攻防世界-Web_php_unserialize

最新推荐文章于 2024-06-02 11:24:45 发布
最新推荐文章于 2024-06-02 11:24:45 发布
阅读量479 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49539962/article/details/132520071
版权

原题

解题思路

        注释说了flag存在f14g.php中,但是在wakeup函数中,会把传入的文件名变成index.php。看wp知道,如果被反序列话的字符串其中对应的对象的属性个数发生变化时,会导致反序列化失败而同时使得__wakeup 失效(CVE-2016-7124的漏洞),所以这题其实是一个反序列化的题目。 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。

        初始POC构造为O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}。为触发漏洞改为O:4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}。绕过preg_match 函数O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}(加上“+”)。再用base64编码TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

 

mysmartwish
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
攻防世界(web篇)---Web_php_include
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-07 3420
hello传值 phpmyadmin写马 phpmyadmin变量secure_file_priv值为空,说明可以写入一句话木马 传🐎成功 测试🐎php://input 可以访问请求的原始数据的只读流, 将post请求中的数据作为PHP代码执行利用该方法,我们可以直接写入php文件,输入file=php://input,然后使用burp抓包,写入php代码: file://协议 用于访问本地文件系统,不受allow_url_fopen与allow_url_include的影响即file:// [文..
攻防世界 web Web_php_unserialize
汗的博客
08-24 614
攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
攻防世界---web---Web_php_unserialize
最新发布
2201_75556700的博客
06-02 1241
表示的是一个对象,后面的数字4表示类名的长度。通过将4替换为+4,可以使正则表达式无法匹配,从而绕过检查。:最后,将修改后的序列化字符串进行Base64编码,然后输出。类的实例,并对其进行序列化,然后将序列化后的字符串赋值给变量。这样的正则表达式检查。原始的序列化字符串中,6、在源代码中我们需要绕过几个函数。7、运行代码可以看到序列后的结果。4、根据代码中的提示,我们将。的类,该类有一个私有属性。通过将序列化字符串中的。:这行代码的目的是绕过。:这行代码的目的是绕过。
攻防世界Web_php_unserialize
m0_74979597的博客
09-21 307
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2428
最近开始刷攻防世界web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
攻防世界——Web——Web_php_unserialize
慎铭的博客
02-22 730
题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize.pdf
08-21
在本文中,我们将深入探讨与“信息安全”和“数据安全”相关的主题,特别是关于PHP `unserialize`函数的安全性问题。`unserialize`是PHP的一个内置函数,它用于从存储的表示形式创建PHP值。然而,这个功能在不适当...
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
chrome-unserialize-php-crx插件
04-02
谢谢: http://extension sizr.com. https://github.com/bd808/php-unserialize-js. http://locutus.io/php/var_export. github:https://github.com/vicksonzero/chrome-unserialize-php. 更新1.1.0. - 固定var...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serializeunserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
攻防世界-web-Web_php_unserialize
wuh2333的博客
06-02 702
2.1 __wakeup函数:若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。根据以上分析,我们将Demo后门的1改为2即可绕过__wakeup函数,O:4改为O:+4即可绕过正则,再进行base64编码即可(这里注意一定要再代码中处理,线上以及一些工具上进行base64和php代码中进行base64获取到的结果不一样)
攻防世界 Web_php_unserialize
Jay17的博客
02-24 215
攻防世界 Web_php_unserialize
攻防世界——Web_php_unserialize
weixin_73942557的博客
10-30 186
访问网页以后首先显示这段源码,分析一下代码结构,包含一个类。里面包含了 三个魔术方法:__construct\__destruct\__wakeup 后面的判断中包含了isset魔术方法 ,base64_decode解密,正则表达式判断。 那么现在来思考如何绕过 1、@unserialize($var); @符号抑制了错误输出,所以无法通过这里进行信息获取 2、当调用这个脚本时会触发__wakeup魔术方法,需要对它进行绕过 那么我们通过改变让这个参数大于后面的index.php文件 $f
攻防世界web_php_unserialize
weixin_52268949的博客
02-06 684
web_php_unserialize 进入环境给出源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }
Web_php_unserialize-攻防世界
szhangliwenya的博客
03-22 1121
最好直接替换,不要自己去替换Demo前后有空格自己看不出来,$file 是私有成员序列化之后字符串首尾会多出两个空格 “%00*%00”,所以base64加密最好在代码中执行防止复制漏掉。将O:4:改为O:+4:绕过匹配,将字符串中的属性1改为大于它的正整数 绕过_wakeup。类的实例,其中包含了对象的属性和值。不包含对象或类的序列化字符串,则尝试对其进行反序列化。在序列化字符串中,这通常用于分隔对象或类的名称与后面的属性数据。在 PHP 的序列化字符串中,对象或类后面通常会紧跟一个冒号。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值