攻防世界-web-unserialize3

最新推荐文章于 2024-07-18 08:42:39 发布
最新推荐文章于 2024-07-18 08:42:39 发布
阅读量456 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: web php反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wallacegen/article/details/108689910
本文深入探讨PHP反序列化漏洞原理,通过具体实例展示如何利用变量数量差异绕过__wakeup方法,最终获取目标数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先看题目:

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

题目给的提示已经很明显了,是php的反序列化漏洞。
首先补充一下序列化和反序列化的相关知识,序列化和反序列化可以简单理解为一个打包和解包的过程(个人理解),就是通过这一过程将一个东西转变成另外一种形式(本质是一样的),这样转换的目的是便于传输或者有其他功能。在php中,序列和和反序列化有两个函数如下:
serialize()将一个对象转换成一个字符串。
unserialize()将字符串还原为一个对象。
这两个方法是如何使用的呢?先看代码

class test
{
	public $id;
	private $name;
	public function __construct($name,$id)
	{
	    $this->id = $id;
		$this->name = $name;
	}
	public function print()
	{
		echo $this->name.PHP_EOL;
	}
	public function __sleep()
	{
	//序列化之前执行,设置序列化哪些变量
		return ["id","name"];
	}
	public function __wakeup()
	{
	//反序列化之前执行,设置变量的值
		$this->name = 'xiaowang';
	}
}

$obj = new test('xiaozhang',1);
$obj->print();//此时的名字叫小张
$sStr = serialize($obj);
echo $sStr.PHP_EOL;
$str = unserialize($sStr);
$str->print();//此时的名字叫小王

test对象里面有两个变量和一个方法,在序列化之后
"O:4:"test":2:{s:2:"id";i:1;s:10:"testname";s:9:"xiaozhang";}"可以看到只序列化对象及里面的变量,方法不管。O代表对象,4表示对象名的长度,test是对象名,2里面有两个值,注意private变量序列化之后变成对象名+变量名,而且长度多了2位,testname的长度为8,现在是10,原因在于test前后多了%00,便于区分,即%00test%00name
反序列化利用有很多姿势,这个题目主要是利用了在某些版本(偷懒了)的php中,待反序列化的字符串中变量的个数(例子中test后面的2)超过了实际test类中变量的个数,__wakeup()方法会直接跳过不执行。
我们回过头来看题目

class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=

xctf类有1个变量,首先序列化一下xctf实例。

$obj = new xctf();
$str = serialize($obj);
echo $str;

打印出结果为O:4:"xctf":1:{s:4:"flag";s:3:"111";},题目中给出了很明显的提示?code=,直接输入?code=O:4:"xctf":2:{s:4:"flag";s:3:"111";},把1改为2。就绕过了wakeup方法,不会exit出去得到flag。
the answer is : cyberpeace{218162f9f1d3b48f5b25354d8a6da945}

