小迪安全课堂笔记反序列化
PHP思维导图php反序列化PHP反序列化热身题-无类问题-本地CTF反序列化小真题-无类执行-实例CTF反序列化练习题-有类魔术方法触发-本地网鼎杯青龙大真题-有类魔术方法触发-实例 JAVA思维导图序列化和反序列化Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试-网鼎杯-朱雀组-Web-think_java 真题复现PHP思维导图
序列化反序列化详解
php反序列化
原理
未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、SQL注入、目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。
serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象
触发
unserialize函数的变量可控,文件中存在可利用的类,类中有魔术方法():
参考CTF PHP反序列化
__construct()//创建对象时触发__destruct()//对象被销毁时触发__call()//在对象上下文中调用不可访问的方法时触发__callStatic()//在静态上下文中调用不可访问的方法时触发__get()//用于从不可访问的属性读取数据__set()//用于将数据写入不可访问的属性__isset()//在不可访问的属性上调用isset()或empty()触发__unset()//在不可访问的属性上使用unset()时触发__invoke()//当脚本尝试将对象调用为函数时触发
区分反序列化用到的技术有类与无类可以通过看是否有class有即为有类
序列化后内容格式:object=对象
图片中有些问题,如果对象是数值型时,不需要写长度,并且不加双引号,比如上边的正确写法是i:19;
<?php$KEY='xiaodi123';//无类echo serialize(&KEY);?>//输出结果是s:9:"xiaodi123"
小知识:==是值相等、===是全相等,值类型也要相同
PHP反序列化热身题-无类问题-本地
<?phperror_reporting(0);//无类include "flag.php";$KEY = "xiaodi";$str = $_GET['str'];if (unserialize($str) === "$KEY") //解题关键{echo "$flag";}show_source(__FILE__);
CTF反序列化小真题-无类执行-实例
经分析,将key和cookie的值相同,就可获得flag,
将key序列化
可使用浏览器,增加cookie
但是我们用burp
访问抓包,cookie写入序列化结果
发包后,网站没有反应,发现if分支没走cookie。走的get‘hint’,所以页面无变化。
删除了hint,却返回了登录页面
分析发现,代码比较在前,赋值在后。即比较时,key为空.
重新提交,
成功
CTF反序列化练习题-有类魔术方法触发-本地
class ABC{//class类public $test;function __construct(){$test =1;echo '调用了构造函数<br>';}function __destruct(){echo '调用了析构函数<br>';}function __wakeup(){echo '调用了苏醒函数<br>';}}echo '创建对象 a<br>';$a = new ABC;echo '序列化<br>';$a_ser=serialize($a);echo '反序列化<br>';$a_unser = unserialize($a_ser);echo '对象快要死了!';?>
网鼎杯青龙大真题-有类魔术方法触发-实例
首先ctf命名及代码函数unserialize判断反序列化知识点
第一:获取flag存储flag.php
第二:两个魔术方法__destruct__construct
第三:传输str参数数据后触发destruct,存在is_valid过滤
第四:__destruct中会调用process,其中op=1写入及op=2读取
第五:涉及对象FileHandler,变量op及filename,content,进行构造输出
<?phpclassFileHandler{public$op='2';//源码告诉我们op为1时候是执行写入为2时执行读public$filename="flag.php";//文件开头调用的是flag.phppublic$content="xd";}$flag=newFileHandler();$flag_1=serialize($flag);echo$flag_1;?>
涉及:反序列化魔术方法调用,弱类型绕过,ascii绕过
使用该类对flag进行读取,这里面能利用的只有__destruct函数(析构函数)。__destruct函数对
t h i s − > o p 进 行 了 = = = 判 断 并 内 容 在 2 字 符 串 时 会 赋 值 为 1 , p r o c e s s 函 数 中 使 用 = = 对 this->op进行了===判断并内容在2字符串时会赋值为1,process函数中使用==对 this−>op进行了===判断并内容在2字符串时会赋值为1,process函数中使用==对this->op进行判断(为2的情况下才能读取内容),因此这里存在弱类型比较,可以使用数字2或字符串’2’绕过判断。
is_valid函数还对序列化字符串进行了校验,因为成员被protected修饰,因此序列化字符串中会出现ascii为0的字符。经过测试,在PHP7.2+的环境中,使用public修饰成员并序列化,反序列化后成员也会被public覆盖修饰。
有类
程序结束时,会调用析构函数destruct
代码逻辑分析如下
执行,右键源代码
JAVA思维导图
序列化和反序列化
序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。
Java 反序列化及命令执行代码测试
WebGoat_Javaweb 靶场反序列化测试
源码:序列化函数,命令执行函数
根据给出数据,可以判断是序列化+base64
我要攻击它,我该如何构造payload? 若是ipconfig,是否有回显?反弹shell能解决不回显问题。 ipconfig->序列化->base64=rO0AB格式字符串,最终payload。 比较复杂所以一般用工具
反序列化工具ysoserial使用介绍
java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;ysoserial-master-30099844c6-1.jar ysoserial.GeneratePayload Hibernate1 calc.exe > payload.bin
工具序列化后,base64加密
最终结果
-网鼎杯-朱雀组-Web-think_java 真题复现
附属文件
源码,应该是利用sql注入漏洞
打开页面
抓包
得到账号密码
通过swagger接口,测试注入漏洞及访问接口进行调用测试
…没懂