CTF-web_php_serialize反序列化

最新推荐文章于 2024-06-02 11:24:45 发布
最新推荐文章于 2024-06-02 11:24:45 发布
阅读量844 收藏 2
点赞数 2
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43639682/article/details/114008899
版权

一.根据题目猜测和反序列化漏洞有关

1.思路:

进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值,

先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列化输入的参数值。

所以这里我们目的就是为了绕过正则表达式,让其反序列化出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。

2.步骤:

通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列化

img

编写一段代码先实例化我们要序列化的类,这里吧fl4g.php传进去,然后通过构造方法将其赋值给$file,

然后我们输出序列化的结果,这里为了绕过正则可以采用将 :4: 替换为 :+4:,

在 PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。**
**

所以我再将它的 :1: 替换为一个大点的值 比如 :2: ,

因为在接受到var值后会对其base64解码,所以这里我们再将其base64编码,然后输出即得到我们要输入的参数值。

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== ,得到flag。

**这里我们要注意:这里的file变量为私有变量(protected变量应该也会),所以序列化之后的字符串开头结尾各有一个空白字符(即%00),

字符串长度也比实际长度大2,如果将序列化结果复制到在线的base64网站进行编码可能就会丢掉空白字符,从而得到错误的编码值

如下图,通过strlen求到序列化的长度为48,但实际我数了一下只有46。

img

img

img

黑朱雀
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
长亭php反序列化防护_CTF-攻防世界-Web_php_unserialize(PHP反序列化)
weixin_39860064的博客
12-21 225
题目解题过程PHP反序列化的一道题,从代码看出flage在fl4g.php这个文件里面,Demo类的构造方法可以传入文件名。把Demo的代码贴到本地做一下序列化classDemo {private $file = 'index.php';public function __construct($file) {$this->file = $file;}function__destruct() ...
CTF-Solyd_2019
02-11
CTF-Solyd_2019】是2019年举办的一场网络安全竞赛,CTF(Capture The Flag)通常是指网络安全领域的比赛,参赛者通过解决一系列信息安全问题来获取分数,这些问题涵盖多种领域,如逆向工程、密码学、网络攻防等。...
攻防世界---web---Web_php_unserialize
最新发布
2201_75556700的博客
06-02 1221
表示的是一个对象,后面的数字4表示类名的长度。通过将4替换为+4,可以使正则表达式无法匹配,从而绕过检查。:最后,将修改后的序列化字符串进行Base64编码,然后输出。类的实例,并对其进行序列化,然后将序列化后的字符串赋值给变量。这样的正则表达式检查。原始的序列化字符串中,6、在源代码中我们需要绕过几个函数。7、运行代码可以看到序列后的结果。4、根据代码中的提示,我们将。的类,该类有一个私有属性。通过将序列化字符串中的。:这行代码的目的是绕过。:这行代码的目的是绕过。
CTF关于反序列化练习随笔记录
2301_80127209的博客
05-08 884
destruct 析构方法,PHP将在对象被销毁前(即从内存中清除前)调用这个方法 默认情况下,PHP仅仅释放对象属性所占用的内存并销毁对象相关的资源.,析构函数允许你在使用一个对象之后执行任意代码来清除内存,当PHP决定你的脚本不再与对象相关时,析构函数将被调用.在一个函数的命名空间内,这会发生在函数return的时候,对于全局变量,这发生于脚本结束的时候,如果你想明确地销毁一个对象,你可以给指向该对象的变量分配任何其它值,通常将变量赋值勤为NULL或者调用unset。PHP5.3.0以上版本有效。
CTF-easy_php
m0_62593857的博客
02-01 571
ctf-easy_php
BUUCTF - Web - easy_serialize_php
1tachi的博客
12-07 415
文章目录源码分析知识点payload其他解法 源码 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION){
ctf-php反序列化绕过__wakeup
qq_32445755的博客
05-19 2134
注意:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。 __wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在,则先会调用__wakeup()方法。 部分代码 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 此时需要绕过__
CTF-WEB_ctf代码(1)
2401_84297035的博客
04-28 572
*在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。> **但是此时浏览器渲染的%00可以直接手动换为具体的字符串,或者在菜鸟工具里面把最后一行加个urlencode()函数编码,直接编码为url,避免在序列化内容过多的时候手动该%00过于麻烦,但是此时就需要在一堆编码里面准确的找到类的个数是哪个,一般来说类的个数处于两个冒号之间,冒号的url编码是%3A,所以找到偏前面一点的,在两个%3A之间的数字改大一点就可以了****一个人可以走的很快,但一群人才能走的更远!
2024年最新PHP反序列化-CTF-攻防世界-unseping_php反序列化 攻防世界(2)
2401_84281720的博客
05-03 28
【代码】2024年最新PHP反序列化-CTF-攻防世界-unseping_php反序列化 攻防世界(2)
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 1477
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
unserialize php ctf,CTF-WEB-XTCTF-Web_php_unserialize
weixin_34677379的博客
03-26 313
题目来源XTCTF-Web_php_unserialize题目考点:PHP代码审计、PHP正则、PHP序列化与反序列化解题思路题目源码class Demo {private $file = ‘index.php‘;public function __construct($file) {$this->file = $file;}function __destruct() {echo @high...
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
2020-HackIM_ctf_hackim-ctfwriteup_
09-28
这是hackim-ctf的writeup
apachecn#apachecn-ctf-wiki#BugkuCTF-WEB解题记录-11-15_weixin_3069946
07-25
BugkuCTF WEB解题记录 11-15_weixin_30699463的博客-CSDN博客来源:
stegsolve图片隐写解析器的使用
热门推荐
Be Smart
02-19 2万+
layout: post title: “ctf-隐写图片解析器-stegsolve的使用” categories: [ctf] tags: [stegsolve] CTF隐写术————隐写图片解析神器----stegsolve stegsolve下载地址:http://www.caesum.com/handbook/Stegsolve.jar stegsolve安装配置:配置好Java环境变量(就是需要安装Java,然后配环境变量,具体的配置过程上网一搜一堆,这里就不赘述) 配置好环境之后直接打开就.
xff-referer伪造ip地址和域名
Be Smart
02-20 7265
layout: post title: “xff-referer伪造ip地址和域名” categories: [ctf] tags: [xff referer] 最新版的BurpSuite与以前版本不同,将raw headers hex这些二级导航栏去掉,改在了右侧显示,需要Add伪造ip和域名的时候,在该部分右侧底部有add按钮等老版功能,进行添加操作和其他老版功能 X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址。在代理转发及反
2021-02-01-ssl协议版本及密码修复
Be Smart
03-21 7073
layout: post title: “ssl协议版本及密码修复” categories: [网络安全CyberSecurity] 1.[ssl扫描网站](<https://www.ssllabs.com/ssltest/) <https://www.ssllabs.com/ssltest/ 2.禁用TLS1.0和TLS1.1 原始SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1改为 SSLProtocol -all +TLSv1.2 //.
ctf php绕过<,CTF-攻防世界-Web_php_include(PHP文件包含)
05-13
这是一道经典的 PHP 文件包含漏洞的 CTF 题目。在 PHP 中,当我们使用 include 或 require 语句来引入文件时,如果我们没有对输入进行过滤,就会存在文件包含漏洞。 在这道题目中,我们需要绕过一个筛选器,使得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑朱雀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值