攻防世界-----Web_php_unserialize

最新推荐文章于 2024-02-21 23:05:16 发布
最新推荐文章于 2024-02-21 23:05:16 发布
阅读量1.1k 收藏 1
点赞数 1
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanbai3/article/details/122300480
版权

攻防世界-----Web_php_unserialize

开始刷web题,发现新世界,记录一下

1.序列化(serialize)和反序列化(unserialize)

序列化就是将对象转化为字节序列/字符串,在序列化对象之前,对象的类要实例化/定义过,字符串中包括了类名、对象中所有变量值,但不包括方法。而反序列化后,会将字符串转换回变量,并重建类或对象。

2.正则表达式

正则表达式是匹配模式,要么匹配字符,要么匹配位置。

建议查看https://juejin.cn/post/6844903487155732494?utm_campaign=sembaidu&utm_medium=sem_baidu_jj_pc_dc01&utm_source=bdpcjjwz04897#heading-13

3.解题

在这里插入图片描述

1.php代码审计

首先定义了Demo类,在类中定义了几个方法construct()wakeup()destruct()。在这里我们要知道,php中类实例化的时候,首先运行wakeup()函数,在序列化时先运行sleep()函数,在反序列化时先运行wakeup(),在脚本结束调用destruct()函数。可参考https://blog.csdn.net/weixin_43872099/article/details/105588576?spm=1001.2101.3001.6650.2&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-2.no_search_link&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7ECTRLIST%7Edefault-2.no_search_link&utm_relevant_index=5

继续审计代码,下面的if语句中,先用了base64的解码函数,进行了一次解码,又用一个正则表达式进行过滤,只有base64编码并通过正则表示式才能进行反序列化
在这里插入图片描述

这里的正则表达式’/[oc]:\d+:/i’ 表示了以O或者C开头接:接数字,数字至少出现一次或者无数次,忽略大小写,所以我们将O:4改为O:+4则可通过正则表达式

调用反序列化以后,我们会调用wakeup函数,这里判断file是否为index.php,如果不是则修改为index.php,而由提示可得flag在fla4.php中,我们可以修改序列化字符串中属性1改为2绕过wakeup()函数,脚本结束就可以执行destruct()函数了,最终看到fl4g.php中的内容

需要注意:

public属性被序列化的时候属性值会变成属性名
protected属性被序列化的时候属性值会变成\x00*\x00属性名
private属性被序列化的时候属性值会变成\x00类名\x00属性名
其中:\x00表示空字符,但是还是占用一个字符位置

