PHP反序列化部分题目解析

最新推荐文章于 2025-09-23 21:30:16 发布

原创

最新推荐文章于 2025-09-23 21:30:16 发布 · 638 阅读

10 ·

CC 4.0 BY-SA版权

文章标签：

#php

文章详细解析了三道PHP编程比赛中的反序列化题目，涉及如何利用魔术方法、构造payload绕过安全检查获取flag。第一题通过控制`lt`和`a`变量，第二题利用`__wakeup`的特性，第三题构造特定序列化对象以满足特定条件。

PHP反序列化部分题目解析

1.[SWPUCTF 2022 新生赛]1z_unserialize

首先进入靶场后，我们可以直接看到题目的php源码如下：

<?php
 
class lyh{
   
   
    public $url = 'NSSCTF.com';
    public $lt;
    public $lly;
     
     function  __destruct()
     {
   
   
        $a = $this->lt;

        $a($this->lly);
     }
    
    
}
unserialize($_POST['nss']);
highlight_file(__FILE__);
 
 
?>

稍加分析，我们可以知道在实现nss反序列化的同时，会触发__destruct()的魔术方法将lt的值赋给a，然后调用a中存储的函数，并将lly属性的值作为参数传递给该函数，由此我们想到把a变成system();this->lly变成ls就可以了

进行构造：

<?php

class lyh{
   
   
    public $url = 'NSSCTF.com';
    public $lt="system";
    public $lly="cat";

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

刘桑没有烦恼

关注关注

5
点赞
踩
10

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【网络安全 | CTF】记一次PHP序列化反序列化解题详析

等风来

08-24

5963

代码开门见山给出backdoor函数，而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发如何实现对象被销毁呢？当序列化后的语句被反序列化之后，对象会被销毁，从而触发destruct方法所以思路就是：在pipimi类中构造一个对象，当pipimi中的destru

NSSCTF平台反序列化

qq_52772100的博客

04-09

396

简单的反序列化题目

1 条评论您还未登录，请先登录后发表或查看评论

[SWPUCTF 新生赛]ez_unserialize 第一次解题wp

最新发布

2501_91354876的博客

09-23

1727

摘要：通过分析靶机robots.txt发现/cl45s.php文件，审计其PHP代码发现存在反序列化漏洞。代码定义了一个wllm类，当admin属性为"admin"且passwd为"ctf"时会输出flag。利用PHP序列化特性构造payload：O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:"ctf";}，通

PHP反序列化CTF例题

bwxzdjn的博客

03-25

6435

用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例，加深对魔术方法等相关知识的理解。另外，还会和xss跨站脚本的知识进行融合。

从一道CTF题学习PHP反序列化漏洞-附件资源

03-02

从一道CTF题学习PHP反序列化漏洞-附件资源

CTF-PHP反序列化

m0_65336233的博客

10-18

1686

CTF-PHP反序列化

CTF-php反序列化 (下)

2301_81556781的博客

09-15

1349

这个地方，正常逻辑是3只有一个字符，但是却被标注为28个，那么在反序列化的时候，就会出现报错，但是此题在反序列化之前会对msg的参数进行替换操作，会将4个字符的fuck替换5个关字符的loveu，这样的话本来缺少的27个字符，就会被经过增加替换而多出来的27个字符顶替，正好满足136=109(love)+27(u)，而后面的27个字符也就顺理成章的替换了后面的token。"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));

PHP反序列化-CTF-攻防世界-unseping

theenderofroot的博客

05-18

415

_wakeup方法使用waf方法对$args的内容进行了过滤，过滤掉了| &;__destruct方法检测ping是否在$method中，并调用了名为$method的方法，以数组$args中的值作为参数。综合来看就是通过$method和__construct来调用构造的ping方法，接着通过$args作为输入口进行命令的输入。此时这个最终的payload的中，我们采用单双引号绕过正则过滤，${IFS}绕过空格过滤，printf绕过/过滤。此处使用了${IFS}绕过了空格过滤，返回结果如下。

php反序列化1_常见php序列化的CTF考题

书山有路勤为径，学海无涯苦作舟

11-25

1990

本质上serialize()和unserialize（）在php内部的实现上是没有漏洞的，漏洞的主要产生是由于应用程序在处理对象，魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时，那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法，造成意想不到的危害。__toString() 是魔术方法的一种，具体用途是当一个对象被当作字符串对待的时候，会触发这个魔术方法以下说明摘自PHP官方手册。

pikachu靶场—PHP反序列化篇

2401_87588238的博客

08-26

523

PHP反序列化漏洞利用分析：通过serialize()将对象转为字符串，unserialize()还原时若用户可控输入且存在魔法函数（如__destruct()），可能执行恶意代码。示例中，构造包含XSS脚本的序列化字符串，当对象销毁时触发弹窗攻击。该漏洞需结合代码审计，重点关注反序列化操作和魔法函数调用场景，防范措施应对用户输入严格过滤。

