PHP反序列化-pikachu

最新推荐文章于 2025-03-04 10:56:24 发布
最新推荐文章于 2025-03-04 10:56:24 发布
阅读量600 收藏 7
点赞数 4
分类专栏: # pikachu靶场通关 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangqqa/article/details/143372816
版权

系列目录

第一章 暴力破解

第二章 Cross-Site Scripting-pikachu

第三章 CSRF

第四章 sql-injection 

第五章 RCE

第六章 File inclusion

第七章 Unsafe filedownload

第八章 Unsafe fileupload

第九章 Over Permission

第十章 ../../

第十一章 敏感信息泄露

第十二章 PHP反序列化

概述

在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。

序列化serialize()
序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:

    class S{
        public $test="pikachu";
    }
    $s=new S(); //创建一个对象
    serialize($s); //把这个对象进行序列化
    序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}
        O:代表object
        1:代表对象名字长度为一个字符
        S:对象的名称
        1:代表对象里面有一个变量
        s:数据类型
        4:变量名称的长度
        test:变量名称
        s:数据类型
        7:变量值的长度
        pikachu:变量值

反序列化unserialize()

就是把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。

    $u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");
    echo $u->test; //得到的结果为pikachu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题

        常见的几个魔法函数:
        __construct()当一个对象创建时被调用

        __destruct()当一个对象销毁时被调用

        __toString()当一个对象被当作一个字符串使用

        __sleep() 在对象在被序列化之前运行

        __wakeup将在序列化之后立即被调用

        漏洞举例:

        class S{
            var $test = "pikachu";
            function __destruct(){
                echo $this->test;
            }
        }
        $s = $_GET['test'];
        @$unser = unserialize($a);

        payload:O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

一、PHP反序列化漏洞

// 定义了S类
class S{
// 属性test值为pikachu
    var $test = "pikachu";
    // 构造函数__construct()是构造函数,当对象被创建的时候,就会自动调用这个函数
    function __construct(){
        // 调用函数的结果:  输出test属性的值
        echo $this->test;
    }
}


//O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
// 初始化HTML内容变量
$html='';

// 检查是否存在名为'o'的POST请求数据
if(isset($_POST['o'])){
    // 获取POST请求中的'o'数据
    $s = $_POST['o'];

    // 尝试反序列化接收到的数据,如果失败则输出提示信息
    if(!@$unser = unserialize($s)){
        // 当反序列化失败时显示的HTML内容
        $html.="<p>大兄弟,来点劲爆点儿的!</p>";
    }else{
        // 当反序列化成功时,输出反序列化对象的test属性
        $html.="<p>{$unser->test}</p>";
    }
}

这里我们写一个payload

O:1:"S":1:{s:4:"test";s:8:"test1234";}

这是输出的结果

这样,我们可以控制我们想要输入进去的字符,那我们可以利用这个做很多事情了

比如说:

实现一个存储型xss

O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}


 

