[SWPUCTF 2021 新生赛]ez_unserialize

于 2025-03-22 21:49:41 发布
阅读量937 收藏 13
点赞数 23
CC 4.0 BY-SA版权
文章标签: php 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_74430582/article/details/146446866

项目场景:[SWPUCTF 2021 新生赛]ez_unserialize

提示:php反序列化

问题描述

打开环境,页面是一张动图,按照以往做题规律f12查看源代码

可以看到源码中存在一串注释,看格式明显是robots文件,而且可访问文件名被隐藏了,那么可以直接访问robots.txt,或者使用漏扫工具都可以

 

尽管前后都可以找到,但后者明显多了一个文件,但是不要抱有侥幸心理,flag.php里面是空的

访问/cl45s.php后得到了如下的php代码,接下来就到了这一题的关键,一眼看到最后的unserialize函数,瞬间就可以知道这是关于序列化的题目

 

 <?php

error_reporting(0);
show_source("cl45s.php");

class wllm{

    public $admin;
    public $passwd;

    public function __construct(){
        $this->admin ="user";
        $this->passwd = "123456";
    }

        public function __destruct(){
        if($this->admin === "admin" && $this->passwd === "ctf"){
            include("flag.php");
            echo $flag;
        }else{
            echo $this->admin;
            echo $this->passwd;
            echo "Just a bit more!";
        }
    }
}

$p = $_GET['p'];
unserialize($p);

?>

 

 代码分析下来也很简单,wllm类中定义了两个共有属性,并在之后使用了魔术方法——__construct(类实例化类时调用)

