XCTF-unserialize3

最新推荐文章于 2024-04-05 17:25:20 发布
最新推荐文章于 2024-04-05 17:25:20 发布
阅读量247 收藏 1
点赞数
分类专栏: CTF-Web入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45613760/article/details/107797838
版权

XCTF-unserialize3

看到题目知道考察的是序列化与反序列化的知识

序列化(串行化):是将变量转换为可保存或传输的字符串的过程;

反序列化(反串行化):就是在适当的时候把这个字符串再转化成原来的变量使用。

下面是一个示例

<?php 
    class test
    {
        public $flag = "flag{xctf}";
        public $a = "aaa";
        
    }
 ?>

该处代码序列化后应该为

O:4:"test":2:{s:4:"flag";s:10:"flag{xctf}";s:1:"a";s:3:"aaa";}

此处做一个解释
O:4:"test"指Object(对象) 4个字符:test
:2对象属性个数为2
{}中为属性字符数:属性值

然后我们需要了解魔法方法__wakeup()

PHP中以两个下划线开头的方法,__construct(), __destruct (), __call(), __callStatic(),__get(), __set(), __isset(), __unset (), __sleep(), __wakeup(), __toString(), __set_state,() __clone() __autoload()等,被称为"魔术方法"(Magic methods)。这些方法在一定条件下有特殊的功能

这里只谈一下 __wakeup

__wakeup() 是用在反序列化操作中。unserialize() 会检查存在一个 __wakeup() 方法。如果存在,则先会调用 __wakeup() 方法

__wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作

看题

打开链接后显示如下
在这里插入图片描述
代码定义了一个xctf的类,其中存在 __wakeup方法

__wakeup 会直接退出,并输出 ‘bad request’

根据末尾的一个 ?code= 推知应该是需要构造url

传入序列化后的字符串

__wakeup() 方法会在使用函数unserialize()时自动调用

手动传入一个序列化的字符串试试

序列化如下

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

构造payload

payload=?code=O:4:"xctf":1:{s:4:"flag";s:3:"111";}

构造后跳转如下
在这里插入图片描述

利用__wakeup()漏洞

对应的CVE编号: CVE-2016-7124

  • 存在漏洞的PHP版本: PHP5.6.25 之前版本和 7.0.10 之前的7.x版本
  • 漏洞概述: __wakeup() 魔法函数被绕过,导致执行了一些非预期效果的漏洞
  • 漏洞原理: 当对象的 属性(变量)数 大于实际的个数时, __wakeup() 魔法函数被绕过