【网络安全 | CTF】攻防世界 Web_php_unserialize 解题详析
等风来
05-28 5734
这段代码接收参数 var,使用 base64_decode 函数对 var 进行解码,然后通过 preg_match 函数判断是否包含类似 o:2的字符串,如果存在则中断程序执行,否则调用 @unserialize 函数进行反序列化操作。这段代码首先定义了一个名为 Demo 的类,包含了一个私有变量 $file 和三个魔术方法 __construct()、__destruct() 和 __wakeup()。3、private在变量名前添加标记\00(classname)\00,长度+2+类名长度,如。
攻防世界WEB——unserialize3
Zeker62的博客
08-23 408
靶场内容 题目:反序列化——说明和反序列化有关 打开靶场:PHP代码——PHP反序列化 solution 这个靶场出来之后,显示出来是一个不完整的PHP代码——括号都没有完全闭合 开始分析: __wakeup()属于魔术方法,通常用于反序列化中。 unserialize() 反序列化函数会检查是否存在一个 __wakeup() 方法。如果存在,则会先调用 __wakeup 方法,预先准备对...
Spark的RDD序列化
一入大数据深似海?别怕!“数据极客圈”就是你的救生圈,走对圈子跟对人,趣析数据、畅聊趋势,快进圈子!
08-18 721
RDD序列化 1. 闭包检查 从计算的角度, 算子以外的代码都是在Driver 端执行, 算子里面的代码都是在 Executor端执行。那么在 scala 的函数式编程中,就会导致算子内经常会用到算子外的数据,这样就形成了闭包的效果,如果使用的算子外的数据无法序列化,就意味着无法传值给Executor端执行,就会发生错误,所以需要在执行任务计算前,检测闭包内的对象是否可以进行序列化,这个操作我们称之为闭包检测。 注:Scala2.12 版本后闭包编译方式发生了改变 。 2. 序列化方法和属性 从计算的角度,
RDD 序列化
To_9426464的博客
02-18 1122
RDD 序列化 我们为了区分RDD的方法和scala集合对象的方法,所以把RDD的方法称为算子,这两者主要区别是: 集合对象的方法同一个节点的内存中完成的 RDD的方法可以将计算逻辑发送到Executor端(分布式节点)实现分布式处理 但要注意的是:从计算的角度, RDD的算子外部的操作都是在Driver端执行的,而算子内部的逻辑代码是在Executor端执行,我们可以通过简单示例,外部内部以及序列化的联系 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录RDD 序列化前言
spark中的RDD序列化
andy的博客
11-29 719
在实际开发中我们往往需要自己定义一些对于RDD的操作,那么此时需要注意的是,初始化工作是在Driver端进行的,而实际运行程序是在Executor端进行的,这就涉及到了跨进程通信,是需要 1)闭包引入(有闭包就需要进行序列化) 序列化方法和属性 2)说明 Driver:算子以外的代码都是在Driver端执行 Executor:算子里面的代码都是在Executor端执行 3 Kryo序列化框架 参考地址: https://github.com/EsotericSoftware/kryo J
【回顾】RDD的序列化
懂得一千零一种,赋予你失败的方法!
01-03 468
文章目录RDD 序列化1、闭包检查2、序列化方法和属性3、Kryo 序列化框架 RDD 序列化 1、闭包检查 从计算的角度, 算子以外的代码都是在 Driver 端执行, 算子里面的代码都是在 Executor 端执行。那么在 scala 的函数式编程中,就会导致算子内经常会用到算子外的数据,这样就形成了闭包的效果,如果使用的算子外的数据无法序列化,就意味着无法传值给Executor端执行,就会发生错误,所以需要在执行任务计算前,检测闭包内的对象是否可以进行序列化,这个操作我们称之为闭包检测。Scal..
攻防世界-Web进阶篇-005unserialize3
gyy990526的博客
03-14 2905
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
攻防世界-Web进阶篇-006Web_php_unserialize
gyy990526的博客
03-14 2104
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
攻防世界--Web进阶--Web_php_unserialize--反序列化---正则表达式---wakeup绕过----base64加密
z2560088的博客
10-10 1487
来自攻防世界的一道web进阶题,名为Web_php_unserialize 题目给出了一段php代码,应该是后台的部分源码: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//将file变量的文件名赋值给当前类的file。当解构出该类实例化的对象后,该对象的file就是此时赋值的fi..
web | CTF】攻防世界 Web_php_unserialize
weixin_46301214的博客