所以需要使用php进行序列化,以免在线工具序列化将空字符省略

2.过程

直接php在线运行工具,将fl4g.php进行实例化

在这里插入图片描述

用burpsuit进行base编码,并加空格

在这里插入图片描述

提交,得到flag

在这里插入图片描述

snake33333
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 3659
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
攻防世界 web Web_php_unserialize
汗的博客
08-24 610
攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e
Web_php_unserialize
Welcome To Myon'Blog !
03-30 1299
一、知识基础讲解 1、三个魔术方法: (1)__construct()函数 (2)__destruct()函数 (3)__wakeup()函数 2、两个重要常见的PHP函数 (1)str_replace() 函数 (2)preg_match 函数 3、正则表达式 (1)基本模式匹配规则 (2)字符簇 (3)PHP正则表达式的内置通用字符簇表 (4)单个字符匹配 (5)其他常见正则表达式符号 (6)正则表达式中常用的模式修正符 代码审计与脚本编写详细过程 正则匹配的绕过
攻防世界-Web_php_unserialize详解
Mr_helloword的博客
08-10 4391
Web_php_unserialize 源码: <?php class Demo { //定义一个类 private $file = 'index.php'; //变量属性 public function __construct($file) { //类方法 $this->file = $file; } function __destruct() { echo @highlight_file(
Web_php_unserialize攻防世界
bbzzqqii的博客
06-02 783
攻防世界web进阶区Web_php_unserialize做题经验分享
WEB:Web_php_unserialize
sleepywin的博客
07-15 1155
而正则匹配的规则是: 在不区分大小写的情况下 , 若字符串出现 “o:数字” 或者 "c:数字’ 这样的格式 , 那么就被过滤 .很明显 , 因为 serialize() 的参数为 object ,因此参数类型肯定为对象 " O " , 又因为序列化字符串的格式为 参数格式:参数名长度 , 因此 " O:4 " 这样的字符串肯定无法通过正则匹配。是在反序列化操作中起作用的魔法函数,当unserialize的时候,会检查时候存在__wakeup()函数,如果存在的话,会优先调用__wakeup()函数。
攻防世界web进阶_Web_php_unserialize
chy082的博客
08-21 686
攻防世界web进阶_Web_php_unserialize 解题思路 打开之后是一段代码审计 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//构造函数 把里面的参数变成传进来的参数 } function __destruct() { echo @highlight_file($this->file, true); } func
php_igbinary-1.1.1-5.6
12-26
`igbinary`扩展的核心功能在于替换传统的PHP序列化(serialize)和反序列化(unserialize)机制。传统的序列化方式会将PHP变量转化为ASCII字符串,这在处理大量数据时不仅占用更多存储空间,而且在读取和解析过程中...
chrome-unserialize-php-crx插件
04-02
谢谢: http://extension sizr.com. https://github.com/bd808/php-unserialize-js. http://locutus.io/php/var_export. github:https://github.com/vicksonzero/chrome-unserialize-php. 更新1.1.0. - 固定var...
php_igbinary-1.1.1到2.0.8版本大全
12-29
PHP_igbinary是一款高效的数据序列化扩展,专为PHP设计,用于替代默认的PHP序列化方式(如serializeunserialize)。它的主要目的是提高在数据库存储、缓存系统以及跨进程通信中的性能,尤其是在大型和高负载的Web...
php_igbinary-2.0.8-1.0-nts-vc14-x86.zip
11-23
igbinary是一个优化的序列化库,它替代了PHP默认的序列化机制(serialize/unserialize)。传统PHP序列化会将数据转换为文本格式,这在内存和网络传输上都相对较慢。igbinary则将数据编码为二进制形式,大大减少了...
攻防世界Web_php_unserialize(超详细WP)
金 帛的博客
03-02 3246
攻防世界WP
攻防世界Web_php_unserialize
qq_51233573的博客
03-10 2413
最近开始刷攻防世界web题目,遇到一个比较有意思的题目。ctf小白大家勿喷 访问题目链接 是一段php代码 对代码进行初步审计 发现unserialize函数 可以确定是一个php反序列化的利用 由于刚开始学习php的反序列化 对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...
PHP反序列化-(web_php_unserialize)
分享与记录
07-13 1766
题目内容 代码分析 可以很明显地看出这是一道PHP反序列化地题目 首先判断当前是否存在 GET 参数 ” var ” , 若存在则对其进行 Base64 解码后 存入 $var 变量 . 若不存在则输出当前页面源码 对 $var 进行一个正则过滤 , 若通过正则过滤 , 则对其进行反序列化操作, 否则响应提示信息 1. 题目中给出一个 Demo 类 , 需要注意一下其中三个魔术方法 __wakeup() 该方法是PHP反序列化时执行的第一个方法 , unserialize()会先检查是否存在 __
web | CTF】攻防世界 Web_php_unserialize
最新发布
weixin_46301214的博客
02-21 989
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
[web] Web_php_unserialize
lonmar的博客
07-03 779
Web_php_unserialize 源码如下: 知识点: 1、__construct():当对象创建(new)时会自动调用。但在 unserialize() 时是不会自动调用的。(构造函数) 2、__destruct():当对象被销毁时会自动调用。(析构函数) 3、__wakeup():unserialize() 时会自动调用 4. 正则 : /[oc]:\d+:/i \d 是匹配一个数字 +表示一个或多个 i忽略大小写(修饰符) [xyz]字符集合,匹配所包含的任意一个字符(x,y,z
攻防世界web_php_unserialize
06-28
攻防世界web_php_unserialize是一个关于PHP反序列化漏洞的题目,需要掌握PHP反序列化漏洞的原理和利用方法。在这个题目中,可能会给出一个序列化的字符串,需要将其反序列化并进行一些操作,最终达到获取flag的目的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值