于是,payload构造如下,将属性数由1改为2

payload=?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

得到flag
在这里插入图片描述
注意
反序列化知识点补充: 私有属性和被保护的属性,需要加上 \00*\00 。再base64编码。

auxein
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】unserialize3解题详析(php序列化反序列化实例讲解)
等风来
05-21 4546
在 PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
unserialize3与反序列化漏洞零基础详解
sGanYu
09-08 2846
反序列化漏洞(序列化←→反序列化) 什么是序列化(serialize) 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串 什么是反序列化(unserialize) 将字符串转换为状态信息
unserialize3题解流程
qq_65240014的博客
02-02 895
反序列化又叫对象注入,序列化在内部没有漏洞,漏洞产生是应该程序在处理对象、魔术函数以及序列化 相关的问题导致的 当传给 unserialize()的参数可控时,那么用户就可以注入 payload,进行反序列化的时 候就可能触发对象中的一些魔术方法。序列化:对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时 或持久性的存储区,将状态信息保存为字符串。这个代码可以得到一个名为a的xctf对象,对这个对象进行序列化输出,得到它的值。反序列化:将序列化后的字符串还原成对象。
攻防世界——web——unserialize3(反序列化)
最新发布
m0_75007575的博客
04-05 433
一、序列化 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将对象转化为字节序列的过程 二、反序列 把字节序列恢复为对象的过程称为对象反序列
unserialize3(php序列化、反序列化及绕过)
Welcome To Myon'Blog !
03-27 749
PHP基础知识与理解,__wakeup()函数,new函数,PHP的序列化与反序列化,局部变量与全局变量,payload构造,脚本编写,绕过,get传参
unserialize3 反序列化
Rashu99's blog
09-01 277
参考blog 攻防世界 web进阶 unserialize3 题目 运行得到 重点关注被序列化的对象属性个数 当序列化字符串当中属性个数值大于实际的属性个数时,就会导致反序列化异常,从而跳过__wakeup函数 与序列化和反序列化的魔术方法主要是: __construct() //当一个对象创建时被调用 __destruct() //对象被销毁时触发 __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __toString() /
XCTF-HW-pipeline附件
11-09
附件
XCTF-mobile app2
01-03
分析文件3.分析XML文件4.经过验证得到flag5.其他解法 下载地址:点此下载 1.提取文件 更改app安装包后缀为zip 把这3个文件解压出来 然后使用dex2jar将dex文件转换为jar文件,得到一个jar文件,这个文件中包含了大...
XCTF-Mobile】新手练习区-08-app3.rar
08-30
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5087&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/app3
XCTF-Mobile】新手练习区-12.rar
09-01
题目:https://adworld.xctf.org.cn/task/answer?type=mobile&number=6&grade=0&id=5095&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/ctf/hackermind
XCTF-RE】新手练习区-maze
08-03
题目:https://adworld.xctf.org.cn/task/task_list?type=reverse&number=4&grade=0&page=1 我的解题记录:https://www.yuque.com/jianouzuihuai/study/fr45py
【愚公系列】2023年05月 攻防世界-Web(unserialize3
时光隧道
12-27 3万+
反序列化漏洞是一种安全漏洞,存在于那些使用序列化技术的应用程序中。反序列化是将已序列化数据还原回对象的过程。攻击者可以通过构造恶意序列化数据来利用反序列化漏洞,从而在受害者的系统上执行任意代码或者进行远程攻击。攻击者可以通过修改序列化数据中的类名来指定一个恶意的类,该类将在反序列化过程中被实例化并执行其中的代码。攻击者还可以利用在对象反序列化期间执行的构造函数或readObject()方法中的任意代码执行漏洞,来进行恶意代码执行。
攻防世界-Web进阶区-unserialize3
分享与记录
06-14 613
之前其实就记录过一篇反序列化的。PHP反序列化-(web_php_unserialize)那个反序列化的题目,比这个复杂一些。既然好久没练,而且在攻防世界上看到了这个 unserialize3 的题目,就复习一下反序列化吧。先 new 一个对象,然后将其序列化,代码如下: 序列化的结果如下: 表示序列化的对象中只有一个属性,如果待反序列化的字符串中,属性个数与实际不符合,则 失效。因此,将 改为 绕过 。传参结果如下:......
攻防世界unserialize3题解
黑锤的博客
08-14 6147
unserialize3 看题目就知道这是一道反序列化问题,之前也遇到过,也深入理解过,但时间隔了这么久,难免会有些忘记,通过这道题来再次深入序列化与反序列化的问题。 0x00:那么到底什么是序列化,反序列化呢? 先来讲一点为什么要用序列化呢?他到底好在哪里呢?php序列化是为了什么呢? 当然有一点都知道就是为了传输数据更加方便(这种压缩格式化储存当然在数据传输方面更加简单方便),我们把一...
攻防世界 unserialize3
weixin_52268949的博客
01-28 1433
unserialize3 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } ?code= 进入题目给出部分代码,注意发现到有个wakeup()函数,我们要想办法绕过这个函数,wakeup()有个执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行wakeup()函数,这也算是一个绕过点 我们编写exp class xctf { public $flag = '
攻防世界-unserialize3详解
Mr_helloword的博客
08-11 5819
unserialize3 查看源代码: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 这是一个利用反序列字符串来进行绕过的题,根据提示我们要构造code参数,但是需要绕过wakeup函数 **__wakeup()**是PHP的一个魔法函数,在进行unserialize反序列化的时候,首先查看有无该函数有的话 就会先执行他 绕过: 可以通过增加对象的属性个数来进行绕过
学习周记(四)(上)
極品━═☆宏的博客
01-30 845
CTF_Web周练习(二) 从1月13日至1月25日,差不多快两周的时间没有碰这个东西了。好在考完了期末考试,现在有时间了,也该干干正事了,提高提高自己的能力,做点题,写点自己的wp与体会吧,一定要在寒假的时间做到每天进步一点点。I 'm f***ing coming! 先写写自己的计划,一周的时间是七天,按照4、3分配,前四天中前两天做攻防世界的题,后两天做做其他平台的题;接下来的三天自己积累一...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
攻防世界XCTFunserialize3
末初的CSDN博客
03-08 704
首先了解一下一些魔术方法 __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toString(), __invoke(), __set_state(), __clone() 和 __debugInfo() 等...
unserialize3
07-27
- *1* *2* *3* [unserialize3(php序列化、反序列化及绕过)](https://blog.csdn.net/Myon5/article/details/129798095)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值