pikachu通关记之php反序列化

最新推荐文章于 2025-03-28 11:56:13 发布
最新推荐文章于 2025-03-28 11:56:13 发布
阅读量295 收藏 1
点赞数
分类专栏: pikachu靶场练习 文章标签: 网络安全 安全漏洞 php 后端 无监督学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35258210/article/details/112902705
版权

"""本人网安小白,此贴仅作为记录我个人测试的思路、总结以便后期复习;今后本着少就是多,慢就是快的方式一步一个脚印进行学习,把这个知识点学扎实了,再学另外一个知识点。费曼教授是不是曾经说过以教代学是最好的学习方式?有很多错点可圈可指,所以也请dalao指出不对的地方,所谓教他人的时候也是在稳固自身"""

未做严格排版,后面有时间了再来整理整理

Ps:靶机链接:https://blog.youkuaiyun.com/qq_35258210/article/details/112465795

pikachuduiphp序列化的概述:

序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:

class S{
    public $test="pikachu";
}
$s=new S(); //创建一个对象
serialize($s); //把这个对象进行序列化
序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}
    O:代表object
    1:代表对象名字长度为一个字符
    S:对象的名称
    1:代表对象里面有一个变量
    s:数据类型
    4:变量名称的长度
    test:变量名称
    s:数据类型
    7:变量值的长度
    pikachu:变量值

反序列化unserialize()

就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}"); echo $u->test; //得到的结果为pikachu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题

 常见的几个魔法函数:
    __construct()当一个对象创建时被调用

    __destruct()当一个对象销毁时被调用

    __toString()当一个对象被当作一个字符串使用

    __sleep() 在对象在被序列化之前运行

    __wakeup将在序列化之后立即被调用

    漏洞举例:

    class S{
        var $test = "pikachu";
        function __destruct(){
            echo $this->test;
        }
    }
    $s = $_GET['test'];
    @$unser = unserialize($a);

    payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

首先看了源码,发现源码定义了一个S类,并且创建了一个 __construct()函数

数字2的地方首先判断input如果不为空就讲数据赋值给变量s,然后将接收到的序列化字符串,反序列化还原为原对象,如果不是无法正确反序列化就提示大兄弟。。,否则将test变量输出。

输入这个反序列化payload后,只是打印出来,效果虽然不明显但验证了我们可以修改序列化字符串

payload:O:1:"S":1:{s:4:"test";s:10:"phpinfo();";}

payload:O:1:"S":1:{s:4:"test";s:7:"pikachu";}

然后验证源码里给的第二个payload

O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

为了效果明显点我改了下源码,把变量$html改为了eval函数

然后我们在输入上面的payload

O:1:"S":1:{s:4:"test";s:10:"phpinfo();";}

 

 

 

 

 

 

 

 

