目录
第37天:WEB漏洞-反序列化之PHP&JAVA全解(上)
PHP反序列化
原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
serialize() //将一个对象转换成一个字符串
unserialize() //将字符串还原成一个对象
魔术方法
在特定情况下会自动触发的方法
触发:unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法
参考:https://www.cnblogs.com/20175211lyz/p/11403397.html
__construct() //创建对象时触发
__destruct() //对象被销毁时触发
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__invoke() //当脚本尝试将对象调用为函数时触发
序列化一般格式
s:4:“name”
数据类型:数据长度:数据名
i:17
数据类型:数据名
不同语言的序列化格式不尽相同,也可以使用如XML、Json等标准格式
CTF真题知识点
题目思路
第零:根据题目名称及代码中的unserialize函数判断考点是反序列化知识点
第一:程序包含了一个flag.php,显然flag在其中
第二:程序包含两个魔术方法__destruct、__construct
第三:传输str参数数据会触发__destruct,存在is_valid过滤
第四:__destruct会调用process函数,在process函数中,当op=1执行写入函数,当op=2执行读取函数
第五:代码中有类FileHandler,其中3个变量op、filename、content。根据题目要求构造需要的序列化字符串
构造序列化字符串的函数
<?php class FileHandler{ public $op=' 2';//op为1时候是执行写入为2时执行读取,这里需要读取 public $filename="flag.php";//调用flag.php public $content="xd";//这个随便,题目中没用的 } $flag = new FileHandler(); $flag_1 = serialize($flag); echo $flag_1; ?>涉及知识点
反序列化魔术方法调用、弱类型绕过、ascii 绕过
__destruct函数对$this->op进行了===判断并在内容是为“2”的字符串时会重新赋值op为1,
借助“”验证数值,“=”验证数值和类型的知识点,这里可以使用数字2或字符串’ 2’绕过判断。
is_valid函数还对序列化字符串进行了校验,因为成员被protected修饰,因此序列化字符串中会出现ascii为0的字符。经过测试,在PHP7.2+的环境中,使用publ
最低0.47元/天 解锁文章
扫一扫
1231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
