攻防世界WEB---unserialize3

最新推荐文章于 2024-03-21 22:39:08 发布
最新推荐文章于 2024-03-21 22:39:08 发布
阅读量923 收藏 7
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44800419/article/details/107548180
版权

攻防世界WEB—unserialize3

	## PHP序列化漏洞相关知识

本文仅记录我自己的学习过程

unserialize3

题目:

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

给出的是一个代码块页面,而且还是不完整的,在这里我们可以得到两部分内容:1.一个xctf的类;2.要返回一个code参数,还有题目提示的反序列化函数unserialize().既然是反序列化,那么code传入很有可能xctf类的序列化字符串,因此我们补齐代码试一试(PHP在线编程)

<?php
    class xctf{
        public $flag = '111';
        public function __wakeup(){
            exit('bad requests');
        }
    }
    
    $a=new xctf();
    $s=serialize($a);
    print($s);
?>

输出的是这样一串字符串:O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}

构造payload:code===O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}==发送,返回如下页面
在这里插入图片描述
这和上面__wakeup()函数的输出内容一样,调用了该函数,如果知道PHP魔术方法的同学就应该认识这个__wakeup函数(在反序列化时如果存在首先调用执行),就是绕过__wakeup()函数说不定就能够得到flag

百度绕过__wakeup()函数

__wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行

由此重新构造payload:code===O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}==发送
在这里插入图片描述

知识点:序列化,反序列化,序列号字符串的格式,魔术方法(__wakeup())的绕过

相关的知识点

序列化和反序列化

描述:
serialize ( mixed $value ) : string
serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。这有利于存储或传递 PHP 的值,同时不丢失其类型和结构。想要将已序列化的字符串变回 PHP 的值,可使用 unserialize()。

说明:
unserialize ( string $str ) : mixed
参数: 序列化后的字符串。
作用:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。若被解序列化的变量是一个对象,在成功地重新构造对象之后,PHP 会自动地试图去调用 __wakeup() 成员函数(如果存在的话)。

序列化后的字符串格式

具体参照:PHP序列化_serialize_格式详解

对象(object)通常被序列化为:
O:<length>:"<class name>":<n>:{<field name 1><field value 1><field name 2><field value 2>…<field name n><field value n>}
其中<length> 表示对象的类名<class name> 的字符串长度。<n> 表示对象中的属性(字段)个数。

要注意的是:
1.私有字段的字段名在序列化时,字段名前面会加上 \0<declared class name>\0 的前缀。这里 <declared
class name> 表示的是声明该私有字段的类的类名,而不是被序列化的对象的类名,同时\0也要占据一位长度
2.静态字段在序列化时不受影响,即无法被序列化

<?php
    class test {
        public $a='1111';
        static $b='1111';
        private $c=123;
    }
    
    $a=new test();
    $s=serialize($a);
    print($s);
?>

输出:

O:4:"test":2:{s:1:"a";s:4:"1111";s:7:" test c";i:123;}

这个例子刚刚好能够说明上述的注意要点

以上面的结果了解一下字段的含义

O:对象的序列化
4:序列化对象的类名的长度
"test":序列化对象的类名
2:两个可见加的字段()
s:1:"a";s:4:"1111";:字段a的名称和值以及长度,数据类型
s:7:" test c";i:123;:同上,不过由于c是私有的变量,会加上类名

PHP魔术方法

魔术方法:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。
__construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toString(), __invoke(), __set_state(), __clone() 和 __debugInfo() 等方法在 PHP 中被称为"魔术方法"(Magic methods)。在命名自己的类方法时不能使用这些方法名,除非是想使用其魔术功能。

和序列化反序列化有关的函数:

serialize() 函数
serialize() 会检查类中是否存在一个魔术方法 __sleep()。如果存在,该方法会先被调用,然后才执行序列化操作。此功能可以用于清理对象,并返回一个包含对象中所有应被序列化的变量名称的数组。如果该方法未返回任何内容,则 NULL 被序列化,并产生一个 E_NOTICE 级别的错误。__sleep() 方法常用于提交未提交的数据,或类似的清理操作。同时,如果有一些很大的对象,但不需要全部保存,这个功能就很好用。