Pikachu靶场通关教程
qq_73792226的博客
09-11 1533
我们尝试写入一个IP地址,比如127.0.0.1(本机的回环地址)接下来我们尝试和IP进行拼接查询语句,比如whoami,net user ,netstat -an 等等这样九爆出了用户名,接下来我们看看源代码,以下是主要的一段代码主要的问题是他没有对用户的输入进行任何的过滤,才会出现远程代码执行的漏洞。
渗透测试之pikachu PHP反序列化(未完成)
LKmnbZ's Blog
11-14 535
1. 概述 序列化与反序列化 序列化函数serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子...
pikachu PHP反序列化(皮卡丘漏洞平台通关系列)
箭雨镜屋
01-30 4722
诶嘿,又是一个简单的关卡 1、学习学习一下 先跟着pikachu简单学习一下什么叫序列化和反序列化: 但其实我已知这里有两个地方写的不对,需要更正一下: (1)序列化结果中的S不是对象名称,而是类名称;同样的,O和S中间的1应该是类名字长度。 (2)几个魔法函数的举例有点让人误会,很容易误以为这些魔法函数都会造成反序列化漏洞,但其实__construct()在unserialize()时并不会被自动调用,这点在之后会进行演示。 总之,序列化是把对象转换为字符串,从而达到传输和存储的目的
PHP反序列化概述
k0sec的安全路
02-27 588
PHP反序列化概述: 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 ...
Pikachu靶场环境搭建(Windows环境下安装详细教程)
最新发布
weixin_42857656的博客
03-28 539
Pikachu靶场是一个漏洞测试练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场的练手,那么pikachu是一个很好的测试平台。
pikachu反序列化
Trave-ler
06-29 661
1 .序列化 对象转换成字符串 持久保存 网络传输 例如: class S{ public $test=“pikachu”; } s=newS();//创建一个对象serialize(s=new S(); //创建一个对象 serialize(s=newS();//创建一个对象serialize(s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“test”;s:7:“pikachu”;} O:代表object 1:代表对象名字长度为一个字符 S:对象的
pikachuphp反序列化
qq_43665434的博客
02-18 474
pikachuphp反序列化 一、php对象和类 php面向对象编程: 对象:可以做一些事情。一个对象有状态、行为和标识三种属性。 类:一个共享共同结构和行为的对象的集合。 每个类的定义都以class开头,后面跟着类的名字,一个类可以包含有属于自己的变量,变量(称为属性)以及函数(称为方法)。类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。 类可能包含一些特殊的函数(magic函数),magic函数命名是以符号‘_’开头的,比如_construct当一个队形创建时调用;_dest
pikachuphp反序列化()
weixin_54431413的博客
04-15 3379
pikachu靶场的反序列化漏洞 (代码审计能力有点弱鸡,不对之处请指教)
pikachu靶场通关
weixin_45682839的博客
04-01 2945
pikachu靶场通关
pikachu 通关手册》
12-30
手册涵盖了暴力破解、XSS、CSRF、SQL 注入、RCE、文件包含、不安全的文件下载与上传、越权操作、目录遍历、敏感信息泄露、php 反序列化、XXE、URL 重定向、SSRF 等众多漏洞类型,每种漏洞都包含原理介绍、测试步骤、...
pikachu靶场通关全流程
braty_的博客
06-08 1925
web安全新手靶场,,过程详细,,萌新易学
pikachu-反序列化
-----------------------------------------------------------------------------------------
10-25 453
在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。序列化serialize()序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:class S{snewS;创建一个对象serializes=new S();//创建一个对象serialize(snewS;//创建一个对象serializes);//把这个对象进行序列化。
pikachu靶场网盘下载
04-01
pikachu是一个漏洞练习平台。其中包含了常见的web安全漏洞,如果你是一个渗透测试学习者没有靶场练手,那么pikachu将是一个不错的选择。
反序列化——pikachu
qq_43660551的博客
05-17 737
序列化:为了方便传输和存储数据,将要传输或者存储的对象进行序列化生成json对象,传到持久化服务器上。 反序列化:从内存中读取序列化后的json对象,将其转换为所需对象。 PHP序列化函数:serialize() 反序列化函数:unserialize() 看下源码:这里使用POST方式接收数据,并使用unserialize()函数对接收到的数据进行反序列化。 <?php /** * Created by runner.han * There is nothing new under t
Pikachu靶场——PHP反序列化漏洞
来日可期的博客
09-30 2270
序列化是将对象转换为字节流或其他可传输格式的过程,以便将其存储在文件中、通过网络发送或在内存中保存。反序列化是将序列化的数据重新还原为对象的过程。反序列化漏洞通常出现在不正确或不安全的反序列化实现中。攻击者可以构造恶意的序列化数据,利用漏洞触发远程代码执行、拒绝服务攻击、信息泄露等安全问题。