渗透测试之pikachu PHP反序列化(未完成)
LKmnbZ's Blog
11-14 532
1. 概述 序列化与反序列化 序列化函数serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子...
pikachu靶场 :十二、PHP反序列化
qq_43233085的博客
02-02 1456
pikachu靶场 :十二、PHP反序列化概论漏洞输出xss文件读取 概论 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="bihuoedu"; } $s=new S(); //创建一个对象...
Pikachu靶场之PHP反序列化、XXE、URL重定向、SSRF漏洞
Jach1n
02-01 244
Pikachu靶场之PHP反序列化、XXE、URL重定向、SSRF漏洞
关于 PHP(反)序列化 的知识
最新发布
2302_77182305的博客
03-04 935
如果存在__wakeup方法,调用unserilize()方法之前先调用__wakeup方法,但是序列化字符串中表示对象属性个数的值大于真实属性个数时,会跳过__wakeup的执行。利用了__destruct()的特性,当实例化对象结束后,进行unserialize结束时,就会销毁代码,触发__destruct()在反序列化中,能控制的数据就是对象中的属性值(成员变量),所以在PHP反序列化中有一种漏洞利用方法叫“面向属性编程”,即POP。POC是一段不完整的程序,仅仅是为了证明提出者的一段代码。
序列化接口 Serializable 和 Parcelable
binaryshao
01-17 502
Serializable 反射? serialVersionUID 确保反序列化成功的关键 ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L; * It is also strongly advised that explicit * serialVersionUID declarations use the &amp;amp;amp;lt;...
pikachuphp反序列化
qq_43665434的博客
02-18 470
pikachuphp反序列化 一、php对象和类 php面向对象编程: 对象:可以做一些事情。一个对象有状态、行为和标识三种属性。 类:一个共享共同结构和行为的对象的集合。 每个类的定义都以class开头,后面跟着类的名字,一个类可以包含有属于自己的变量,变量(称为属性)以及函数(称为方法)。类定义了一件事物的抽象特点。通常来说,类定义了事物的属性和它可以做到的。 类可能包含一些特殊的函数(magic函数),magic函数命名是以符号‘_’开头的,比如_construct当一个队形创建时调用;_dest
Pikachu-PHP反序列化
baynk的博客
11-19 1069
0x00 PHP反序列化概述 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 原来在ctf中学习过,也可以看看这个https://baynk.blog.youkuaiyun.com/article/details/99712035和这个https://blog.youkuaiyun.com/u014029795/article/details/99707622。...
pikachuPHP反序列化
Alsn86的博客
12-23 421
pikachuPHP反序列化 概述
pikachu PHP反序列化(皮卡丘漏洞平台通关系列)
箭雨镜屋
01-30 4706
诶嘿,又是一个简单的关卡 1、学习,学习一下 先跟着pikachu简单学习一下什么叫序列化和反序列化: 但其实我已知这里有两个地方写的不对,需要更正一下: (1)序列化结果中的S不是对象名称,而是类名称;同样的,O和S中间的1应该是类名字长度。 (2)几个魔法函数的举例有点让人误会,很容易误以为这些魔法函数都会造成反序列化漏洞,但其实__construct()在unserialize()时并不会被自动调用,这点在之后会进行演示。 总之,序列化是把对象转换为字符串,从而达到传输和存储的目的
Pikachu漏洞平台练习——PHP序列化与反序列化PHP反序列化漏洞
7Riven's blog
11-13 1089
1.序列化serialize()与反序列化unserialize() 序列化:把一个对象变成可以传输的字符串。 反序列化:把被序列化的字符串还原为对象,然后在接下来的代码中继续使用。 举例说明如下: <?php Class a{ Var $test = 'test'; } $a = new a(); Echo serialize($a);//序列化成为一个字符串形式 $b=uns...
Pikachu反序列化实验、CTF实验
dyx0910的博客
05-24 576
Pikachu反序列化实验、CTF实验
pikachu靶场_反序列化
m0_46390077的博客
11-23 295
这里的$s可以进行传参判断是否能够被反序列化,即上传的参数是否经过序列化如果上传的序列化后的参数,将上传的数据反序列化后,自动执行魔术方法 __construct() ,$unser->test 用来输出反序列化后的对象的 test 属性的值到页面上。
pikachuphp反序列化()
weixin_54431413的博客
04-15 3357
pikachu靶场的反序列化漏洞 (代码审计能力有点弱鸡,不对之处请指教)
pikachu-PHP反序列化
baidu_39504221的博客
11-23 574
PHP对象需要表达的内容较多,如类属性值的类型、值等,所以会存在一个基本格式。下面则是PHP序列化后的基本类型表达: 布尔型(bool):b:value=>b:0 整数型(int):i:value=>i:1 整数型(int):i:value=>i:1 字符串型(str):s:length:“value”;=>s:4:“aaaa” 数组型(array):a:<length>:{key,value pairs};=>a:1:{i:1;s:1:“a”} 对象型(obje
十、pikachuphp反序列化
qq_55202378的博客
08-24 1240
pikachu php反序列化
反序列化——pikachu
qq_43660551的博客
05-17 728
序列化:为了方便传输和存储数据,将要传输或者存储的对象进行序列化生成json对象,传到持久化服务器上。 反序列化:从内存中读取序列化后的json对象,将其转换为所需对象。 PHP序列化函数:serialize() 反序列化函数:unserialize() 看下源码:这里使用POST方式接收数据,并使用unserialize()函数对接收到的数据进行反序列化。 <?php /** * Created by runner.han * There is nothing new under t
pikachu_php反序列化
qq_58683895的博客
11-22 510
unser->test源码可见,需要执行到test,那么就需要执行construct函数,该魔法函数创建对象时就会被执行,执行到else分支之后输入值的反序列化就会当做值给test调用。
pikachu~~~PHP反序列化
weixin_50339832的博客
06-06 161
序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";} O:代表object 1:代表对象名字长度
Pikachu系列——php反序列化
Zlirving_的博客
05-21 1284
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验八 —— php反序列化 php反序列化概述 php允许保存一个对象方便以后使用,这个过程被称为序列化。为什么要有序列化这种机制呢?在传递变量的过程中,有可能遇到变量值要跨脚本文件传递的过程。 如果另一个脚本想要调用之前一个脚本的变量,但是前一个脚本已经执行完毕,所有的变量和内容已经释放掉了,我们要如何操作呢?难道要一个脚本不断地循环,等待后面脚本调用?这肯定是不现实的 serialize和unserialize就是
pikachu靶场PHP反序列化
02-28
### Pikachu 靶场 PHP 反序列化漏洞实验指南 #### 实验环境准备 为了进行PHP反序列化漏洞的实践,需先搭建好Pikachu靶场环境。通常情况下,该靶场已内置了多种Web安全漏洞实例供学习者研究[^1]。 #### 理解PHP反序列化机制 PHP对象在存储或传输前会被转换成字符串形式(即序列化),而在接收端再将其还原回原始状态的过程称为反序列化。如果应用程序允许用户控制输入并影响此过程,则可能引发严重的安全隐患[^2]。 #### 发现潜在风险点 通过浏览Pikachu平台上的各个功能模块页面源码,可以找到存在`unserialize()`函数调用的地方作为攻击目标。这类操作往往伴随着高危警告标志,在实际开发中应尽量避免直接处理未经验证的数据流[^3]。 #### 构造恶意负载 假设已经定位到了一个易受攻击的服务接口,下一步就是精心设计能够触发特定行为模式的有效载荷。这一步骤要求对内部类结构有充分了解,并利用公开文档或其他资源辅助分析[^4]。 ```php // 假设存在如下简单示例代码片段用于演示目的 class User { public $name; function __construct($n){ $this->name=$n; } } $payload = 'O:4:"User":1:{s:4:"name";s:9:"admin_user";}'; ``` 上述例子创建了一个名为 `User` 的自定义类及其构造方法;随后构建了一条模拟被篡改后的会话数据 `$payload` ,它代表经过编码后表示的对象实例。当服务器尝试恢复这个伪造的信息包时就会执行预置逻辑。 请注意真实环境中应当更加谨慎地评估每一个细节,因为不同的框架版本之间可能存在差异性实现方式以及额外的安全防护措施。 #### 测试与验证效果 最后将生成好的参数附加到请求地址栏内提交给服务端解析,观察响应结果是否符合预期设定。成功的话应该能看到命令被执行或是其他异常现象发生,从而证明所选位置确实存在着可利用之处[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值