![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
反序列化
文章平均质量分 86
_rev1ve
这个作者很懒,什么都没留下…
展开
-
[GFCTF 2021]文件查看器
思路很简单,就是phar伪协议读取文件,首要解决的就是如何上传phar文件,这里我们可以利用报错日志error.txt,phar内容当成文件名传入,那么error.txt就会出现我们传的内容,如果我们再利用伪协议和特殊的过滤器去读取error.txt,即可实现得到序列化的字符串;当utf-8转换为utf-16le时,每一位字符后面都会加上一个\0,这个\0是不可见的,当将utf-16le转换为utf-8的时候,只有后面有\0的才会被正常转换,否则变为乱码。dirsearch扫出来有源码泄露。原创 2023-12-12 22:56:25 · 1107 阅读 · 0 评论 -
[LCTF 2018]bestphp‘s revenge
即达到session_start(array(‘serialize_handler’ => ‘php_serialize’)) ,将会根据php7特性设置session.serialize_handler=php_serialize。思路就是利用SoapClient 类构造出ssrf的序列化字符串,然后利用call_user_func修改配置,造成序列化与反序列化引擎不同的漏洞,然后调用extract函数去变量覆盖,调用SoapClient类,从而触发__call 方法。原创 2023-12-13 18:37:38 · 1116 阅读 · 0 评论 -
[MTCTF 2022]easypickle
这里虽然禁用操作符使得难以绕过,但是waf存在逻辑漏洞,也就是说pickle的对象是ser_data,而不是a,所以我们opcode中有os虽然被替换成Os,但是我们还是能执行opcode。因为反弹shell中是需要用到i参数的,而i参数会被检测,但是V操作码是可以识别\u的所以我们可以把我们的代码进行unicode编码然后放入payload中。接着进行if判断Rirb是否存在变量a中,然后进行pickle反序列化。路由下判断是否为admin如果是则先进行关键字替换和if判断,然后pcikle反序列化。原创 2023-12-22 19:39:17 · 534 阅读 · 0 评论 -
pickle反序列化
与PHP类似,python也有序列化功能以长期储存内存中的数据。pickle是python下的序列化与反序列化包。python有另一个更原始的序列化包marshal,现在开发时一般使用pickle。与json相比,pickle以二进制储存,不易人工阅读;json可以跨语言,而pickle是Python专用的;pickle能表示python几乎所有的类型(包括自定义类型),json只能表示一部分内置类型且不能表示自定义类型。原创 2023-12-22 19:42:45 · 1412 阅读 · 0 评论 -
prize_p1
这样的话,当phar://反序列化其中的数据时(反序列化时是按顺序执行的),先反出a[0]的数据,也就是a[0]=getflag类,再接着反序列化时,又将a[0]设为了NULL,那就和上述所说的一致了,getflag类被取消了引用,所以会触发他的析构函数,从而获得flag。我们刚刚的phar的签名标志位为0x0003,为SHA256签名,所以我们要计算的是出的字节是[-40:-8],用脚本计算我们新的phar文件的签名,并重新写入文件(也可以导出为新文件),不是我们想要的字符串,那么需要解决的第三个问题。原创 2023-09-12 23:54:25 · 541 阅读 · 0 评论 -
反序列化中_wakeup的绕过
反序列化中_wakeup扮演着非常重要的角色,ctf碰到很多的题目都有涉及到_wakeup绕过,写下这篇博客来总结下大部分绕过方法,其中会有例题具体演示。原创 2023-09-05 23:32:57 · 1692 阅读 · 0 评论 -
web 反序列化 刷题记录
首先找到跟flag有关的,发现是w44m的Getflag(),结合if语句,我们要让admin = ‘w44m’ 和passwd ='08067’成立。,那么我们可以给var赋值用php伪协议去读取flag,调用append()方法得先调用 __invoke()(读取不可访问或者不存在的属性的时候,进行赋值,才能调用__get())再往前推,w22m的echo语句可以调用__toString();再往前推,发现w33m的__toString()的**(调用了函数方式可以调用 __invoke())原创 2023-05-20 20:03:23 · 350 阅读 · 0 评论