02-21 1234
变量名:Demofile 变成 \00Demo\00, 字符个数+2就行:s:10:"\00Demo\00file"大概意思应该是当反序列化的 属性变量数 大于 当前类的属性变量数 的时候,就什么安全性因素,就不触发。天命:这条反序列化题目也是比较特别,里面的漏洞知识点,在现在的php都被修复了。【绕过点二】绕过 __wakeup函数,把反序列化中的内容数量,从1改成2即可。多一个+号(具体原理也不清楚,反正当是刷经验了,上古版本的php才有的漏洞)既不简单,也不难,我也学了几天才算比较掌握。
Spark基础知识03——序列化
01-07
一、序列化 实现序列化:extends Serializable     首先,任务提交的过程,需要先在Driver端进行初始化,算子的函数需要的Executor端进行计算。     Driver端的计算过程需要传给Executor端进行实际的计算,就需要发生网络io,     而Executor端的计算需要在jvm里进行计算,     Driver端传过来的对象在jvm中是以字节表示     所以,在节点传输对象的时候,就需要将所传输的对象进行序列化     所以会发生这样的场景:当一个对象从Driver端传输到Executor端的时候就需要进行序列化          通过实例总结:   
5.RDD的序列化和依赖
resilienter的博客
01-10 381
RDD的序列化和依赖 RDD的序列化 在RDD中如果在Driver中new的对象的方法和属性在Execture上有使用的话,需要将这个对象进行序列化后传递 object SerDemo { def main(args: Array[String]): Unit = { val conf: SparkConf = new SparkConf().setMaster(&#34;...
[ Spark ] RDD序列化.依赖.持久化
jason_bone_的博客
06-14 359
​ 从计算的角度, 算子以外的代码都是在Driver端执行, 算子里面的代码都是在Executor端执行。算子内用到算子外的数据,这样就形成了闭包的效果,算子外的数据需要序列化传值给Executor端执行,闭包检测。​ 这里的闭包指:就算Executor端的代码一行没走,只要使用了算子外的对象,就算闭包,即改变了变量的生命周期,就需要闭包检测实例: 2 RDD依赖关系 ​ 相邻的新的RDD依赖旧的RDD,多个连续的RDD的依赖关系,称之为血缘,同时RDD会保存血缘关系,但不会保存数据,​ 容错:RD
攻防世界-web unserialize3
m0_48108919的博客
02-11 801
结尾提示?code= 猜测通过code传入参数 __wakeup()是魔术方法,经常用在反序列化操作中,unserialize()会检查是否存在一个__wakeup()方法。如果存在,则会先调用__wakeup方法,预先准备对象需要的资源。 由题目代码可知只要触发了wakeup()方法就会执行exit()结束程序 根据题目描述这是一道反序列化题,猜测操作查看flag的代码在xctf类中并且隐藏了没显示在前台,我们需要利用反序列化来调用xctf类,同时需要绕过wakeup()方法 P...
攻防世界WEBunserialize3
qq_54929891的博客
10-09 261
先来记录一下serialize序列化函数和unserialize反序列化函数的知识点
攻防世界WEB(新手模式)3-unserialize3
你好
07-18 1066
反序列化漏洞通常发生在未经过滤的用户输入被反序列化的情况下。如果攻击者能够控制反序列化的数据,他们可能会注入恶意对象,触发类中的特定方法或属性,导致意外行为。当序列化字符串中属性个数大于实际属性个数时,不会执行反序列化,从而跳过wakeup()原本:O:4:"xctf":1:{s:4:"flag";s:3:"111";方法在对象反序列化时被调用。这段代码中,当该类对象被反序列化时,将立即调用。包含序列化对象数据,就可能触发反序列化漏洞。,初始值为'111',并且定义了一个。方法被调用,从而终止脚本执行。
SPARK RDD序列化
weixin_36040866的博客
02-24 1037
RDD序列化、闭包检测、和Kyro序列化框架详解
Spark 中 RDD 序列化
a1786742005的博客
08-11 1107
一、闭包检测 从计算的角度,算子以外的代码都是在 Driver 端执行,算子里面的代码都是在 Executor 端执行。那么在 scala 的函数式编程中,就会导致算子内经常会用到算子外的数据,这样就形成了闭包的效果,如果使用的算子外的数据无法序列化,就意味着无法传值给 Executor 端执行,就会发生错误,所以需要在执行任务计算前,检测闭包内的对象是否可以进行序列化,这个操作我们称之为闭包检测。 二、序列化方法与属性 driver 侧的代码中的运算数据需要 extends Serializable,才可
攻防世界web新手unserialize3
最新发布
04-03
