8 位的字符)计算的,因此,更合适的说法是 PHP 序列化后的内容是字节流格式。因此用其他语言实现时,如果所实现的...
PHP中__sleep()与__wakeup()的用法
fmuncle的专栏
12-17 1106
PHP 进行序列化时会用到__sleep()和__wakeup()这两个构造函数. 序列化即将一个变量或者一个对象转换成字节流的过程. 序列化有效的解决了对象的保存和传输问题, 例如:在使用 session 并使用了 session_register() 函数来注册对象, 这些对象会在每个 PHP 页面结束时被自动序列化, 并在接下来的每个页面中自动解序列化, 这样在每个 PHP 页面中都可
反序列化魔术方法__wakeup跳过
lgsyydsa的博客
08-25 143
而__construct函数是在创建对象才会调用,在这里不知道是反序列化时没有创建对象还是在给序列化前给admin 和passwd赋了值就不会覆盖了....所以这里可以忽略__construct魔术方法。看到__wakeup是将passwd的值进行sha1加密,然后在__destruct中加密后的passwd还要等于"wllm"....而sha1很难进行反向操作的,所以要绕过,所以这里用上。而我们能操作的就是传入p参数,因为反序列化会自动调用一些函数__wakeup __destruct。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值