攻防世界-unserialize3题

最新推荐文章于 2024-03-21 22:39:08 发布
最新推荐文章于 2024-03-21 22:39:08 发布
阅读量908 收藏 2
点赞数 4
分类专栏: writeup 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46784800/article/details/121319791
版权

攻防世界-unserialize3题

_wakeup()函数

顾名思义,与sleep函数相对应,sleep函数用做睡眠,wake_up函数用作唤醒。

在序列化和反序列化的过程中会经常用到wake_up函数,在反序列化时,即执行 unserialize() 函数时,会首先检查实例化对象中是否含有wake_up函数,若含有,则首先调用执行wake_up函数。

wake_up函数的作用:

经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

序列化:

将对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。

反序列化:

在适当的时候把这个字符串再转化成原来的对象。

题目分析

进入靶场后,界面为一段php的代码:

image-20211114162402628

观察代码,定义了一个名为xctf的类,后续代码有一个 ?code= 这时,我们很容易联想到url地址中存在一个名为code的参数,测试一下:

image-20211114162602955

确实页面正常返回,但是返回的页面也没啥鸟用,就是我们自己输入的code值。

但是既然本题与序列化有关,那么code的参数输入之后必然应该经历一次反序列化的过程,不然,wake_up函数的作用就完全丧失了,所以,将class xctf 进行一次序列化,序列化的结果作为参数传入code:

image-20211114163646139

(菜鸟工具最适合菜鸟了!<手动滑稽>)

看一看直接将序列化后的结果传参是什么情况:

image-20211114163857350

果不其然,输出bad request,那么接下来,我们就很容易想到,应该绕过这个wake_up函数,才有可能有新的进展(事实确实如此):

绕过 _wakeup函数

原理:

当序列化字符串表示的对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

序列化后的结果为:

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

其中:

o:表示object,即序列化的对象为一个对象

4:表示名字长度是4

“ xctf ” :即序列化对象的名字

1:表示表示被序列化的对象的属性个数

s:表示string

所以,要想要绕过wake_up函数,将序列化后的值中的1改为2即可:

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

测试结果:

image-20211114164757047成功绕过wake_up,爆出flag!

