pikachu——php反序列化

php反序列化

两个关键函数:

序列化 serialize()

反序列化 unserialize()

五个魔法函数:

__construct():创建对象时调用

__destruct():对象销毁时调用

__toString():当一个对象被当作一个字符时用

__wakeup():对象序列化之后调用

__sleep():对象序列化之前调用

这一关是更基础的属性直接输出型漏洞, 魔法函数在本关没有利用到,这里给一个魔法函数典型利用场景

pikachu例题:

先去找php后端代码,打开unser.php

这段关键代码的逻辑大概是,用户提交一个序列化的字符串_POST\['o'\],令s = _POST\['o'\],然后php后端代码用unserialize()函数把它变成新的对象 unser,如果这个反序列化函数执行成功,那么,红框内代码 unser-\>test 就会执行,也就是把unser体现在页面上,反之报错提醒

我们按照注释提示构造代码,成功回显

然后我们来分析一下为什么这么构造payload

payload分析:

复制代码
O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

O:长度:"类名":属性数量:{属性列表}

|------------------------------------------|---------------------------------------------|
| 代码碎片 | 含义 |
| O | Object,后面跟着我们对象的完整结构(a:数组,s:字符串,i:整数......) |
| 1 | 对象名长度,这里对象是S |
| "S" | 对象名(类名) |
| 1 | 对象的属性个数,这是只有test一个属性 |
| s:4:"test" | 属性名:s(string 缩写);内容字符串长度:"自定义内容" |
| s:29:"<script>alert('xss')</script>" | 属性值: |

并且在属性列表内部,必定是属性名:属性值,成对出现,举个栗子

复制代码
O:4:"User":2:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";}

其中第一个s:8....说明第一个username属性名,后面跟的s5....就是username的值,依次类推后面的一组

所以这里就是属性名为test的属性值<script>alert('xss')</script>

❀❀❀完结撒花!!!❀❀❀

相关推荐
终焉暴龙王12 小时前
CTFHub web进阶 php Bypass disable_function通关攻略
开发语言·安全·web安全·php
小鼻崽纸19 小时前
cacti漏洞CVE-2022-46169的复现
php
Johny_Zhao1 天前
Centos8搭建hadoop高可用集群
linux·hadoop·python·网络安全·信息安全·云计算·shell·yum源·系统运维·itsm
stand_forever1 天前
laravel框架优化
php·laravel
Python涛哥1 天前
PHP框架之Laravel框架教程:1. laravel搭建
开发语言·php·laravel
大白玉米1 天前
TVBOXOS6.0双端APP二开源码完整版全开源源码重构版
java·重构·php
落鹜秋水2 天前
Cacti命令执行漏洞分析(CVE-2022-46169)
web安全·网络安全
布说在见2 天前
踩坑与成长:WordPress、MyBatis-Plus 及前端依赖问题解决记录
服务器·学习·php
pencek2 天前
XCTF-crypto-幂数加密
网络安全
会议之眼2 天前
截稿倒计时 TrustCom‘25大会即将召开
网络安全