php原生类,PHP原生类反序列化

最新推荐文章于 2024-01-14 16:15:20 发布
最新推荐文章于 2024-01-14 16:15:20 发布
阅读量180 收藏
点赞数
文章标签: php原生类

在做BJDCTF中的题目XSS之光的时候遇到了PHP原生类的反序列化,以前没有了解过,现在来学习一波。

基础知识

首先还是来回顾一下序列化中的魔术方法,下面也将以此进行分类来进行研究。

当对象被创建的时候调用:__construct

当对象被销毁的时候调用:__destruct

当对象被当作一个字符串使用时候调用(不仅仅是echo的时候,比如file_exists()判断也会触发):__toString

序列化对象之前就调用此方法(其返回需要是一个数组):__sleep

反序列化恢复对象之前就调用此方法:__wakeup

当调用对象中不存在的方法会自动调用此方法:__call

看一下当前php本身内置类有:

$classes = get_declared_classes();

foreach ($classes as $class) {

$methods = get_class_methods($class);

foreach ($methods as $method) {

if (in_array($method, array(

‘__destruct‘,

‘__toString‘,

‘__wakeup‘,

‘__call‘,

‘__callStatic‘,

‘__get‘,

‘__set‘,

‘__isset‘,

‘__unset‘,

‘__invoke‘,

‘__set_state‘

))) {

print $class . ‘::‘ . $method . "\n";

}

}

}

当然有些类不一定能够进行反序列化,php中使用了zend_class_unserialize_deny来禁止一些类的反序列化,比如序列化DirectoryIterator的时候。

回到本题,本题存在git源码泄露,用GitHack下载源码后只有简单的两行。

20200403005821025063.png

这里要利用魔法方法 __toString来实现xss,而__toString中Error 和 Exception类 会造成XSS  但是Error只适于php7下造成xss,Exception php5和php7都适用

用burp抓包发现是php5.6的,因此是Exception。

20200403005821149078.png

于是先用下面的exp看看有没有弹窗。

exp:

$a = unserialize($_GET[‘lemon‘]);

echo $a;

20200403005821319966.png

然后本题的exp:

$a = new Exception("");

echo urlencode(serialize($a));

20200403005821363908.png

flag就在cookie和url上面

在这里学下xss相关知识:

#实现恶意跳转

参考博客:

