【网络安全 | CTF】记一次PHP序列化反序列化解题详析

已于 2024-05-31 09:33:01 修改
阅读量5.7k 收藏 9
点赞数 13
分类专栏: CTF新手入门实战教程 文章标签: web安全 php 序列化反序列化 网络安全 代码审计
于 2023-08-24 16:37:49 首次发布
原创文章,禁止转载,否则保留追究法律责任的权利。
本文链接:https://blog.youkuaiyun.com/2301_77485708/article/details/132475936
版权
本文详细介绍了PHP序列化反序列化的过程,通过一个CTF题目解析了如何利用该漏洞触发特定函数执行。文章首先解释了如何通过构造对象并在`destruct`方法中调用`call`方法来触发`backdoor`函数。接着,讨论了如何利用类名大小写不敏感的特性以及数组参数绕过限制,并通过调整属性个数跳过`wakeup`方法。最后,展示了如何利用内置类`error`进行反序列化并执行命令获取flag。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

姿势

题目给出以下代码:

<?php
error_reporting(0);
function backdoor()
{
   
    $a
了解本专栏 订阅专栏 解锁全文 超级会员免费看
网络安全 | CTF】unserialize3解题php序列化反序列化实例讲解)
等风来
05-21 6584
PHP 中,可以使用 serialize() 函数将对象序列化为字符串,然后保存到文件或传输到其他应用程序中。在 PHP 中,可以使用 unserialize() 函数将序列化后的字符串还原为原始的对象或数据,然后进行处理。对象被序列化并存储为字符串后,如果再次反序列化该字符串并尝试重建相应的对象时,PHP 就会自动调用该对象的。则是将序列化后的数据重新转换为对象、数据结构或变量的过程,以便在程序中进行操作或处理。在反序列化对象时自动调用,用于初始化对象的属性等操作。的对象,该对象有一个属性。
网络安全 | CTFCTF极客大挑战2019PHP解题(Dirsearch+php反序列化
等风来
08-24 7356
同时,因为private 声明的字段为私有字段,只在所声明的中可见,在该的子和该的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
WEB安全-CTF中的PHP反序列化漏洞
最新发布
m0_60984906的博客
04-01 1415
WEB安全CTF中的PHP反序列化漏洞
PHP反序列化CTF例题
bwxzdjn的博客
03-25 6232
代码审计的方式分一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1847
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
PHP反序列化学习笔CTF
就是我的博客
08-26 1614
ctfphp反序列化学习
ctfphp反序列化汇总
2302_78903258的博客
07-19 2178
解题过程:首先需要找到最后的危险函数,看到了在Vox里面的include。然后想要使用include就要调用fun这个函数想要调用fun就要触发__invoke这个魔术方法__invoke() //当脚本尝试将对象调用为函数时触发作为函数就是添加了一个小括号去触发,发现在Petal中__get方法具备这个调用函数的功能,所以需要去触发__get这个方法。
网络安全 | CTF】攻防世界 Web_php_unserialize 解题
等风来
05-28 5700
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标\00(classname)\00,长度+2+名长度,如。
[网络安全 CTF] BUUCTF极客大挑战2019PHP解题(Dirsearch使用实例+php反序列化)_[极客大挑战 2019]php
2401_84971538的博客
05-13 763
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
反序列化学习笔【一文打通ctf中的反序列化题目】
jayq1的博客
07-21 8082
本文包含反序列化的各题目,比如基础的php反序列化 反序列化字符逃逸 phar反序列化 Pickle反序列化 师傅们轻点喷~
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1474
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
CTF-php反序列化 (下)
2301_81556781的博客
09-15 1109
这个地方,正常逻辑是3只有一个字符,但是却被标注为28个,那么在反序列化的时候,就会出现报错,但是此题在反序列化之前会对msg的参数进行替换操作,会将4个字符的fuck替换5个关字符的loveu,这样的话本来缺少的27个字符,就会被经过增加替换而多出来的27个字符顶替,正好满足136=109(love)+27(u),而后面的27个字符也就顺理成章的替换了后面的token。"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
php 反序列化 ctf,CTF-Web-PHP反序列化
weixin_31940835的博客
03-27 534
