分享一篇关于靶场攻防|pikachu反序列化漏洞(非常详细)从零基础到精通,收藏这篇就够了!

原创 已于 2025-06-26 11:44:18 修改 · 546 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #运维 #安全 #web安全 #pyqt

于 2025-06-26 11:30:04 首次发布

分享一篇关于靶场攻防|pikachu反序列化漏洞(非常详细)从零基础到精通,收藏这篇就够了!

难道因为我穿洞洞鞋,她会pikachu,你就一直迷恋她吗?

01

PHP反序列化漏洞

1、PHP反序列化漏洞

在理解这个漏洞前,你需要先搞清楚php 中serialize(),unserialize()这两个函数。

序列化serialize()

序列化说通俗点就是把一个对象变成可以传输的字符串

反序列化unserialize()

就是把被序列化的字符串还原为对象,然后在接下的代码中继续使用。

php反序列化

在概述里作者给我们一个payload,我们提交试一下

或者也可以利用在线php运行工具字节写一个payload,这里需要根据源代码生成一个反序列化字符串

<?php

O:1:“S”:1:{s:4:“test”;s:39:“”;}

成功弹出cookie

02

XXE漏洞

XXE漏洞

XXE(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。在这种攻击中,攻击者利用应用程序对XML输入的处理不当,引入或“注入”恶意内容。这可能导致未授权的数据访问、服务拒绝攻击甚至执行远程代码。XML(可扩展标记语言)是一种常用于Web应用程序的数据格式。XML文档可以定义实体,它们是存储文档中其它地方重复使用的数据的方式。

我们先随便提交个数据并进行抓包

在数据包里我构造了半天xml也构造不出来,还是直接提交我们的payload吧

<?xml version="1.0"?>

直接在输入框中提交

成功读取我们的win.ini文件

03

pikachu URL重定向

pikachu URL重定向

不安全的url跳转

不安全的url跳转问题可能发生在一切执行了url地址跳转的地方。

如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。

url跳转比较直接的危害是:

–>钓鱼,攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站

这个漏洞比较简单,come on,来测一把!

不安全的URL跳转

这几个超链接我们都点一点,当点到“我就是我,放荡不羁的我”时,发现url地址栏中出现了url参数

我们构造payload访问百度

?url=http://www.baidu.com

成功跳转到百度

·END·

今天的pikachu序列化,XXE,URL漏洞就到这里啦,有什么不懂的直接留言评论区,熊哥亲自免费教学,下期见~

题外话

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

在这里插入图片描述

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我们和网安大厂360共同研发的的网安视频教程,之前都是内部资源,专业方面绝对可以秒杀国内99%的机构和个人教学!全网独一份,你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识,而且包含了中级的各种渗透技术,并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频,200多G的资源,不用担心学不全。
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家,需要的可以点这里自取👉:网安入门到进阶资源
————————————————