__wakeup()函数:
unserialize() 会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对象需要的资源。__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

__wakeup()函数绕过

百度上有这样一句话:
__wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行
在早些年这样是一个漏洞曾经被爆出来过

参考链接:
PHP官方文档:https://www.php.net/manual/zh/
PHP序列化_serialize_格式详解:https://blog.csdn.net/Iamduoluo/article/details/8491746?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-1.nonecase
[反序列化篇]反序列化漏洞之PHP反序列化全家桶(理论认知):https://blog.csdn.net/qq_43668710/article/details/105502267
其他大佬的wp:https://blog.csdn.net/wyj_1216/article/details/95320000

*如有不足之处,请告知,转载请表明出处

智者不ru爱河
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php中unserialize返回false的解决方法
10-25
主要介绍了php中unserialize返回false的解决方法,是PHP程序设计中非常经典的问题,需要的朋友可以参考下
攻防世界-unserialize3
weixin_46784800的博客
11-14 904
攻防世界-unserialize3题 _wakeup()函数 顾名思义,与sleep函数相对应,sleep函数用做睡眠,wake_up函数用作唤醒。 在序列化和反序列化的过程中会经常用到wake_up函数,在反序列化时,即执行 unserialize() 函数时,会首先检查实例化对象中是否含有wake_up函数,若含有,则首先调用执行wake_up函数。 wake_up函数的作用: 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。 序列化: 将对象转换成字符串。字符串包括 属性
unserialize3-攻防世界
最新发布
szhangliwenya的博客
03-21 29
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。总之,序列化像一种翻译,就像陌生人之间交流,我们会选择对方能听懂的语言,想方设法让对方能听懂,如果你和我熟悉,可能你和我之间有一套独特的交流方式,这对他人来说复杂的,我们转换成他人(另一个,不同的,不认识的平台)能听懂得的语言,最好是广泛应用的语言;非序列化传输:传输的数据简单数据类型(如整形,字符串等),或应用程序已经约定好了一种特定的数据格式,那么可以直接将数据以原始的格式进行传输,无需序列化。
chrome-unserialize-php-crx插件
04-02
语言:English 将php-serialized数据转换回用于人类可读的东西。 可以选择var_export或json 将php-serialized数据转换回用于人类可读的东西。 可以选择var_export或json 无法解决循环参考(如果真的需要,请在Github上提出问题) 谢谢: http://extension sizr.com. https://github.com/bd808/php-unserialize-js. http://locutus.io/php/var_export. github:https://github.com/vicksonzero/chrome-unserialize-php. 更新1.1.0. - 固定var_export库未引用对象键
PHP反序列化小做
qq_74020399的博客
05-18 152
绕过方法:在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。原理:_wakeup()函数若不绕过则会将马上就要反序列化的字串中file给你替换为index,这样就会导致页面回到当前页面。在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数。wakeup():反序列化之前检查执行的函数,不论如何都会优先执行wakeup()方法。
攻防世界-unserialize3 (php反序列化)
qq_51979295的博客
09-17 332
php反序列化;web安全
学习笔记 | PHP反序列化漏洞
m0_57133419的博客
08-11 156
