CTFSHOW WEB入门反序列化篇

最新推荐文章于 2025-05-17 19:49:36 发布

原创

最新推荐文章于 2025-05-17 19:49:36 发布 · 1.2k 阅读

0 ·

CC 4.0 BY-SA版权

本文是关于CTFShow中Web反序列化问题的入门介绍，涉及不同题目的解决策略。作者分享了如何通过构造参数，利用类的构造方法触发backdoor，并讲述了如何绕过正则限制。此外，还推荐了配合B站视频和Y4的博客学习字符逃逸技巧。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

最近特别懒等开学在高强度更新其他几篇不会写太细反序列化入门文章找Y4爷爷

反序列化

web 254
web 255
web 256
web 257
web 258
web 259
web 260
接下来的字符逃逸部分休息一会过几天在补 (回来了)
web 262
web 263

web 254

直接传

username=xxxxxx&password=xxxxxx

web 255

在这里插入图片描述
首先和254一样传username和password 然后是需要cookie验证VIP身份抓包构造
注：需要对分号进行url编码引号好像不用我当时瞎搞的

web 256

比起上一题只需要将username和password改成不同的就行传参的时候传的还是xxxxx 然后反序列化的时候随便给其中一个赋另一个值即可

web 257

很明显我们要利用到这个类调用到backdoor然后code变量写命令

class backDoor{
   
   
    private $code;
    public function getInfo(){
   
   
        eval($this->code);
    }
}

1、__construct()
触发机制：使用关键字new实例化对象时会自动调用构造方法

差不多就这样直接new一个backdoor

class ctfShowUser{
   
   
    private $username

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Npce3r

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

ctfshow web入门 反序列化

2301_79442654的博客

03-24

800

分析代码：如果用户名和密码参数都存在，脚本会创建一个类的实例$user。接着，调用方法尝试登录。如果登录成功（即用户名和密码与类中的默认值匹配），并且用户被标记为VIP（$isVip为true），则调用方法输出$flag的值。如果登录失败或用户不是VIP，脚本将输出 "no vip, no flag"。要让程序返回true需要确保通过GET请求传递的用户名和密码与 ctfShowUser 类中定义的默认用户名和密码相匹配。默认的用户名和密码都是 'xxxxxx'。

【CTF-WEB基础】ctfshow-web入门-257—反序列化

yu_fly_fish的博客

08-14

260

一起加油！

参与评论您还未登录，请先登录后发表或查看评论

[ctfshow-web]反序列化

nareku的博客

07-25

397

PHP中的魔术变量__sleep()//执行serialize()时，先会调用这个函数__wakeup()//将在反序列化之后立即调用（当反序列化时变量个数与实际不符时绕过）__construct()//当对象被创建时，会触发进行初始化__destruct()//对象被销毁时触发//当一个对象被当作字符串使用时触发__call()//在对象上下文中调用不可访问的方法时触发__callStatic()//在静态上下文中调用不可访问的方法时触发。......

ctfshow web入门——反序列化

m0_74093152的博客

06-25

1833

代码审计，上传username=xxxxxx&password=xxxxxx即可获得flag。

ctfshow——web入门254~258

最新发布

uwvwko的博客

05-17

1170

结果：O:11:"ctfShowUser":3:{s:8:"username";结果：O:11:"ctfShowUser":3:{s:8:"username";然后我们怎么调用他呢，看到ctfShowUser类中的 __destruct，但是如果照他的源代码，class=new info()简单分析就是传入的username和password的值回去当作login方法的参数，然后只要让他们和类中的值一样就好了。

ctfshow—web入门—反序列化

2301_80337881的博客

03-24

1142

别看上面乌拉乌拉一大堆，实际上就是要检测你传入的username和password和类中定义的username和password一不一样。所以直接get传参就可以了。

ctfshow-web入门-反序列化

2301_80470992的博客

03-23

1816

先看题这道题目没什么特殊，甚至用不到反序列化，直接GET传参username和password的值与源码中一样即可完成。

ctfshow web入门反序列化

qq_53063436的博客

11-06

1703

魔术变量： __sleep() //在对象被序列化之前运行 __wakeup() //将在反序列化之后立即调用（当反序列化时变量个数与实际不符是会绕过） __construct() //在类实例化时，会触发进行初始化 __destruct() //对象被销毁时触发 __toString()： //当一个对象被当作字符串使用时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //获得一个类的成员变量时调