靶场攻防|pikachu反序列化漏洞(非常详细)从零基础精通收藏了!
Javachichi的博客
06-25 969
如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。–>钓鱼,攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站。今天的pikachu序列化,XXE,URL漏洞就到这里啦,有什么不懂的直接留言评论区,熊哥亲自免费教学,下期见~这几个超链接我们都点一点,当点到“我就是我,放荡不羁的我”时,发现url地址栏中出现了url参数。
分享一篇关于靶场攻防|pikachu反序列化漏洞
QIANDXX的博客
08-20 1053
如果后端采用了前端传进来的(可能是用户传参,或者之前预埋在前端页面的url地址)参数作为了跳转的目的地,而又没有做判断的话就可能发生"跳错对象"的问题。–>钓鱼,攻击者使用漏洞方的域名(比如一个比较出名的公司域名往往会让用户放心的点击)做掩盖,而最终跳转的确实钓鱼网站。今天的pikachu序列化,XXE,URL漏洞就到这里啦,有什么不懂的直接留言评论区,熊哥亲自免费教学,下期见~这几个超链接我们都点一点,当点到“我就是我,放荡不羁的我”时,发现url地址栏中出现了url参数。
渗透入门靶场大盘点(非常详细零基础入门到精通收藏一篇
资深程序员,曾自学JAVA,C#,如今从业于网安行业
07-23 686
如何学习网络安全写给新手朋友入门,有了靶场丰富自己思路,也巩固自己的技术当然新手老手都可以玩玩。这期盘点渗透靶场,排名不分前后还有其他靶场欢迎留言提出!本期是盘点入门必刷后期会盘点圈内所有的靶场以及靶场的writeup欢迎在评论区留言互动!
CTF入门教程(非常详细)从零基础入门到竞赛,看这一篇了!
Python_paipai的博客
12-11 1809
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。MISC(安全杂项)
2025Web渗透学习路线 非常详细,从零基础精通收藏
2401_84205765的博客
09-02 1272
本文为初学者提供系统化的Web渗透测试学习路线,涵盖四大核心模块:基础技能筑基、漏洞原理与利用、工具链实战和实战进阶。首先需掌握Web全栈技术(前端三要素、后端开发、数据库和网络协议),通过建站实践理解系统架构。其次重点学习OWASP Top 10漏洞(如SQL注入、XSS等)及其利用方法,配合靶场训练。工具链部分涵盖渗透测试全流程工具(Nmap、BurpSuite等)和Python自动化脚本开发。最后通过CTF竞赛和SRC实战提升综合能力,形成从理论到实践的完整闭环,助力快速成长为专业渗透测试人才。
2025Web渗透学习路线 非常详细 推荐学习!零基础入门到精通收藏
韩束一叶子
02-17 1181
Web渗透不仅是技术的学习,更是思维的锤炼。通过本文的路线规划,结合每日8小时的高强度训练,你将在6-12个月内具备初中级渗透测试工程师的能力。合法授权是渗透的底线,技术向善是安全人的初心。👇👇👇网络安全产业就像一个江湖,各色人等聚集。
网络安全常见漏洞——反序列化漏洞
A1_3_9_7的博客
09-08 771
要了解反序列化漏洞,首先我们得知道什么是序列化和反序列化,简单来说序列化:就是将对象转化为字符串进行存储;反序列化:就是将字符串转化为对象;反序列化漏洞:就是在反序列化过程中,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足的验证和过滤,导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。一般情况下,应用程序在接受到序列化数据后会使用反序列化操作将数据还原成对象。
攻防|一篇文章带你搞懂蜜罐,从零基础精通收藏了!
Libra1313的博客
03-03 1320
朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把“安全****“”,否则可能就看不到了啦原文由作者授权发表,首发在:先知社区蜜罐是什么?为啥某些行业注重蜜罐?蜜罐的效费比高吗?蜜罐真的是未来的主流吗?安全运营对蜜罐什么态度?这些问题一直困扰着当时攻防演练结束后的笔者。多年笔者立下了flag要讲明白什么是蜜罐,蜜罐有什么用,蜜罐的定位,企业环境下蜜罐的规划;犹记当时鲜衣怒马,流觞赋曲,何其自傲!
零基础小白如何入门CTF,看这一篇了(附学习笔记、靶场、工具包)ctf夺旗赛入门
weixin_42340783的博客
04-16 1016
CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”。CTF靶场
Pikachu靶场-PHP反序列化漏洞
sucker的博客
04-27 1574
