Web_php_unserialize(攻防世界)

已于 2023-02-21 21:05:02 修改
阅读量333 收藏
点赞数
文章标签: php 开发语言 web安全
于 2023-02-21 21:05:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70819573/article/details/129149643
版权

1.打开环境,审计代码。

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

2.主要有两个可绕过的点,preg_match和_wake up的绕过

(1)_wake up的绕过

.在 PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。

参考文章:WEB攻防-通用漏洞&PHP反序列化魔术方法&漏洞绕过&公私有属性

(2)preg_match绕过

参考文章:关于PHP函数preg_match绕过、move_uploaded_file绕过方式以及include包含例题

正则表达式

ha0cker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界 web Web_php_unserialize
汗的博客
08-24 596
攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
phpunserialize返回false的解决方法
10-25
主要介绍了phpunserialize返回false的解决方法,是PHP程序设计中非常经典的问题,需要的朋友可以参考下
PHP中json_encode、json_decode与serializeunserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
攻防世界Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3145
攻防世界WP
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2370
最近开始刷攻防世界web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
攻防世界Web_php_unserialize
m0_74979597的博客
09-21 271
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
攻防世界——Web_php_unserialize
weixin_73942557的博客
10-30 167
访问网页以后首先显示这段源码,分析一下代码结构,包含一个类。里面包含了 三个魔术方法:__construct\__destruct\__wakeup 后面的判断中包含了isset魔术方法 ,base64_decode解密,正则表达式判断。 那么现在来思考如何绕过 1、@unserialize($var); @符号抑制了错误输出,所以无法通过这里进行信息获取 2、当调用这个脚本时会触发__wakeup魔术方法,需要对它进行绕过 那么我们通过改变让这个参数大于后面的index.php文件 $f
攻防世界-web-Web_php_unserialize
mlws1900的博客
07-19 377
获取环境 很明显,看题目就是和php序列化有关的get请求接受一个var值,base64编码解码,而且对’/[oc]:\d+:/i’进行过滤,然后反序列化,到__weakup()函数,并且提示flag就在fl4g.php里面,所以构造payload 构造一下payload 上面为测试,显示空白页面,base64后显示stop hacking ’/[oc]:\d+:/i’并未绕过,看了其他wp,发现只需要在类之前加上+即可 后面的数字自然更改 综合payload就是
攻防世界Web_php_unserializeweb进阶)
my_name_is_sy的博客
06-29 413
考点: 1、构造函数与析构函数和__wekeup魔术方法。 2、php如何进行序列化与反序列化的方法。 3、序列化私有变量时的一些细节
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize.pdf
08-21
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize 安全测试 数据分析 可信编译 水坑攻击 安全设计
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 710
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
web | CTF】攻防世界 Web_php_unserialize
weixin_46301214的博客
02-21 934
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 308
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
攻防世界web进阶_Web_php_unserialize
shayebudon的博客
12-11 2092
查看代码 首先定义了一个Demo类, 有一个注释,提醒我们flag在fl4g.PHP中, Demo中的_destruct如果Demo类被销毁,那么就会高亮显示file所指向的文件的内容 _wakeup当进行反序列化时 自动执行所以要绕过_wakeup 变量var的传入 首先进行base64加密 然后preg_match匹配函数 如果匹配上 就“stop hacking” 否则unserialize($var) preg_match('/[oc]:\d+:/i', $v...
攻防世界 Web_php_unserialize的坑
a3320315的博客
09-26 3407
题目要求传入的参数先base64解码,然后再反序列化。 题目中的class有一个私有变量,我知道最后打印出来的序列化内容会在类名前后加%00。 (ps:以前做相关序列化的题是直接GET传入参数,所以浏览器自动解码%00)但是今天我是先把%00加进去再去别的网站进行base64编码,这就是问题所在,编码时不会把%00当做一个特殊字符,结果就是死活不对。其实直接在php里面编码就行了。(菜得真实) ...
攻防世界web进阶区Web_php_unserialize,序列化大详解
hxhxhxhxx的博客
07-23 1707
攻防世界web进阶区Web_php_unserialize详解题目详解正则魔术方法 题目 题目是一个php反序列化,这里放出了一个源码审计 详解 正则 /i 表示匹配的时候不区分大小写 \d 匹配一个数字字符。等价于 [0-9]。 “+” 出现至少1次 [ ] 是定义匹配的字符范围 [oc]是匹配o或c任意一个 [xyz] 字符集合。匹配所包含的任意一个字符。例如, ‘[abc]’ 可以匹配 “plain” 中的 ‘a’。 \d+是为了匹配[0-9]的数字,多次匹配! ”[oc]:“匹配的是,o
文件包含漏洞
最新发布
大河之犬的博客
06-02 671
当用户以某种方式控制即将由服务器加载的文件时,就会出现漏洞。远程文件包含(RFI): 从远程服务器加载文件。在php中,默认情况下禁用此功能(本地文件包含(LFI): 服务器加载本地文件PHP 过滤器允许在数据被读取或写入之前执行基本的修改操作。有 5 类过滤器:1、字符串过滤器string.strip_tags: 从数据中删除标签(位于 “” 字符之间的所有内容)2、转换过滤器:转换为不同的编码(iconv -l滥用。
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值