【CTFSHOW】web入门反序列化

7ruth0hn的博客

07-25

3796

web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this

ctfshow——反序列化

qq_55202378的博客

02-26

1138

不要相等即可，注意GET传参时也要做修改。这里就是使用GET传输，username赋值为。变量进行反序列化，因此只需要GET传输的变量。以上一题相比，其实就是反序列化的类中的变量。，注意需要对user的值进行URL编码。，password也1赋值为。相等，且反序列化后的。

CTF php反序化简单的入门题目（对初学者非常友好，单一考点）

AAAAAAAAAAAA66的博客

12-28

2424

地址：要注册的 http://www.whalwl.site:8026/ 题目非常明了，只有一个类site 和一个魔法函数_destruct unserialize（反序化前自动调用_destruct）关键在$a($this->title) 明显的是a参数执行（this->title）所以在这里可以构造命令执行，利用assert函数执行system系统命令。构造payload <?php class site{ public $url...

ctfshow-web入门-反序列化（web260-web264）

Welcome To Myon'Blog !

11-08

2081

session.serialize_handler 是用来设置 session 序列化引擎的，在 5.5.4 前默认是 php，5.5.4后默认是 php_serialize，在 PHP 反序列化存储的 $_SESSION 数据时如果使用的引擎和序列化时使用的引擎不一样，就会导致数据无法正确第反序列化，也就是 session 反序列化漏洞。要求传入的内容序列化后包含指定内容即可，在 PHP 序列化中，如果键名或值包含 ctfshow_i_love_36D，那么整个序列化结果也会包含这个字符串。

ctfshow web入门 反序列化（254~257详解）

WRplayeR的博客

04-12

587

php反序列化的简单学习

CTFshow 反序列化wp

会下雪的晴天

01-02

1802

title: CTFshow 反序列化wp date: 2020-12-02 20:03:53 categories: ctfshow link：https://yq1ng.github.io/ 说一些有的没的： payload（有效攻击负载）是包含在你用于一次漏洞利用（exploit）中的ShellCode中的主要功能代码 shellcode（可提权代码）对于一个漏洞来说，ShellCode就是一个用于某个漏洞的二进制代码框架，有了这个框架你可以在这个ShellCode中包含你需要的Payload.

ctfshow-反序列化

LS_Sy的博客

03-23

1243

读取代码后发现题目要求传入的值等于类里面的值，直接get传参即可。

web java反序列化例子与修复建议

你和萤火虫有两个共同点，在我的眼里都会发光，同时，都已经很多年没见了

12-06

834

文章目录搭环境搭环境每次搭环境总是能遇到千奇百怪的问题，真是服了。 1、下载springboot demo，不要搞太新的，依赖包会出问题： 2、解压，使用idea打开，idea需要配置mvn的国内源，查看setting.xml的存放路径然后在相应路径创建setting.xml，有则覆盖，配置如下： <settings xmlns="http://maven.apache.org/SETTINGS/1.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSc

序列化与反序列化web题型

weixin_43940853的博客

07-10

544

unserialize3 这里有个_wakeup函数漏洞,下面考虑如何绕过大括号前面的1 就是xctf的属性变量的个数,下面将它修改为2,code参数提交总结: 找到需要提交的参数,序列化的一些知识,基本代码的编写这道题的目的是绕过wakeup函数 ...

ctfshow 反序列化Web254-255

m0_62584974的博客

04-21

2382

2022/4/17 反序列化漏洞的产生主要有以下两个原因: 1. unserialize 函数的参数可控。 2.存在魔法函数。魔法函数 __construct,__destruct,__call,__callStatic,__get,__set,__isset,__unset,__sleep,__wakeup,__toString,__invoke,__set_state,__clone和__debuginfo等成员函数在PHP中被称为魔法函数。在命名自己的类方法时不能使用这些名称，除非是想使用其

ctfshow php反序列化

m0_74940843的博客

11-12

421

序列化其实就是将数据转化成一种可逆的数据结构，自然，逆向的过程就叫做反序列化。php 将数据序列化和反序列化会用到两个函数serialize 将对象格式化成有序的字符串unserialize 将字符串还原成原来的对象序列化的目的是方便数据的传输和存储，在PHP中，序列化和反序列化一般用做缓存，比如session缓存，cookie等。常用的魔术方法。

ctfshow web入门代码审计 web303

01-04

对于CTFShow平台上Web入门级代码审计题目web303，虽然具体细节未直接提及于提供的参考资料中，但从其他相似题目的解析中可以获得一些通用的解题方法和技术。 #### 题目背景理解通常这类题目涉及的是对给定PHP或...