序列化接口 Serializable 和 Parcelable
binaryshao
01-17 510
Serializable 反射? serialVersionUID 确保反序列化成功的关键 ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L; * It is also strongly advised that explicit * serialVersionUID declarations use the &amp;amp;amp;lt;...
pikachu-PHP反序列化
baidu_39504221的博客
11-23 587
PHP对象需要表达的内容较多,如类属性值的类型、值等,所以会存在一个基本格式。下面则是PHP序列化后的基本类型表达: 布尔型(bool):b:value=>b:0 整数型(int):i:value=>i:1 整数型(int):i:value=>i:1 字符串型(str):s:length:“value”;=>s:4:“aaaa” 数组型(array):a:<length>:{key,value pairs};=>a:1:{i:1;s:1:“a”} 对象型(obje
Pikachu系列——php反序列化
Zlirving_的博客
05-21 1303
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验八 —— php反序列化 php反序列化概述 php允许保存一个对象方便以后使用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。 如果另一个脚本想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容已经释放掉了,我们要如何操作呢?难道要一个脚本不断地循环,等待后面脚本调用?这肯定是不现实的 serialize和unserialize就是
十、pikachuphp反序列化
qq_55202378的博客
08-24 1257
pikachu php反序列化
pikachu靶场PHP反序列化漏洞通关
03-25
### Pikachu靶场 PHP反序列化漏洞解题思路 #### 背景介绍 PHP反序列化漏洞是指当程序通过`unserialize()`函数将序列化的字符串转换回对象时,如果攻击者可以控制该序列化字符串的内容,则可能触发恶意代码执行或其他危险操作[^1]。这种漏洞通常利用了PHP中的魔术方法(如`__destruct()`, `__wakeup()`等),这些方法会在特定时刻自动调用。 #### 漏洞原理 在Pikachu靶场中,PHP反序列化漏洞的核心在于攻击者能否提供一个可控的序列化字符串给服务器端解析。一旦成功传递了一个精心构造的序列化数据包,就可以触发目标类中的某些敏感逻辑,从而完成任意命令执行或文件写入等操作[^3]。 #### 实际案例分析 (基于引用内容) 假设存在如下简单的易受攻击代码片段: ```php <?php class User { public $name; function __destruct(){ if ($this->name === 'admin') { system('whoami'); // 命令执行演示 } } } if(isset($_GET['data'])){ unserialize($_GET['data']); } ?> ``` 在这个例子里面,只要我们能提交类似于下面这样的payload: ```text O:4:"User":1:{s:4:"name";s:5:"admin";} ``` 那么当我们访问URL像这样:`http://example.com/vuln.php?data=O%3A4%3A"User"%3A1%3A%7Bs%3A4%3A"name"%3Bs%3A5%3A"admin"%3B%7D`的时候, 将会看到当前运行web服务用户的用户名因为触发了system('whoami')而显示出来. 另外需要注意的是,在实际环境中还可能存在一些绕过的技巧比如利用CVE-2016-7124来规避掉部分防护措施的情况[^4]: ```php <?php class star{ public $a; function __wakeup(){ echo $this->a; } } $t='O:4:"star":2:{i:0;s:9:"我在这";i:1;s:9:"第二次";}'; unserialize($t); ?> ``` 这里即使定义只有单个属性$a但是由于指定两个属性所以不会进入__wakeup(),最终输出结果只会有“第二次”。 #### 构造Payload的关键点 对于复杂场景下的poc开发往往需要考虑以下几个方面: - **找到可利用的目标类及其内部结构** - **确认是否存在可用的magic method以及它们的行为模式** - **了解如何正确编码特殊字符以适应url传输需求** 例如上述提到的一个简单实例中使用的payload就是按照标准格式创建出来的合法object representation string形式的数据流表示法(O:)开头后面跟着长度数值冒号类别名称再接着成员变量数量等等一系列规定好的组成部分共同构成整个表达式的语法树节点描述信息[^5]. --- ### 总结 综上所述,解决Pikachu靶场中的PHP反序列化漏洞问题不仅需要理解基本概念还需要掌握具体环境下的技术细节处理方式才能顺利完成挑战任务达成预期效果即实现远程代码执行等功能目的同时也要注意学习过程中积累经验教训不断提高自身技术水平以便应对未来可能出现的新类型安全威胁风险情况发生之时能够迅速做出反应采取有效手段加以防范遏制事态进一步恶化蔓延开来造成更大范围的影响损害后果严重程度加剧等问题的发生几率降低至最小限度之内为止结束本次讨论交流分享环节谢谢大家! ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值