[web] Web_php_unserialize

最新推荐文章于 2024-02-21 23:05:16 发布
最新推荐文章于 2024-02-21 23:05:16 发布
阅读量774 收藏 2
点赞数 1
分类专栏: CTF web漏洞 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/107115626
版权
本文主要探讨了PHP中的Web_php_unserialize相关安全问题,包括反序列化绕过数字的技巧,如何绕过__wakeup()函数,以及serialize的特性和相关EXP的构建。通过增大对象属性的个数来破坏属性检查,实现对__wakeup()的绕过,并提到了在PHP 7中这一方法不再有效。同时,文章提到了对象序列化的具体格式和可能遇到的00截断问题。
摘要由CSDN通过智能技术生成

Web_php_unserialize

文章目录


源码如下:
在这里插入图片描述
知识点: 

1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数)
2、__destruct():当对象被销毁时会自动调用。(析构函数)
3、__wakeup():unserialize() 时会自动调用

4.  正则 : /[oc]:\d+:/i
	\d  是匹配一个数字
	+表示一个或多个
	i忽略大小写(修饰符)
	[xyz]字符集合,匹配所包含的任意一个字符(x,y,z)
	正则表达式中"/"是表达式开始和结束的标记
	
5. 	preg_match 返回1 / 0
	preg_match_all 返回 0/匹配次数
如 : preg_match("/php/i", "PHP is the web scripting language of choice.")
两个函数用法一样

flag在 fl4g.php

想到了正则表达式绕过, 但是就卡在这了.后面也没想到绕过正则后构造什么payload

这恰好是这题的两个考察点

反序列化绕过数字

"O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"

----> "O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}"

+号绕过

这里利用了 unserializer 的一个特性

具体可参考:

https://www.phpbug.cn/archives/32.html

https://www.guildhab.top/?p=990

绕过 __wakeup() 函数

参考:

CVE-2016-7124 https://bugs.php.net/bug.php?id=72663

创建对象之后 , 对对象的属性检查 , 若属性检查通过 , 就调用 __wakeup() 方法

若对象属性检查不通过 , 则会跳出 object_common2() 函数 , 不再调用 _

最低0.47元/天 解锁文章
lonmar~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php_igbinary-php5.5版本
07-25
中添加`extension=php_igbinary.dll`(对于Windows系统)或`extension=igbinary.so`(对于Unix/Linux系统),然后重启Web服务器。 总的来说,`igbinary`扩展是提高PHP应用程序性能的一个有效工具,尤其在处理大量...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serializeunserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
Web_php_unserialize攻防世界
bbzzqqii的博客
06-02 777
攻防世界web进阶区Web_php_unserialize做题经验分享
WEB:Web_php_unserialize
sleepywin的博客
07-15 1151
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配。是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。
Web_php_unserialize
m0_56107268的博客
05-04 931
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
攻防世界之Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3230
攻防世界WP
web | CTF】攻防世界 Web_php_unserialize
最新发布
weixin_46301214的博客
02-21 976
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
php_igbinary 5.3-7.1版本扩展
04-10
4. **Web服务**: 在API调用中,igbinary序列化的数据可以作为高效的数据传输格式。 ### 四、兼容性与安装 1. **版本兼容**: `php_igbinary`扩展支持PHP 5.3到PHP 7.1,这意味着它能在广泛的老版本和新版本的PHP...
php5.6_redis_扩展文件
10-20
相比传统的PHP序列化(如serializeunserialize),igbinary能显著提高性能,因为它产生的数据占用更少的空间,处理速度也更快。在Redis中使用igbinary扩展可以有效降低存储成本和提高数据交换的效率。 2. **...
php_redis.dll php_igbinary.dll
12-08
传统的PHP序列化方法使用PHP内建的serialize/unserialize函数,但这种格式在内存占用和传输速度上效率较低。igbinary则是一种更高效的数据序列化协议,它能够将PHP的数据结构转化为二进制形式,从而在序列化和反序列...
攻防世界-----Web_php_unserialize
yanbai3的博客
01-04 1132
攻防世界-----Web_php_unserialize 开始刷web题,发现新世界,记录一下 1.序列化(serialize)和反序列化(unserialize) 序列化就是将对象转化为字节序列/字符串,在序列化对象之前,对象的类要实例化/定义过,字符串中包括了类名、对象中所有变量值,但不包括方法。而反序列化后,会将字符串转换回变量,并重建类或对象。 2.正则表达式 正则表达式是匹配模式,要么匹配字符,要么匹配位置。 建议查看https://juejin.cn/post/68449034871557324
攻防世界web进阶_Web_php_unserialize
shayebudon的博客
12-11 2109
查看代码 首先定义了一个Demo类, 有一个注释,提醒我们flag在fl4g.PHP中, Demo中的_destruct如果Demo类被销毁,那么就会高亮显示file所指向的文件的内容 _wakeup当进行反序列化时 自动执行所以要绕过_wakeup 变量var的传入 首先进行base64加密 然后preg_match匹配函数 如果匹配上 就“stop hacking” 否则unserialize($var) preg_match('/[oc]:\d+:/i', $v...
攻防世界Web_php_unserialize
qq_51283187的博客
08-01 170
攻防世界Web_php_unserialize 这个是序列化的一个很经典的题目 这是网站源代码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this
攻防世界——Web_php_unserialize
Wking
09-03 100
1.代码审计 发现必须构造Demo传入fl4g.php才能得到flag 同时要绕过匹配和反序列化的函数 2.构造绕过 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight.
攻防世界 Web_php_unserialize的坑
a3320315的博客
09-26 3409
题目要求传入的参数先base64解码,然后再反序列化。 题目中的class有一个私有变量,我知道最后打印出来的序列化内容会在类名前后加%00。 (ps:以前做相关序列化的题是直接GET传入参数,所以浏览器自动解码%00)但是今天我是先把%00加进去再去别的网站进行base64编码,这就是问题所在,编码时不会把%00当做一个特殊字符,结果就是死活不对。其实直接在php里面编码就行了。(菜得真实) ...
XCTF-高手进阶区:Web_php_unserialize(详解)
1stPeak's Blog
02-29 3946
代码审计: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_fi...
记xctf_web Web_php_unserialize,关于php反序列化的思考
fly夏天的博客
12-13 1630
先来看题目,题目说是php_unserialize可见是php序列化的题目。 打开网页时一段源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } functi...
0ctf_2016 _Web_unserialize
怪味巧克力的博客
07-09 2725
0x01 拿到题目第一件事是进行目录扫描,看看都有哪些目录,结果如下: 不少,首先有源码,我们直接下载下来,因为有源码去分析比什么都没有更容易分析出漏洞所在。 通过这个知道,它一共有这么几个页面,首页登录页面,注册页面,update更改信息页面,这几个页面是我们能够直接接触到的,那想必flag应该在另外几个页面中,稍后我们分析。先来看看网站页面都是什么样子。 登录页面: 注册页面: 更改信息页面需要我们先登录,那我们就先随便注册一个,然后进去看看 到这里,基本上几个页面要进行的基本操作我们知道
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值