CTF-WEB反序列化魔法方法调用情况

最新推荐文章于 2023-05-25 14:56:44 发布
最新推荐文章于 2023-05-25 14:56:44 发布
阅读量288 收藏
点赞数
分类专栏: php反序列化 文章标签: 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61955196/article/details/130218591
版权

写在前面的话

最近一直在刷题,写了挺多反序列化类型的题目,发现了一些触发魔术方法的点,就想在这里系统总结一下。

__toString方法:

一般来说,在CTF题里,调用__toString方法都是用echo、return一些字符串来调用,或者是用md5等函数来返回。但是最近做的一些题让我又有了新得认识。

1、在进行弱类型比较的时候可以调用__toString方法

 这里对myan类中的emo属性进行再new myan。在__destruct中判断应该会不成功,我们接着单步调试一下。

 可以发现它进入了__toString方法中。

 最终成功实现了调用。

2、在进行正则匹配时可以调用__toString方法

这里正则匹配应该会不成功,我们单步调试看看。

 在匹配不成功后,发现调用了__toString方法。

后续有更多好玩的姿势再接着更新。

My4n
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全攻防知识-7】CTFweb(1)
qq_26579613的博客
06-01 4255
ctf-web题型总结
ctfshow web入门-反序列化
akxnxbshai的博客
05-19 1208
反序列化中常用的魔术方法: __wakeup() //执行unserialize()时,先会调用这个函数 __sleep() //执行serialize()时,先会调用这个函数 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法触发 __callStatic() //在静态上下文中调用不可访问的方法触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用方法 __set() //用于将数据写入不可访问的属性 _.
ctfshow web入门 反序列化
Sentiment的博客
12-26 1824
web254
WEB攻防-通用漏洞&PHP反序列化魔术方法&漏洞绕过&公私有属性
m0_65336233的博客
10-19 833
WEB攻防-通用漏洞&PHP反序列化魔术方法&漏洞绕过&公私有属性
CTF之旅WEB篇(3)--ezunser PHP反序列化
shutTD的博客
10-01 1303
总的来说这道题思路还是很清晰的,是算偏易的题了不过新手拿来练手还是可以的逻辑很清晰,建议看完这篇文章后自己再试着做一遍哦!
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
如果已登录,程序会尝试从数据库中获取并反序列化用户资料(`$profile`)。 关键在于,`$profile`是从数据库中取出的已序列化对象,通常包含用户的个人信息,如电话、邮箱等。如果攻击者能够修改这个序列化字符串的...
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF-misc工具2-CTF-Tools-masterV1.3.7
最新发布
08-17
CTF-Tools-master是一个专注于密码编码识别与解码的工具,能自动推断密码的编码类型,并进行解码。 适用人群: 该工具主要适用于参加CTF竞赛的选手,以及对密码编码算法感兴趣的信息安全从业人员。 使用场景: 在CTF竞赛...
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
在这个"CTF-Web-Challenge"中,你将有机会学习和实践如何在Web环境中识别和利用漏洞。 PHP是一种广泛使用的服务器端脚本语言,特别适合开发动态网站。在CTF挑战中,你可能会遇到的PHP相关知识包括: 1. **PHP...
PHP反序列化漏洞详解.rar
02-07
反序列化一个对象时,会调用类的`__wakeup()`或`__construct()`魔术方法,如果这些方法没有正确实现,可能导致安全问题。 **4. 漏洞利用** 攻击者通常会构造特殊的序列化字符串,使得在反序列化过程中,能够触发未...
PHP反序列化&魔术方法
weixin_54882883的博客
06-17 903
php反序列化
php序列化和反序列化&魔术方法
Pvr1sC的博客
02-19 784
前言 可能会需要有类的知识但这里不多赘述,和c++差不多就不多说了 序列化 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 内存数据——稍纵即逝,不可持久化。 变量所储存的数据,即内存数据,而文件是持久数据。 l 序列化: 序列化就是将内存中的变量数据,保存为文件中的持久数据的过程。将内存变成文件。 反序列化: 反序列化就是将序列化后存储到文件中的数据,恢复成php程序代码的变量表现形式的过程,将文件变成内存。 序列化函数原型如下: string serialize ( m
ctfshow web入门 反序列化(254~257详解)
WRplayeR的博客
04-12 400
php反序列化的简单学习
Litctf web复现
qq_74193776的博客
05-25 171
LitCTF web复现
ctfshow—反序列化
cosmoslin的博客
11-15 2089
简介 序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。 php 将数据序列化和反序列化会用到两个函数 serialize 将对象格式化成有序的字符串 unserialize 将字符串还原成原来的对象 序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的魔术方法 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法调用
CTF php反序列化总结
m0_53567065的博客
11-17 4393
前言:本⼈⽔平不⾼,只能做⼀些类似收集总结这样的⼯作,本篇文章是我自己在学php反序列化写的一篇姿势收集与总结,有不对的地方欢迎师傅们批评指正~定义:序列化就是将对象转换成字符串。反序列化相反,数据的格式的转换对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。漏洞原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。常用魔术方法
一道反序列化CTF题分享
seek_2022的博客
07-23 1099
一道有趣的CTF题目
buu ctf总结
Lelouch_E的博客
11-03 736
buuctf总结NiZhuanSiWei NiZhuanSiWei 主页是一段php代码,审计: 有file_get_content(),可以利用伪协议写入‘welcome to the zjctf
PHP反序列化漏洞&网鼎杯ctf实例
weixin_44769042的博客
09-22 1125
漏洞简介 php反序列化漏洞,又叫php对象注入漏洞。 简单来讲,就是在php反序列化的时候,反序列化的内容是用户可控,那么恶意用户就可以构造特定序列化内容的代码,通过unserialize()函数进行特定的反序列化操作,并且程序的某处存在一些敏感操作是写在类中的,那么就可以通过这段恶意代码,达到执行攻击者想要的操作。 漏洞形成原因 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。 什么是序.
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

My4n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值