函数时,未对输入进行严格校验,导致攻击者构造恶意序列化字符串触发类中的魔术方法(Magic Methods),从而执行任意代码或进行危险操作。// 输出:O:7:"Example":1:{s:12:"Examplecmd";若反序列化的数据来源不可控(如用户输入、Cookie、数据库字段),攻击者可注入恶意对象。,且系统中使用了不安全的PHP魔法方法,容易造成安全漏洞(如代码执行、XSS等)。:攻击者可构造恶意序列化数据,触发类属性覆盖或魔术方法执行。
PHP反序列化漏洞原理(附带pikachu靶场演示)
m0_69043895的博客
04-18 1709
可以理解为程序在执行unserialize()函数是,自动执行了某些魔术方法(magic method),而魔术方法的参数被用户所控制(通过控制属性来控制参数),这就会产生安全问题。:也叫对象注入,就是当程序在进行反序列化时,会自动调用一些函数,但是如果传入函数的参数可以被用户控制的话,用户可以输入一些恶意代码到函数中,从而导致反序列化漏洞。要利用反序列化漏洞,必须向unserialize()函数传入构造的序列化数据(定义合适的属性值)
Pikachu靶场之PHP反序列漏洞详解
m0_46467017的博客
05-31 2329
Pikachu靶场之PHP反序列漏洞详解前言PHP反序列漏洞简述正式闯关代码审计 前言 本文章用于巩固对自己PHP反序列漏洞的学习总结,其中部分内容借鉴了以下博客。 链接: pikachu PHP反序列化(皮卡丘漏洞平台通关系列)) PHP反序列漏洞简述 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 先跟着pikachu简单学习一下什么叫序列化和反序列化: 但其实我已知这里有3个地方写的不对,需要更正一下: (1)序列化结果中的S不是对象名称,而
pikachu靶场PHP反序列化漏洞通关
03-25
### Pikachu靶场 PHP反序列化漏洞解题思路 #### 背景介绍 PHP反序列化漏洞是指当程序通过`unserialize()`函数将序列化的字符串转换回对象时,如果攻击者可以控制该序列化字符串的内容,则可能触发恶意代码执行或...
反序列化漏洞总结
dreamthe的博客
11-24 3588
1.了解序列化和反序列化 在学习反序列化漏洞之前,需要了解什么是反序列化和序列化,我看到了一个很好的比喻,觉得很适合帮助大家对于两者理解,相信大家都在淘宝买过东西,不知道有没有买过那种小型家具,我有买过鞋柜,商家发货的时候不会将一个完好的鞋柜寄给你,第一因为中途可能会损坏,第二呢就是增加包装成本。所以商家都会将鞋柜所有部件打包寄过来,顾客拿到快递在自己根据安装教程安装好鞋柜。那么这里面就有两个过程,一个是商家将所以部件打包发走,一个是你拿到安装还原。那么序列化就是商家打包过程,反序列化就是将商品还原过程。
vue实现页面不断插入内容并且自动滚动功能
最新发布
weixin_50606255的博客
12-04 113
我们在看视频时经常会看到黑客入侵别人电脑会在屏幕上显示一串代码,并且代码不断插入自动滚动,看起来很厉害的样子,现在就在此纪录实现此功能:
TCP,UDP使用socket编程流程
weixin_46855342的博客
12-01 155
UDP socket编程流;
网络安全漏洞之React 框架分析
anquan2233的博客
12-04 745
昨日爆出的 CVE-2025-55182,CVSS 10.0 满分严重漏洞,影响 React 19 及所有 Next.js 15/16 项目。核心问题是 React Server Components 的 Flight 协议存在不安全反序列化,无需任何认证,攻击者只需向 Server Actions 端点发送一个精心构造的 multipart 请求,即可实现远程代码执行(RCE)。目前已确认多个完整 0day 利用链(包括 vm.runInThisContext 在内),未修补实例基本等于已失陷。
多厂商配置对齐器:AI 如何在 Cisco / Huawei / Juniper 间做语义映射
oQianYuan的博客
12-03 546
这些模型上的差异,使得简单的“语法级模板替换”永远会失败。“给我一个能阻止外网 SSH 进入财务内网的安全策略,并在所有出口设备上同步生效(Cisco/Huawei/Juniper 各一套)。需特别注意 mask 类型的标准化,AI 内部统一用 CIDR (/24) 或 Wildcard 存储,渲染时再转换。/* 假设 Gi0/0 属于 untrust,内网为 trust */在过去十几年里,不同厂商 CLI 的“语法差异”从来不是最难的问题。AI 在多厂商对齐中的真正价值,是负责把。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值