概念解释PHP 反序列化漏洞又叫做 PHP 对象注入漏洞,我觉得这个表达很不直白,也不能说明根本的问题,不如我们叫他 PHP 对象的属性篡改漏洞好了(别说这是我说的~~)反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。魔法方法construct...
CTF---php反序列化字符串溢出
3tefanie丶zhou的博客
12-28 2957
【我们的言语,既会千山万水,迷障横生,也能铺路搭桥,柳暗花明。故而与亲近之人朝夕久处,不可说气话,不可说反话,不可不说话。】
CTF_Web反序列化学习笔(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 8613
0x00 CTF中的反序列化题目 这题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF-PHP反序列化
m0_65336233的博客
10-18 1525
CTF-PHP反序列化
CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)
Eason_LYC安全白帽子的成长博客
05-08 3165
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各型知识点,为后续自学或快速刷题备赛,打下坚实的基础~
CTF-反序列化
qq_61774705的博客
08-15 5246
反序列化
php反序列化 ctf
03-20
### PHP 反序列化漏洞及其 CTF 利用技巧 #### 背景介绍 PHP反序列化机制允许开发者通过 `serialize()` 和 `unserialize()` 函数来保存和恢复对象的状态。然而,在某些情况下,如果程序未对输入数据进行严格验证,则可能导致安全问题。特别是当恶意用户能够控制传入的序列化字符串时,可能会触发意外的行为。 在 CTF 题目中,`__wakeup()` 和 `__destruct()` 是两个常见的魔术方法,它们可能被用来执行任意代码或实现其他攻击目标[^1]。 --- #### 示例分:`__wakeup()` 方法的作用 以下是给定的一个简单示例: ```php class Example { public $a = 1; public $b = 2; public function __wakeup() { $this->a *= 2; $this->b *= 2; } } $serialized = serialize(new Example()); $unserialized = unserialize($serialized); var_dump($unserialized); ``` 在这个例子中,`__wakeup()` 方法会在对象被反序列化之后自动调用。它的作用是对 `$a` 和 `$b` 属性分别乘以 2。这展示了如何利用反序列化的生命周期钩子函数修改对象状态。 对于 CTF 来说,似的逻辑可以扩展到更复杂的场景,比如文件操作、命令执行或其他危险行为。 --- #### 常见 CTF 中的 PHP 反序列化漏洞利用方式 ##### 1. **利用 `__toString()` 或者 `__invoke()`** 一些定义了这些特殊的方法,可以在特定上下文中隐式调用。例如,如果某个变量最终会被打印出来或者作为参数传递给另一个函数,那么可以通过伪造该变量的内容来触发动态代码执行。 假设存在如下代码片段: ```php class Payload { private $cmd; public function __construct($command) { $this->cmd = $command; } public function __toString() { return shell_exec($this->cmd); // 执行命令并返回结果 } } ``` 此时,如果我们能构造合适的序列化形式并通过 `unserialize()` 加载此实例,则有可能注入自定义指令完成远程代码执行 (RCE)[^1]。 ##### 2. **链式调用与 POP Chain(Property Oriented Programming)** 许多高级挑战涉及创建复杂的关系网——即所谓的“gadget chain”。这意味着需要找到一系列相互关联的对象属性以及其对应的操作流程,从而逐步接近最终目的(如删除敏感资料库表项或是获取服务器权限卡密钥等)。 举个实际的例子来说吧,假如有这么一段脆弱的服务端脚本: ```php <?php error_reporting(E_ERROR | E_PARSE); class FileHandler{ protected $_filename='flag.txt'; public function read(){ echo file_get_contents($this->_filename); } } function deserialize_user_input($data){ @unserialize($data); } deserialize_user_input($_GET['data']); ?> ``` 这里的关键在于理解 `_filename` 成员变量是如何影响整个系统的功能表现出来的。假如我们成功篡改这个字段指向 `/etc/passwd`, 就可以从响应包里读取系统用户的列表信息啦! --- #### 实际解题思路总结 针对上述提到的各种情况,解决这题目通常遵循以下几个原则: - 寻找潜在可操控的数据入口; - 分源码寻找易受攻击之处; - 构建有效的payload尝试突破防线; 住每一步都要仔细推敲每一个细节部分哦~ ---
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值