其中wakeup()函数漏洞原理是类对象属性个数超过实际个数,也就是其中的类名称后面跟的数字就是属性,修改为2时,不执行wakeup函数。就不会输出bad request,如果用没修改过的序列化语句就会输出bad request。看到wakeup函数,先构造序列化语句输出。攻防世界unserialize3
ctf每日练习-第一天
想变得强大,虽然现在还弱不禁风
08-28 530
unserialize3(来自xctf web进阶区) unserialize3题目链接 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 原理: PHP反序列化漏洞:执行unserialize()时,先会调用__wakeup()。 当序列化字符串中属性值个数大于属性个数,就会导致反序列化异常,从而跳过__wakeup()。 本题_wakeup会执行exit(),所以要绕
攻防世界-web-高手进阶区-unserialize3
wyj_1216 House
07-10 859
题目 writeup class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } 分析上述代码,发现:_wakeup() 考虑反序列化 <?php class xctf{ public $flag = '111'; public function __wakeup(){ exi...
XCTF靶场实战(1)
weixin_51339377的博客
03-29 1237
新手练习区 1 禁用js 2 robots.txt在网站根目录 里面可以规定搜索引擎看或者不看什么内容 3 xxxx.txt.bak index.phpsxxxx.rar.zip.7z.tar.gz.bak.txt.swp github www.xxx.com/.git/config 苹果电脑 .DS_Store 文件/目录泄露 svn文件泄露 subversion,开源代码控制系统 www.xxx.com/.svn/entires ...
xctf攻防世界 Web高手进阶区 unserialize3
l8947943的博客
07-24 9263
深度剖析PHP序列化和反序列化
var-exporter:VarExporter组件允许将任何可序列化PHP数据结构导出为纯PHP代码。 这样做时,它保留了与PHP的序列化机制(__wakeup,__ sleep,Serializable)相关的所有语义。
02-05
虽然这样做,它保留了与PHP的序列化机制(相关联的所有语义__... 使用此组件而serialize()或是性能:多亏了OPcache,所产生的代码比使用unserialize()或igbinary_unserialize()显着更快,内存效率更高。 与var_export
php.ini-development
05-08
3. A number of predefined registry keys on Windows (As of PHP 5.2.0) ; 4. Current working directory (except CLI) ; 5. The web server's directory (for SAPI modules), or directory of PHP ; (otherwise ...
攻防世界 unserialize3
wusimin432503的博客
05-08 216
如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行。
XCTF-攻防世界CTF平台-Web类——10、unserialize3(反序列化漏洞绕过__wakeup()函数)
Onlyone_1314的博客
11-21 2367
打开题目地址: 发现是一段残缺的php代码 题目名称unserialize3就是反序列化,要求我们通过反序列化漏洞绕过__wakeup()函数。 相关概念: 序列化:   序列化(Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 php的序列化和反序列化   php的序列化和反序列化由serialize()和unserialize()这两个函数来完成。s
攻防世界-Webunserialize3解题思路
一个手掰橙的博客
09-23 2736
CTF解题思路
攻防世界-webunserialize3
weixin_73625393的博客
10-27 411
unserialize()反序列化函数会检查是否存在一个_wakeup()方法。//输出被序列化的对象(a)public function __wakeup(){ //定义公有的类的方法_wakeup()题目中的代码目前没有看见序列化函数,因此传递参数需要自己传递已经序列化的参数,题目中已经提示,传参到code。O::“”::{S:…根据代码审计,构造出来序列化序列后,不能给_wakeup()执行,否则会返回bad request。
攻防世界unserialize3
m0_74979597的博客
07-12 1631