学编程的小w
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XCTF-高手进阶区:unserialize3
1stPeak's Blog
06-24 3842
XCTF-高手进阶区-第六unserialize3 目标: 了解php反序列化中__wakeup漏洞的利用 了解php魔术方法 __construct(), __destruct(), __call(), __callStatic(), __get(), __set(), __isset(), __unset(), __sleep(), __wakeup(), __toStri...
攻防世界-Webunserialize3思路
一个手掰橙的博客
09-23 2764
CTF解思路
unserialize3-攻防世界
最新发布
szhangliwenya的博客
03-21 34
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。总之,序列化像一种翻译,就像陌生人之间交流,我们会选择对方能听懂的语言,想方设法让对方能听懂,如果你和我熟悉,可能你和我之间有一套独特的交流方式,这对他人来说复杂的,我们转换成他人(另一个,不同的,不认识的平台)能听懂得的语言,最好是广泛应用的语言;非序列化传输:传输的数据简单数据类型(如整形,字符串等),或应用程序已经约定好了一种特定的数据格式,那么可以直接将数据以原始的格式进行传输,无需序列化。
攻防世界unserialize3
m0_74979597的博客
07-12 1684
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。序列化将数据结构或对象转换为字节流或字符串,而反序列化将字节流或字符串转换回原始数据结构或对象。在计算机科学中,序列化和反序列化是非常重要的概念,因为它们允许我们在不同的应用程序之间共享数据。例如,当我们将数据从一个应用程序发送到另一个应用程序时,我们需要将数据序列化为可传输的格式,然后在另一个应用程序中反序列化它以将其还原为原始数据结构或对象。
unserialize3与反序列化漏洞零基础详解
sGanYu
09-08 2728
反序列化漏洞(序列化←→反序列化) 什么是序列化(serialize) 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将状态信息保存为字符串 什么是反序列化(unserialize) 将字符串转换为状态信息
攻防世界-webunserialize3
weixin_73625393的博客
10-27 451
unserialize()反序列化函数会检查是否存在一个_wakeup()方法。//输出被序列化的对象(a)public function __wakeup(){ //定义公有的类的方法_wakeup()目中的代码目前没有看见序列化函数,因此传递参数需要自己传递已经序列化的参数,目中已经提示,传参到code。O::“”::{S:…根据代码审计,构造出来序列化序列后,不能给_wakeup()执行,否则会返回bad request。
chrome-unserialize-php-crx插件
04-02
语言:English 将php-serialized数据转换回用于人类可读的... 可以选择var_export或json ... 可以选择var_export或json 无法解决循环参考(如果真的需要,请在Github上提出问) 谢谢: ... - 固定var_export库未引用对象键
unserialize:PHP 反序列化的 Node.js 端口
05-29
反序列化 ...安装 npm install unserialize 用法 var unserialize = require('unserialize');...s:3:"age";i:82;}')); // { name: 'Andy', age: 82 } 测验 npm test 作者 Andreas Brekken 执照 国际学习中心
php中unserialize返回false的解决方法
10-25
主要介绍了php中unserialize返回false的解决方法,是PHP程序设计中非常经典的问,需要的朋友可以参考下
浅谈php函数serialize()与unserialize()的使用方法
10-25
在php中serialize()与unserialize()函数是一对函数,下面本文章就来为各位同学介绍serialize()与unserialize()函数的使用例子,希望能帮助到各位。
unserialize3解流程
qq_65240014的博客
02-02 786
反序列化又叫对象注入,序列化在内部没有漏洞,漏洞产生是应该程序在处理对象、魔术函数以及序列化 相关的问导致的 当传给 unserialize()的参数可控时,那么用户就可以注入 payload,进行反序列化的时 候就可能触发对象中的一些魔术方法。序列化:对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时 或持久性的存储区,将状态信息保存为字符串。这个代码可以得到一个名为a的xctf对象,对这个对象进行序列化输出,得到它的值。反序列化:将序列化后的字符串还原成对象。
攻防世界unserialize3
m0_73303597的博客
11-06 1879
好难啊
unserialize3(php序列化、反序列化及绕过)
Welcome To Myon'Blog !
03-27 739
PHP基础知识与理解,__wakeup()函数,new函数,PHP的序列化与反序列化,局部变量与全局变量,payload构造,脚本编写,绕过,get传参
unserialize3 反序列化
Rashu99's blog
09-01 276
参考blog 攻防世界 web进阶 unserialize3 目 运行得到 重点关注被序列化的对象属性个数 当序列化字符串当中属性个数值大于实际的属性个数时,就会导致反序列化异常,从而跳过__wakeup函数 与序列化和反序列化的魔术方法主要是: __construct() //当一个对象创建时被调用 __destruct() //对象被销毁时触发 __wakeup() //使用unserialize时触发 __sleep() //使用serialize时触发 __toString() /
攻防世界WEB---unserialize3
Red Rapefruit
07-23 929
攻防世界WEBunserialize3 本文仅记录我自己的学习过程 unserialize3 目: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 给出的是一个代码块页面,而且还是不完整的,在这里我们可以得到两部分内容:1.一个xctf的类;2.要返回一个code参数,还有目提示的反序列化函数unserialize().既然是反序列化,那么code传入很有可能x
xctf 攻防世界 web 新手 unserialize3
weixin_69830800的博客
06-13 240
s:3:'111'}————>s:4:'flag' ---->属性名为flag,长度为4;s:3:'111'---->属性值为111,长度为3 两者中间用分号间隔,整体 用花括号包裹。解释下为什么这样,其中的2是人为扩大的,实际上正常的是1,因为后面的花括号里面的键值对只有1,但是为了本道能够绕过wakeup函数,构造payload让发序列化失败,wakeup就不会触发。s:3:'111'}中键值对的个数,flag是属性的name,111是该属性的value。4--->类对象的长度。
【CTF | 攻防世界unserialize3详析(php序列化反序列化实例讲解)
等风来
05-21 4391
在 PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
攻防世界--unserialize3 fileinclude
tzyyyyyy的博客
02-06 616
攻防世界--unserialize3 fileinclude
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2348
最近开始刷攻防世界web目,遇到一个比较有意思的目。ctf小白大家勿喷 访问目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
攻防世界web新手unserialize3
05-05
这道是一个 PHP 反序列化的目。 目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ... $a = unserialize($_GET['a']);...最后将序列化后的字符串作为 $_GET['a'] 的值传入即可,访问 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

学编程的小w

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值