### PHP `unserialize` 函数的安全漏洞及其攻防技巧 #### 背景介绍 PHP 的 `unserialize()` 函数用于反序列化字符串并将其转换为相应的对象或数组。然而,在某些情况下,如果输入数据未经过严格验证,则可能导致安全问题。例如,当恶意用户能够控制传入的数据时,可能触发特定类中的魔术方法(如 `__wakeup()` 或 `__destruct()`),从而执行任意代码。 在实际应用中,开发者通常会忽略对用户提交数据的校验,这使得攻击者有机会通过精心构造的 payload 来利用这些漏洞[^2]。 #### 漏洞原理分析 考虑以下场景:程序允许外部用户提供已序列化的字符串作为参数,并直接调用了 `unserialize()` 方法处理该参数。假设存在如下定义的一个简单类: ```php class Example { public $data; public function __construct($value) { $this->data = $value; } public function __wakeup() { if ($this->data === &#39;trigger&#39;) { system(&#39;ls&#39;); // 执行系统命令 } } } ``` 如果攻击者可以提供类似于下面这样的序列化字符串: ```plaintext O:7:"Example":1:{s:4:"data";s:7:"trigger";} ``` 那么一旦被反序列化,就会激活 `__wakeup()` 魔术方法内的逻辑,进而引发潜在危害行为的发生[^3]。 #### 实战案例解析 针对上述提到的情况,这里给出一个具体的实例说明如何防范此类风险。假设有这样一个 URL 请求包含了未经过滤便进入业务流程的部分: ``` ?code=O%3A8%3A"xctf"%3A1%3A%7Bs%3A4%3A"flag"%3Bb%3A1%3B%7D ``` 此时服务器端接收到此请求后如果没有做任何防护措施的话,就极有可能因为调用到了不恰当的对象属性而导致异常退出等问题出现。因此我们需要采取一定手段加以规避,比如引入白名单机制或者重写相关敏感操作等等方式来增强系统的安全性。 另外值得注意的是,在一些特殊条件下即使看似无害的操作也可能隐藏着巨大威胁。比如说SQL注入测试过程中经常使用的ORDER BY语句片段组合而成的大数值试探法虽然表面上看不出来有什么明显错误之处,但实际上却反映了数据库结构设计上的不合理性以及查询构建过程缺乏足够的鲁棒性的事实情况;而这种情况同样适用于其他类型的渗透尝试当中去发现更多深层次隐患所在[^4]。 #### 编程实践建议 为了有效防止因不当使用 `unserialize()` 导致的各种安全事故的发生,可以从以下几个方面入手改进现有代码质量水平: - **输入验证**: 对所有来自客户端的数据进行全面细致地检查确认其合法性后再进一步加工运算; - **最小权限原则**: 确保运行环境下的各个组件都只拥有完成各自任务所必需最低限度的权利范围即可满足日常需求而不至于造成不必要的麻烦困扰; - **更新依赖库版本**: 及时跟踪官方发布的补丁信息并将项目组内部正在维护的产品升级到最新稳定状态以减少遭受未知零日漏洞袭击的可能性几率降低至可接受范围内为止。 ```php // 输入验证示例 function safe_unserialize($serialized_data){ if (is_string($serialized_data)) { @ini_set(&#39;unserialize_callback_func&#39;, &#39;__php_incomplete_class&#39;); try{ return unserialize(trim(stripslashes($serialized_data))); }catch(Exception $e){ error_log("Unserialization failed:".$e->getMessage()); return false ; } }else{ return null ; } } $unsafe_input=$_POST[&#39;code&#39;]; $safe_output=safe_unserialize($unsafe_input); if(!$safe_output){die(&#39;Invalid input detected!&#39;);} print_r($safe_output); ``` ### 结论总结 综上所述可以看出,合理运用好编程语言自带的功能特性固然重要,但是更加不可忽视的是围绕它们周边建立起一套完善可靠的防御体系框架才是长久之计。只有这样才能真正意义上做到既提高了工作效率又保障了整体网络空间生态健康持续发展下去的目标追求方向不变偏离轨道之外越走越远直至最终实现理想愿景成果落地开花结果圆满成功结束全文叙述内容部分到这里告一段落谢谢大家耐心阅读完毕以上全部材料资料参考资料链接地址列表如下所示供有兴趣的朋友自行查阅学习参考借鉴吸收转化提升自我综合能力素质修养层次境界高度宽度广度深度厚度等方面均有不同程度的进步成长收获满满值得期待未来无限美好前景光明灿烂辉煌无比壮观壮丽宏伟浩瀚辽阔宽广博大精深奥妙无穷尽矣哉乎也焉耳矣!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wallacegen

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值