方法中两个参数被赋值,之后又定义了__destruct()方法(销毁时调用),并在其中做了两个参数的比较

大致分析如此,接下来构造payload

O:4:"wllm":2:{s:5:"admin";s:5:"admin";s:6:"passwd";s:3:"ctf";}

get上传后得到flag

max.FP
关注
[SWPUCTF 2021 新生]ez_unserialize-------WP
pythllc的博客
10-22 417
Robots 协议(也称为爬虫协议、机器人协议等)的全称是 “网络爬虫排除标准”(Robots Exclusion Protocol),网站通过 Robots 协议告诉搜索引擎哪些页面可抓,哪些页面不能抓。复制源码,把不需要的部分注释掉,再补充序列化的代码,将admin和passwd的值改为触发if条件的值,即可得到payload。3、看到可疑的php文件,访问一下,得到源码,下面就是代码审计了。当然也可以直接用御剑扫后台,这里的flag.php进不去。发现disallow,说明应该和robots有关。
SWPUCTF 2021 新生ez_unserialize
最新发布
XiaoHei的博客
03-30 215
目标是通过构造一个序列化的字符串,当反序列化成wllm对象时,在析构的时候满足admin为"admin"且passwd为"ctf",从而获取flag。中,检查admin是否等于"admin",passwd是否等于"ctf",如果满足条件就包含flag.php并输出$flag,否则输出admin、passwd和一个提示信息。首先,需要创建一个wllm类的实例,并手动设置admin和passwd为"admin"和"ctf"。将它们初始化为"user"和"123456"。admin和passwd。
[SWPUCTF 2021 新生] ez_unserialize
Welcome To Myon'Blog !
07-05 3424
链尾(就是最终我们想要利用的地方),在echo $flag 并且include了flag.php 往上看,发现只需要满足 再往上看,发现执行这条语句我们需要触发__destruct()函数 __destruct是析构函数,会在对象的所有引用被删除或者当对象被显式销毁时自动执行,比如new完一个对象,当创建完成之后就不引用了,如果有赋值指向就会立马丢弃,触发destruct函数。 这里还有一个__construct()构造函数,它是在实例化一个对象(即new时)会自动调用。
[NSSCTF]-Web:[SWPUCTF 2021 新生]ez_unserialize解析(反序列化修改属性)
2301_79326813的博客
02-28 648
查看网页这里可以查看robots.txt题目文件如下。
NSSCTF刷题笔记web10——[SWPUCTF 2021 新生]ez_unserialize
qq_45692883的博客
01-18 610
进行代码审计,也是非常非常的简单,只需要构造一个序列化后的字符串,然后替换其中的数据即可。复制上面类的php代码,替换其中的用户名以及密码进行序列化,执行即可得到payload。源代码提示了这一串数据,是robots.txt的格式。上来问我题目在哪,一般都是直接先看源代码。直接访问robots.txt。
[SWPUCTF 2022 新生]1z_unserialize和[SWPUCTF 2022 新生]ez_1zpo
m0_73700261的博客
04-26 1233
得到以下payload=O:3:"lyh":3:{s:3:"url";s:3:"lly";以及这里有个wakeup的绕过,以及这里需要一个assert的函数不知道为啥要它,以及里边有一个md5的弱比较,绕过这三个就能够正常的命令执行了。[SWPUCTF 2022 新生]1z_unserialize。接着在另外给自己传参一个参数,在这个参数里做命令执行。[SWPUCTF 2022 新生]ez_1zpo。这个题目是一题很标准的反序列化,在根目录下边找到flag的文件。这个是构造的pop链。
NSSCTF | [SWPUCTF 2021 新生]ez_unserialize
2302_80946742的博客
05-15 1086
如果 `admin` 属性等于 "admin" 且 `passwd` 属性等于 "ctf",脚本会包含 "flag.php" 文件,并显示其 `$flag` 变量的内容。在这个例子中,攻击者可能会尝试提供一个序列化的 `wllm` 对象,其 `admin` 和 `passwd` 属性被设置成了 "admin" 和 "ctf",以此来获取 "flag.php" 中的敏感信息。- 构造方法 `__construct()`:这是一个魔术方法,当一个新的 `wllm` 对象被创建时,会自动调用此方法。
NSSCTF ez_unserialize
m0_49257076的博客
11-02 1242
打开题目是胡桃摇的表情包(手动滑稽????),下面是“题目在哪” 这边是上手直接使用蚁剑扫描得到的robots.txt文件,然后打开之后有cl45s.php文件,访问之后可以看到题目的源码 观察源码就知道是一个简单的unserialize,手写一下(菜狗枯了) <?php class wllm{ public $admin; public $passwd; public function __construct(){ $this->admin ...
nssctf[SWPUCTF 2021 新生]babyrce,[SWPUCTF 2021 新生]ez_unserialize
2301_80871705的博客
10-16 1823
用bp抓包,我们添加cookie的值为1。得到了rasalghul.php这个文件,访问它。会检查$ip变量的值中是否存在一个空格。如果存在空格,就会执行函数将停止脚本执行,并输出消息 'nonono'。函数通过 shell 命令执行$ip变量的值并返回输出。它允许任何人通过 URL 查询参数运行任意的 shell 命令。这可能会导致严重的安全问题。总而言之,就是要传入url的值,并且不能有空格,那我们就用以下任意一个字符进行绕过。ls与ls /的区别:如果你只调用ls。
春秋 ez_unserialize
03-16
<think>好的,我需要回答用户关于PHPez_unserialize函数的使用说明和示例的问题。首先,我应该先确认这个函数是否是PHP内置函数,或者是否是某些框架或库中的自定义函数。 用户提供的引用中提到,引用[1]指出ez_unserialize的基本语法是mixed ez_unserialize(string $str),看起来像是某个自定义函数,因为PHP内置的反序列化函数是unserialize(),而不是ez_unserialize。此外,引用[2]和引用[3]提到了CTF例题和PHP原生类的利用,这可能与反序列化漏洞有关。 接下来,我需要检查是否有官方文档或可靠的资源提到ez_unserialize。根据现有的信息,可能这个函数是某个特定项目或框架中的自定义函数,用于封装或扩展unserialize的功能。例如,可能添加了额外的安全检查或处理特定数据结构的逻辑。 用户可能需要了解这个函数的参数、返回值以及使用场景。根据引用[1],函数接受一个字符串参数并返回mixed类型的结果。通常,反序列化函数的作用是将序列化的字符串转换回PHP值。 在示例方面,可能需要展示如何将一个对象序列化后再用ez_unserialize还原,但需要注意如果这个函数有特殊处理,比如自动调用某些方法或处理异常,可能需要特别说明。 另外,引用[3]提到在反序列化过程中可能触发魔术方法,如__unset(),这涉及到反序列化漏洞的利用,可能在CTF题目中出现。因此,在示例中可能需要提到安全注意事项,比如不要反序列化不可信的输入。 由于没有找到官方资料,我需要假设这个函数的行为类似于unserialize,但可能有额外的封装。因此,在回答中需要明确说明这一点,并建议用户查阅相关项目的文档或源码以获取准确信息。 最后,根据用户提供的引用,可能需要引用这些来源来解释可能的用例或安全问题,同时生成相关问题帮助用户深入理解。</think>### PHP `ez_unserialize` 函数说明及示例 根据提供的引用信息,`ez_unserialize` 可能是一个自定义函数,其功能类似于 PHP 内置的 `unserialize()`,但具体实现可能因项目或框架而异。以下是基于现有信息的分析及示例说明: --- #### **1. 函数基本语法** ```php mixed ez_unserialize ( string $str ) ``` - **参数**:`$str` 为序列化后的字符串。 - **返回值**:反序列化后的 PHP 变量(可能是对象、数组、字符串等)[^1]。 --- #### **2. 功能解析** - 该函数用于将序列化字符串还原为原始数据结构。 - 与 `unserialize()` 类似,但在某些场景下可能包含额外逻辑(如自动调用魔术方法或安全检查)[^3]。 - **安全风险**:反序列化不可信输入可能导致代码执行(如触发 `__destruct()`、`__wakeup()` 等魔术方法),需谨慎使用[^2]。 --- #### **3. 示例代码** 假设 `ez_unserialize` 的功能类似 `unserialize()`: ```php // 序列化一个数组 $data = ["name" => "Alice", "age" => 25]; $serialized = serialize($data); // 输出: a:2:{s:4:"name";s:5:"Alice";s:3:"age";i:25;} // 使用 ez_unserialize 还原数据 $unserialized = ez_unserialize($serialized); print_r($unserialized); // 输出: Array ( [name] => Alice [age] => 25 ) ``` --- #### **4. 魔术方法与反序列化** 若反序列化对象,可能触发魔术方法: ```php class Example { public $var; public function __unset($name) { call_user_func($this->var); // 可能执行任意函数[^3] } } // 恶意序列化字符串(仅示例,实际需构造) $malicious = serialize(new Example()); $result = ez_unserialize($malicious); unset($result->handle->log); // 触发 __unset() ``` - **注意**:此类操作可能导致安全漏洞,需避免反序列化不可信数据[^3]。 --- #### **5. 使用场景** 1. **数据持久化存储与恢复**:如缓存、会话数据。 2. **CTF 题目与漏洞研究**:利用反序列化漏洞触发魔术方法。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值