[web] Web_php_unserialize

最新推荐文章于 2024-06-25 04:11:12 发布
最新推荐文章于 2024-06-25 04:11:12 发布
阅读量779 收藏 2
点赞数 1
分类专栏: CTF web漏洞 文章标签: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/107115626
版权
本文主要探讨了PHP中的Web_php_unserialize相关安全问题,包括反序列化绕过数字的技巧,如何绕过__wakeup()函数,以及serialize的特性和相关EXP的构建。通过增大对象属性的个数来破坏属性检查,实现对__wakeup()的绕过,并提到了在PHP 7中这一方法不再有效。同时,文章提到了对象序列化的具体格式和可能遇到的00截断问题。
摘要由CSDN通过智能技术生成

Web_php_unserialize

文章目录


源码如下:
在这里插入图片描述
知识点: 

1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数)
2、__destruct():当对象被销毁时会自动调用。(析构函数)
3、__wakeup():unserialize() 时会自动调用

4.  正则 : /[oc]:\d+:/i
	\d  是匹配一个数字
	+表示一个或多个
	i忽略大小写(修饰符)
	[xyz]字符集合,匹配所包含的任意一个字符(x,y,z)
	正则表达式中"/"是表达式开始和结束的标记
	
5. 	preg_match 返回1 / 0
	preg_match_all 返回 0/匹配次数
如 : preg_match("/php/i", "PHP is the web scripting language of choice.")
两个函数用法一样

flag在 fl4g.php

想到了正则表达式绕过, 但是就卡在这了.后面也没想到绕过正则后构造什么payload

这恰好是这题的两个考察点

反序列化绕过数字

"O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"

----> "O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}"

+号绕过

这里利用了 unserializer 的一个特性

具体可参考:

https://www.phpbug.cn/archives/32.html

https://www.guildhab.top/?p=990

绕过 __wakeup() 函数

参考:

CVE-2016-7124 https://bugs.php.net/bug.php?id=72663

创建对象之后 , 对对象的属性检查 , 若属性检查通过 , 就调用 __wakeup() 方法

若对象属性检查不通过 , 则会跳出 object_common2() 函数 , 不再调用 __wakeup() 函数 . 由于对象及其属性在 object_common1() 中已经被创建 , 因此这里对象将会被销毁 , 从而触发析构函数<

最低0.47元/天 解锁文章
lonmar~
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2413
最近开始刷攻防世界的web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
Web_php_unserialize(攻防世界)
m0_70819573的博客
02-21 356
在 PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。2.主要有两个可绕过的点,preg_match和_wake up的绕过。(2)preg_match绕过。(1)_wake up的绕过。1.打开环境,审计代码。
Web_php_unserialize
最新发布
2401_82645688的博客
06-25 449
if (isset($_GET[‘var’])) { //检查是否通过get方式传参。//将var通过base64编码。//绕过wakeup。
【攻防世界】Web_php_unserialize
m0_74979597的博客
09-21 299
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
攻防世界-web-Web_php_unserialize
mlws1900的博客
07-19 399
获取环境 很明显,看题目就是和php序列化有关的get请求接受一个var值,base64编码解码,而且对’/[oc]:\d+:/i’进行过滤,然后反序列化,到__weakup()函数,并且提示flag就在fl4g.php里面,所以构造payload 构造一下payload 上面为测试,显示空白页面,base64后显示stop hacking ’/[oc]:\d+:/i’并未绕过,看了其他wp,发现只需要在类之前加上+即可 后面的数字自然更改 综合payload就是
攻防世界-Web-Web_php_unserialize
七堇年的博客
04-15 2145
攻防世界-Web-Web_php_unserialize
web | CTF】攻防世界 Web_php_unserialize
weixin_46301214的博客
02-21 989
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
Web_php_unserialize,攻防世界-Web_php_unserialize
weixin_39604276的博客
03-16 82
高手进阶区,Web_php_unserialize题目来源:攻防世界题目直接给出源码:class Demo {private $file = 'index.php';public function __construct($file) {$this->file = $file;}function __destruct() {echo @highlight_file($this->fil...
Web_php_unserialize,Web_php_unserialize
weixin_35748610的博客
03-16 108
Web_php_unserializeclassDemo{private$file='index.php';publicfunction__construct($file){$this->file=$file;}function__destruct(){echo@highlight_file($this->file,true);}function__wakeup(){if($this-...
攻防世界---web---Web_php_unserialize
2201_75556700的博客
06-02 1221
表示的是一个对象,后面的数字4表示类名的长度。通过将4替换为+4,可以使正则表达式无法匹配,从而绕过检查。:最后,将修改后的序列化字符串进行Base64编码,然后输出。类的实例,并对其进行序列化,然后将序列化后的字符串赋值给变量。这样的正则表达式检查。原始的序列化字符串中,6、在源代码中我们需要绕过几个函数。7、运行代码可以看到序列后的结果。4、根据代码中的提示,我们将。的类,该类有一个私有属性。通过将序列化字符串中的。:这行代码的目的是绕过。:这行代码的目的是绕过。
php_igbinary-php5.5版本
07-25
中添加`extension=php_igbinary.dll`(对于Windows系统)或`extension=igbinary.so`(对于Unix/Linux系统),然后重启Web服务器。 总的来说,`igbinary`扩展是提高PHP应用程序性能的一个有效工具,尤其在处理大量...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serialize和unserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
php_igbinary 5.3-7.1版本扩展
04-10
4. **Web服务**: 在API调用中,igbinary序列化的数据可以作为高效的数据传输格式。 ### 四、兼容性与安装 1. **版本兼容**: `php_igbinary`扩展支持PHP 5.3到PHP 7.1,这意味着它能在广泛的老版本和新版本的PHP...
php5.6_redis_扩展文件
10-20
相比传统的PHP序列化(如serialize和unserialize),igbinary能显著提高性能,因为它产生的数据占用更少的空间,处理速度也更快。在Redis中使用igbinary扩展可以有效降低存储成本和提高数据交换的效率。 2. **...
php_redis.dll php_igbinary.dll
12-08
传统的PHP序列化方法使用PHP内建的serialize/unserialize函数,但这种格式在内存占用和传输速度上效率较低。igbinary则是一种更高效的数据序列化协议,它能够将PHP的数据结构转化为二进制形式,从而在序列化和反序列...
CTFShow web151-170 (文件上传)
lonmar的博客
12-02 5507
web151 前端检测类型,burp抓包修改文件名称即可 文件上传思路,先上传一张图片马,再慢慢测试过滤规则(文件名,之类的) web152 思路和前面的一致 web153 上传.user.ini配置文件 原理:https://www.dazhuanlan.com/2020/03/08/5e641cbc397c2/ 防挂 https://www.cnblogs.com/l0nmar/p/14053889.html 发现很容易上传如php5,phtml等类型文件,但是不解析.通过插件识别为ngin
CTFShow web入门123-150 (php特性(二))
lonmar的博客
12-05 4176
CTFSHOW PHP特性篇 web123-150
CTFShow文件包含(web78-88)
lonmar的博客
11-28 3021
web78 php://input + POSTdata命令执行 ?file=php://filter/convert.base64-encode/resource=flag.php web79 大小写绕过str_replace str_replace() 函数替换字符串中的一些字符(区分大小写)。 2. data:// ?file=data://text/plain;base64,PD9waHAgc3lzdGVtKCdjYXQgZmxhZy5waHAnKTs= web80 大小写
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值