pikachu——php反序列化

php反序列化

两个关键函数:

序列化 serialize()

反序列化 unserialize()

五个魔法函数:

__construct():创建对象时调用

__destruct():对象销毁时调用

__toString():当一个对象被当作一个字符时用

__wakeup():对象序列化之后调用

__sleep():对象序列化之前调用

这一关是更基础的属性直接输出型漏洞, 魔法函数在本关没有利用到,这里给一个魔法函数典型利用场景

pikachu例题:

先去找php后端代码,打开unser.php

这段关键代码的逻辑大概是,用户提交一个序列化的字符串_POST\['o'\],令s = _POST\['o'\],然后php后端代码用unserialize()函数把它变成新的对象 unser,如果这个反序列化函数执行成功,那么,红框内代码 unser-\>test 就会执行,也就是把unser体现在页面上,反之报错提醒

我们按照注释提示构造代码,成功回显

然后我们来分析一下为什么这么构造payload

payload分析:

复制代码
O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}

O:长度:"类名":属性数量:{属性列表}

|------------------------------------------|---------------------------------------------|
| 代码碎片 | 含义 |
| O | Object,后面跟着我们对象的完整结构(a:数组,s:字符串,i:整数......) |
| 1 | 对象名长度,这里对象是S |
| "S" | 对象名(类名) |
| 1 | 对象的属性个数,这是只有test一个属性 |
| s:4:"test" | 属性名:s(string 缩写);内容字符串长度:"自定义内容" |
| s:29:"<script>alert('xss')</script>" | 属性值: |

并且在属性列表内部,必定是属性名:属性值,成对出现,举个栗子

复制代码
O:4:"User":2:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";}

其中第一个s:8....说明第一个username属性名,后面跟的s5....就是username的值,依次类推后面的一组

所以这里就是属性名为test的属性值<script>alert('xss')</script>

❀❀❀完结撒花!!!❀❀❀

相关推荐
BingoGo1 天前
PHP 快速集成 ChatGPT 用 AI 让你的应用更聪明
后端·php
JaguarJack1 天前
PHP 快速集成 ChatGPT 用 AI 让你的应用更聪明
后端·php
小苑同学1 天前
PaperReading:《Manipulating Multimodal Agents via Cross-Modal Prompt Injection》
人工智能·网络安全·语言模型·prompt·安全性测试
Q_Q5110082851 天前
python+django/flask哈利波特书影音互动科普网站
spring boot·python·django·flask·node.js·php
安达天下1 天前
Al驱动下的智能网联汽车创新与应用专题培训
网络安全·功能安全·aspice·预期功能安全·安达天下
qq_10055170751 天前
WordPress给指定分类文章添加一个自动化高亮(一键复制)功能
运维·前端·自动化·php
YC运维1 天前
LNMP架构(分离部署)PHP与数据库交互示例
数据库·架构·php
Q_Q5110082852 天前
python+django/flask+springboot实践性教学系统 实训任务发布 学生作业提交 教师评阅管理系统
spring boot·python·django·flask·node.js·php
大有数据可视化2 天前
金融系统的“防火墙”:数字孪生如何模拟风险攻击
网络安全·金融·数字孪生·智慧金融
Bruce_Liuxiaowei2 天前
SOCKS与防火墙:穿透与守护的网络安全协奏曲
网络·安全·web安全·网络安全