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。序列化将数据结构或对象转换为字节流或字符串,而反序列化将字节流或字符串转换回原始数据结构或对象。在计算机科学中,序列化和反序列化是非常重要的概念,因为它们允许我们在不同的应用程序之间共享数据。例如,当我们将数据从一个应用程序发送到另一个应用程序时,我们需要将数据序列化为可传输的格式,然后在另一个应用程序中反序列化它以将其还原为原始数据结构或对象。
CTF_Web攻防世界高手区进阶题WP(9-14)
AFCC_的博客(Web_Dog)
08-08 3005
持续更新ing 0x09 PHP2 题目只有一句话,Can you anthenticate to this website?,其实说实话没什么思路,根据dirsearch的结果,只有index.php存在,里面也什么都没有,各路前辈说index.phps存在源码泄露,于是看了看。 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode
pure_color xctf
07-16
### 回答1: pure_color xctf是一个CTF比赛平台,致力于举办和推广网络安全竞赛。 pure_color xctf的目标是为安全爱好者和专业人士提供一个学习、切磋和交流的平台。这个平台上举办的比赛覆盖了各种网络安全领域,包括但不限于网络攻防、密码学、逆向工程等。通过参与这些比赛,参赛者可以提升自己的技能,了解最新的安全威胁和攻击技术,锻炼解决问题的能力。 pure_color xctf的比赛模式多样,可以是个人或团队参与。参赛者需要在限定的时间内完成一系列的题目,这些题目可能包含漏洞分析、编程挑战、数据分析等。比赛过程中,参赛者需要运用各种技术手段,如渗透测试、代码审计、漏洞利用等,解决题目的要求。参赛者不仅需要具备网络安全相关的知识,还需要具备良好的团队合作和解决问题的能力。 此外,pure_color xctf也为参赛者提供了一个交流平台。比赛期间,参赛者可以在平台上与其他选手交流经验、讨论解题思路。参赛者也可以通过竞赛结果来评估自己的能力,并与其他选手进行切磋比拼。 总之,pure_color xctf是一个举办网络安全竞赛的平台,旨在为安全爱好者和专业人士提供学习和交流的机会,促进网络安全技术的发展。 ### 回答2: pure_color xctf 是一项竞技性的网络安全挑战赛。XCCTF 是全球知名的网络安全竞赛组织之一,而 pure_color 是该竞赛组织内的一项赛事。该赛事旨在提升参赛者的网络安全技能和知识,让他们在一个仿真的网络环境中进行攻防对抗。 在 pure_color xctf 中,参赛队伍将根据题目要求进行网络攻击和防御。这些题目有不同的难度级别,并涵盖了各种不同的网络安全技术和攻击类型。参赛队伍将需要利用他们的知识和技能,像真实的黑客一样去攻击系统漏洞,获取目标系统内的敏感信息或是直接控制目标系统。同时,他们也需要通过搭建防御策略和系统来保护自己的系统免受攻击。 pure_color xctf 不仅仅是一个交流学习的平台,也是一个展示能力的舞台。优胜的参赛队伍将会被邀请参加更高级别的网络安全竞赛和会议,进一步提升他们的技能并扩展职业网络。此外,pure_color xctf 也为参赛者提供了一个找到职业机会的平台,很多安全公司和组织会在赛事期间招聘优秀的选手。 总而言之,pure_color xctf 是一个有挑战性的网络安全竞赛,旨在通过攻击和防御对抗提升参赛者的技能,并为他们提供职业发展和展示的机会。同时,这个赛事也在促进网络安全领域的交流和合作,为提升整个网络安全行业的水平做出贡献。 ### 回答3: pure_color xctf 是一个CTF(Capture The Flag,夺旗赛)竞赛平台。CTF是一种网络安全竞赛,旨在让参赛者通过解决一系列的密码学、逆向工程、漏洞利用等问题来获取旗标,比赛者可以通过这些旗标来获取积分并竞争排名。 pure_color xctf 平台是一个为CTF竞赛提供的一个在线环境,类似于一个实验室,用于举办CTF比赛。在这个平台上,参赛者可以注册账号并加入已经发布的CTF赛事中。赛事中的题目被分为不同的难度级别,涵盖了各种安全领域的知识。参赛者需要通过解决题目中的任务来获取旗标,并将其提交到平台上进行验证。在比赛结束后,将根据参赛者解决的题目数量、用时、积分等因素来计算最终排名,并颁发奖励给获胜者。 pure_color xctf 提供了逼真的仿真环境,使得参赛者能够在一个安全的网络环境下进行实时的攻防演练。平台上的题目多样化且具有挑战性,旨在让参赛者将所学的理论知识应用到实际场景中去,并培养解决问题和团队合作的能力。同时,pure_color xctf 还为参赛者提供了交流平台,方便他们在比赛过程中与其他参赛者交流经验、技巧以及解题思路。 总之,pure_color xctf 是一个提供CTF竞赛平台的在线环境,旨在鼓励参赛者在安全领域中深入学习和实践,并通过解决各种挑战赛题目来提升技能和知识水平。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值