CTF中的反序列化题目

weixin_50372036的博客

06-25

1157

其次是wakeup，wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了，但是注意这里file 的类型是private，所以打印出来的串是有不可见字符%00的，不要复制出来自己base，不然结果就不一样了。方法有一个CVE漏洞，CVE-2016-7124，在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行，即当前函数中只有一个参数$flag，若传入的序列化字符串中的参数个数为2即可绕过。传入s中，就得到了执行phpinfo后的界面，完成了执行流程的改变。

某CTF---php反序列化字符串溢出

3tefanie的博客

12-28

3071

【我们的言语，既会千山万水，迷障横生，也能铺路搭桥，柳暗花明。故而与亲近之人朝夕久处，不可说气话，不可说反话，不可不说话。】

CTF-PHP反序列化漏洞4-实例理解POP链(经典赛题)

Eason_LYC安全白帽子的成长博客

05-08

3556

悲观者预言失败，十言九中。乐观者创造奇迹，一次即可。一个人的价值，在于他所拥有的。可以不学无术，但不能一无所有！关注WEB安全、网络攻防。我的专栏文章知识点全面细致，逻辑清晰、结合实战，让你在学习路上事半功倍，少走弯路！追求技术至上，这是我们理想中的极乐世界~（关注我即可加入社区）本专栏打破以往CTF速成或就题论题模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点，为后续自学或快速刷题备赛，打下坚实的基础~

PHP反序列化【原理+CTF实战】

2301_80127209的博客

04-19

1645

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。序列化的目的是方便数据的传输和存储，在PHP中，序列化和反序列化一般用做缓存，比如session缓存，cookie等.进行绕过，（在赛后我把题给Ssh1y写了，他的利用方式是nc反弹个shell，属实是开拓了我的眼界)。环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等。”，这显然就无法继续利用了。编码后在前部加7个1。

反序列化学习笔记【一文打通ctf中的反序列化题目】

jayq1的博客

07-21

9950

本文包含反序列化的各类题目，比如基础的php反序列化 反序列化字符逃逸 phar反序列化 Pickle反序列化师傅们轻点喷~

php反序列化漏洞典型例题

m0_62284238的博客

10-28

1184

ctfhub-技能树-pklovecloud引用题目：2021-第五空间智能安全大赛-Web-pklovecloud。

php-SER-libs-main反序列化靶场通关详细思路

qq_73767109的博客

05-30

7052

这里先是要把my类实例化到body中，而project要是my中不存在的方法，理应随便赋值但是在触发__call后call需要输入两个参数，name可以自行赋值，但是func就要在触发时就有参数，所以在给project赋值的时候应该赋参数这样在。主要利用的是session.upload_progress.enabled 当该设置为on 的时候，在向服务器上传任意一个文件的时候php会把该上传文件的详细信息(如上传时间，文件名等)储存在session中，而当我们以。新手学习反序列化

【网络安全 | CTF】CTF极客大挑战2019PHP解题详析（Dirsearch+php反序列化）

等风来

08-24

7644

同时，因为private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化（即构造POC）时，类名和字段名前面都会加上ascii为0的字符（不可见字符）construct 是构造函数，在对象被创建的时候自动调用，进行类的初始化，也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格，那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示：有一个良好的备份网站的习惯。

SWPUCTF 2022新生赛 web部分wp

weixin_44770698的博客

01-16

4919

SWPUCTF 2022新生赛

HUBUCTF新生赛checkin题解：PHP反序列化绕过分析

这里需要特别强调PHP序列化格式的基本结构： - `a:n:{}` 表示数组，包含n个键值对； - `s:n:"value"` 表示长度为n的字符串； - `b:1;` 或 `b:0;` 分别代表布尔值true和false； - 对象则用`O:`开头，但本题若仅反序列...