感谢大佬!!!菜鸡受教了

weixin_39595164
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php反序列化总结&刷题&pop链&原生
小千安全
04-22 4000
思维导图 原理 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,一个反序列化漏洞造成要有魔术方法,恰好魔术方法里面有危险函数,比如危险函数文件读取,命令执行,反序列化在数据传递,可能触发危险函数 知识点 1、什么是反序列化操作?-格式转换 2、为什么会出现安全漏洞?-魔术方法 3、反序列化漏洞如何发现? -对象逻辑 4、反序列化漏洞如何利用?-POP链构造 补充:反序列化利用大概分 魔术方法的调用逻辑-如触发条件 语言原生的调用逻辑-如SoapClient 语言自身的安全缺陷-
php序列化函数serialize() 和 unserialize() 与原生函数对比
10-24
主要介绍了php序列化函数serialize() 和 unserialize() 与php原生序列化方法对比,有需要的小伙伴可以参考下。
ThinkPHPV5.1.25中使用file_exists等函数没有触发phar://的反序列化的destruct魔术方法执行的问题
听香水榭
08-21 297
因为像我碰到的问题就是我的项目主目录下的/runtime目录没有Web服务器用户的写入权限会导致日志写入失败报错:think\exception\ErrorException: mkdir(): 权限不够。导致后续代码不会执行,因此反序列化生成的对象就无法调用destruct魔术方法,当把吸入权限补上之后就OK了。在thinkphp框架中目标对象的wakeup魔术方法是会执行的,但是destruct魔术方法不一定会。
thinkphp—5.0.24写文件链分析
weixin_42282189的博客
12-07 719
作者: Nolan 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 前言 最近在学习java,很久没有看php了,朋友给了一个此框架源码其中有可控的序列化点,看到网上有5.0.24的链子文章,复习一下php 魔术方法 1.__construct() 一执行就开始调用,其作用是拿来初始化一些值。 2.__desctruct() 执行完毕以后调用,其最主要的作用是拿来做垃圾回收机制。 3.__get() 方法用于获取私有属性值。(在设置私有属性的时候将会自动调用)【http:/.
加载,__construct(),
维克多噗噗的博客
04-21 923
是一种结构: 如果要访问,前提是在内存中存在. 一般是一个单独的文件: 若要使用就得加载.1. 手动加载在使用之前,手动的将对应的文件给包含进来publicController.class.php<?php /** * * @authors weikeduopp * @date 2017-04-20 14:20:29 * @version $Id$ */ heade
PHP之序列化与反序列化原生应用篇上)
errorr0
03-31 3110
PHP原生操作文件、XSS、哈希绕过
ThinkPHP 3.1.2 - PHP的开发框架MVC - 含Core,Extend,Example
11-26
扩展模型:提供了丰富的扩展模型,包括:支持序列化字段、文本字段、只读字 段、延迟写入、乐观锁、数据分表等高级特性的高级模型;可以轻松动态地创建 数据库视图的视图模型;支持关联操作的关联模型;支持Mongo...
rogue_mysql_server:一个支持go,php,python,java,原生命令行等多种语言下客户端的mysql恶意服务器
03-19
流氓Mysql服务器基于实现的恶意mysql服务器,支持go,php,python,java,原生命令行等多种语言下的多种库的mysql客户端。...可控链接串的情况下可以利用mysql-connector-java反序列化入侵进行RCE配置文件示例:
tilt-twig:使用 Tilt 和 PHP 在 Ruby 中编译 Twig 模板
06-13
数据在您的 Ruby 应用程序中序列化为 YAML,并在将上下文传递给 Twig 的 PHP 脚本中反序列化。安装此 gem 具有 PHP 依赖项,会尝试: 聚氯乙烯libyaml ( 通过 ) PHP 的yaml将此行添加到应用程序的 Gemfile 中: gem...
PHP原生反序列化(上)
m0_62422842的博客
06-01 1455
php代码只有一个或者没有利用时,我们就可以调用php的内置来进行目录遍历和任意文件读取等一系列的操作。内置,顾名思义就是php本身存在的,我们可以直接拿过来用。本次来学习经常能用到的几种内置。目录遍历的内置有三种。 查看官方文档可以发现FilesystemIterator与DirectoryIterator是继承关系的(附上官方文档PHP: SPL - Manual)在该下有一个_toString方法。这个会创建一个指定目录的迭代器,当遇上echo输出时就会自动调用_toStrin
深入了解PHP反序列化原生
we
06-05 1366
如果在代码审计或者ctf中,有反序列化的功能点,但是却不能构造出完整的pop链,那这时我们应该如何破局呢?我们可以尝试一下从php原生下手,php有些原生中内置一些魔术方法,如果我们巧妙构造可控参数,触发并利用其内置魔术方法,就有可能达到一些我们想要的目的。1234567891011我们采用下面脚本遍历一下所有原生中的魔术方法 Error/ExceptionError 是所有PHP内部错误的基。 (PHP 7, 8)**Error::__toString ** error 的字符串表达返回
PHP反序列化总结4--原生总结
最新发布
m0_66458291的博客
01-14 632
PHP 原生指的是 PHP 内置的,它们可以直接在 PHP 代码中使用且无需安装或导入任何库,相当于代码中的内置方法例如echo ,print等等可以直接调用,但是原生就是可以就直接php中直接创建的,我们可以直接调用创建对象,但是这些中有的会有魔术方法,为此,我们可以创建原生去利用其中的魔术方法来达到我们反序列化的利用。
PHP反序列化漏洞(入门)-魔术方法+原生
xiaoheizi的博客
07-02 1516
_sleep(): //serialize()函数会检查中是否存在一个魔术方法__sleep() 如果存在,该方法会被优先调用。当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。因为__toString()魔术方法是在把对象当做字符串使用的时候会被调用,所以这里会触发__toString()魔术方法。__isset(): //在不可访问的属性上调用isset()或empty()触发。
day45 PHP反序列化&POP链构造&魔术方法&原生
wanjia01的博客
01-17 551
知识点:1、什么是反序列化操作?-格式转换2、为什么会出现安全漏洞?-魔术方法3、反序列化漏洞如何发现?-对象逻辑4、反序列化漏洞如何利用?-POP链构造补充:反序列化利用大概分-魔术方法的调用逻辑-如触发条件-语言原生的调用逻辑-如SoapClient-语言自身的安全缺陷-如CVE-2016-7124#反序列化课程点:序列化:对象转换为数组或字符串等格式反序列化:将数组或字符串等格式转换成对象serialize()//将一个对象转换成一个字符串。
php反序列化漏洞(万字详解)
永不落的梦想
07-26 2624
php反序列化万字文章详解,非常全面,并结合实际案例易于理解,包括pop链、字符串逃逸、session反序列化、phar反序列化原生的利用以及各种绕过方式。
Day46 PHP反序列化&原生&漏洞绕过&公私有属性
wanjia01的博客
01-17 685
当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。// __isset():当对不可访问属性调用 isset() 或 empty() 时,__isset() 会被调用。/*__get() 魔术方法 读取一个对象的属性时,若属性存在,则直接返回属性值;/*__unset():在不可访问的属性上使用unset()时触发 销毁对象的某个属性时执行此函数。// _invoke():以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用。
PHP反序列化原生利用
Sentiment的博客
05-10 1614
前言 之前对反序列化原生进行过总结,但可能总结的方面不同,在ctf用到的很少,所以这里在对ctf常用原生进行一次总结。 原生 php中内置很多原生,在CTF中常以echo new $a($b);这种形式出现,当看到这种关键字眼时,就要考虑本题是不是需要原生利用了。 先看下都有什么内置原生 <?php $classes = get_declared_classes(); foreach ($classes as $class) { $methods = get_class_meth
反序列化 php 原生,反序列化PHP原生的利用
weixin_30844407的博客
04-10 394
目录正文文章围绕着一个问题,如果在代码审计中有反序列化点,但是在原本的代码中找不到pop链该如何?N1CTF有一个无pop链的反序列化的题目,其中就是找到php内置来进行反序列化。回到顶部基础知识首先还是来回顾一下序列化中的魔术方法,下面也将以此进行分来进行研究。当对象被创建的时候调用:__construct当对象被销毁的时候调用:__destruct当对象被当作一个字符串使用时候调用(不仅仅...
c# 原生代码进行反序列化
07-13
在 C# 中,可以使用`System.Text.Json`或`Newtonsoft.Json`等库来进行 JSON 反序列化。下面是一个示例代码: 使用 `System.Text.Json` 库: ```csharp using System; using System.IO; using System.Text.Json; /...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值