unserialize3-攻防世界

题目

 

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

 源码分析

代码是一个PHP类的定义，名为xctf。这个类有两个主要部分：一个公共属性$flag和一个魔术方法__wakeup()。

1. 公共属性 $flag:
   这个类有一个公共属性$flag，其值被初始化为字符串'111'。这意味着你可以从类的外部直接访问或修改这个属性的值。
2. 魔术方法 __wakeup():
   __wakeup()是一个PHP的魔术方法，当使用unserialize()函数来反序列化一个对象时，它会被自动调用。在这个xctf类中，__wakeup()方法的功能是输出字符串'bad requests'并立即终止脚本执行（通过exit()函数）。

?code=这部分看起来像是一个URL查询字符串的开始，但没有提供完整的查询参数或值。这可能是为了在某个上下文中（如Web应用程序）通过GET请求传递某种数据或参数。

综合起来，这段代码的目的可能是防止对象xctf被反序列化。当有人尝试使用unserialize()来反序列化一个xctf对象时，__wakeup()方法会触发，输出错误信息并终止脚本执行。这可以作为一种安全机制，防止潜在的恶意用户利用反序列化漏洞来执行未授权的操作。

然而，需要注意的是，__wakeup()方法在某些情况下可以被绕过，因此它可能不是最强大的安全机制。开发者应确保对任何潜在的安全漏洞有深入的理解，并采取适当的安全措施。

题目提示加上源码分析就是反序列化了

什么是反序列化，序列化？

序列化和反序列化是将数据结构或对象转换为可存储或传输的格式，以便在需要时可以重新创建它们的过程。序列化将数据结构或对象转换为字节流或字符串，而反序列化将字节流或字符串转换回原始数据结构或对象。例如，当我们将数据从一个应用程序发送到另一个应用程序时，我们需要将数据序列化为可传输的格式，然后在另一个应用程序中反序列化它以将其还原为原始数据结构或对象。

那每次用一个应用程序发送数据到另一个应用程序时是否都要序列化呢？

不是，序列化或非序列化方式进行数据传输，具体选择哪种方式取决于不同因素，包括数据类型，传输需求和所使用的通信协议等；

序列化传输：传输的数据是很复杂，或者需要跨平台传输，通常选择序列化传输，例如对象转换为字节流，JSON,XML等。

非序列化传输：传输的数据简单数据类型（如整形，字符串等），或应用程序已经约定好了一种特定的数据格式，那么可以直接将数据以原始的格式进行传输，无需序列化。

总之，序列化像一种翻译，就像陌生人之间交流，我们会选择对方能听懂的语言，想方设法让对方能听懂，如果你和我熟悉，可能你和我之间有一套独特的交流方式，这对他人来说复杂的，我们转换成他人（另一个，不同的，不认识的平台）能听懂得的语言，最好是广泛应用的语言；序列化就是不同的平台都能听懂；

为什么要序列化？PHP序列化的好处在哪？

序列化就是不同的语言环境中也能让对方听懂，这样以便传输；

序列化是将一个对象或数据结构及其内容换成可存储或传输的格式的过程。序列化的好处在于可以将对象或数据结构及其内容保存到硬盘或通过网络传输到其他机器，而不需要重新构造对象或数据结构及其内容。PHP序列化是指将PHP对象或数据结构转换成字符串，以便在不同的环境中传输或存储。

PHP序列化的好处在于：

1. 方便数据传输：PHP序列化可以将PHP对象或数据结构转换成字符串，方便在网络上传输或存储到文件中。

2. 节省资源：序列化可以将一个对象或数据结构转换成一个字符串，占用的内存资源更少，可以节省服务器的内存消耗。

3. 简化代码：PHP序列化可以简化代码，将复杂的对象或数据结构转换成简单的字符串，便于处理和传输。

总之，PHP序列化是一种非常方便的数据处理方式，可以方便地将PHP对象或数据结构转换成字符串，以便在不同的环境中传输或存储。

构造playload

<?php
class xctf{
    public $flag = '111';
    public function __wakeup(){       //_wakeup()是魔法函数，被反序列化时立即被调用
    exit('bad requests');            
    }
}
$a=new xctf();
print(serialize($a));

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

这个字符串是一个PHP序列化后的字符串，用于表示一个对象。序列化是将一个PHP变量转换为一个可存储或传输的字符串表示形式的过程，而反序列化则是将这个字符串转换回原始的PHP变量。

给定的字符串 O:4:"xctf":1:{s:4:"flag";s:3:"111";} 可以按照以下方式解释：

• O: 表示一个对象（Object）。
• 4: 对象所属类的名称长度，这里是4个字符。
• "xctf": 对象所属类的名称，即xctf类。
• 1: 对象中存储的属性的数量。
• {: 开始描述对象的属性。
• s:4:"flag": 第一个属性的名称是flag，s表示这是一个字符串（String），4表示这个字符串名称的长度是4个字符。
• s:3:"111": 这是与flag属性相关联的值，也是一个字符串。s表示字符串，3表示这个字符串值的长度是3个字符，即"111"。
• }: 结束描述对象的属性。

综合起来，这个序列化字符串表示的是一个xctf类的对象，该对象有一个公共属性$flag，其值为字符串"111"。

什么是魔法函数？怎么分辨？魔法函数作用是什么？
在PHP中，魔法函数是指特定的函数， 名称以两个下划线开始 。这些函数具有特殊的行为和语法，用于 控制类的行为，例如 对象的创建、对象的序列化和反序列化、对象的属性访问等。
以下是一些常见的PHP魔法函数：

__construct: 类的构造函数，在对象被创建时自动调用。

__destruct: 类的析构函数，在对象被销毁时自动调用。

__get: 当调用一个不存在的属性时自动调用。

__set: 当给一个不存在的属性赋值时自动调用。

__call: 当调用一个不存在的方法时自动调用。

__toString: 当对象被转换为字符串时自动调用。

__sleep: 当对象被序列化时自动调用。

__wakeup: 当对象被反序列化时自动调用。

 __wakeup魔法函数被反序列化时调用

将playload

?/code=O:4:"xctf":1:{s:4:"flag";s:3:"111";}

说明该字符串被反序列化了，想办法绕过 。

当被反序列化的字符串其中对应的对象的属性个数发生变化时，会导致反序列化失败而同时__wakeup也会失效；

当对象被序列化时，会将对象的属性和属性值存储在序列化的字符串中。当使用unserialize()函数对序列化的字符串进行反序列化时，PHP会尝试将存储的属性和属性值重新赋值给对象。如果反序列化的字符串中的属性个数与对象的属性个数不匹配，PHP会抛出一个错误，反序列化失败。

从而达到绕过的目的

因此playloda应该是

?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}