反序列化提升刷题

news2024/11/16 23:38:21

例题:

<?php
//flag is in flag.php
highlight_file(__FILE__);
error_reporting(0);
class Modifier {
    private $var;
    public function append($value)
    {
        include($value);
        echo $flag;
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    unserialize($_GET['pop']);
}
?>

这是一道经典的反序列化题目,如果有能力可以自己先做做,我的上一篇文章有反序列化的做题方法,大家如果做不出来自行去看就是。我这篇文章就是用五步法做出反序列化题目的,推荐大家可以看看我的上一篇文章五步法带你搞定反序列化难题-CSDN博客

学了方法用就是了,我的方法有五个步骤,可以带你解决大多数的反序列化难题。

第一步:先看哪个对象下面的函数和属性能够帮我执行恶意代码

public function append($value)
    {
        include($value);
        echo $flag;
    }

第二步:

我能控制的是啥?

if(isset($_GET['pop'])){
    unserialize($_GET['pop']);

第三步:(大概看懂就好,没必要像我下面那样那么详细,只是为了大家能够更直观的理解而已。)

这串代码的正常情况下会怎么执行。

首先你先GET 'pop',经过反序列化以后

  1. 如果反序列化的对象是Show类的实例,那么在任何尝试将对象当作字符串打印出来时,都会调用__toString()魔术方法。这里的__toString()方法返回的是$this->str->source,即尝试访问str属性里的source属性。

  2. 如果反序列化的对象是Show类的实例,并且对象被销毁(例如在脚本执行结束时),__wakeup()方法会被调用。在这个例子中,__wakeup()方法会输出$this->source的值。

  3. 如果反序列化的对象是Test类的实例,并且尝试访问一个未定义的属性,__get()魔术方法会被调用。这个方法会尝试调用$this->p作为函数,这里$this->p应该是一个可调用的结构(比如是一个闭包或对象的方法)。

  4. 如果反序列化的对象是Modifier类的实例,并且对象以函数的方式被调用(由于实现了__invoke()魔术方法),__invoke()方法将被执行。该方法会调用append()方法,并将$this->var作为参数传递。append()方法会包含$value指定的文件,并尝试输出一个名为$flag的变量。

第四步:4.要执行恶意代码,该怎么做?(即为通过我所能控制的东西,如何才能执行恶意代码?)记住!!!!!!!!!!!!从后往前推导!!!

1.public function append($value)
    {
        include($value);
        echo $flag;
    }

这里有一个文件包含,首先你得调用append吧,往里面传个参数,value=flag.php

问:那怎么调用append呢?

 public function __invoke(){
        $this->append($this->var);
    }
}

答:通过触发invoke()——魔术方法,调用append,再使var=flag.php

问:invoke怎么触发?

答:把对象当成函数

问题:怎么把对象当成函数?

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

这串代码中有个return fuction就直接把function当成函数了

问:怎么触发return fuction?

答:触发get()——魔术方法,并且将p当成一个对象,就直接p=Modifier ,这样就能够满足触发invoke()——魔术方法,做到把对象当成函数。

问题:怎么触发get()——魔术方法?

答:调用不存在的成员属性

问:如何调用不存在的成员属性?

答:想想还有哪里没有使用的,(类-》实例-》属性)

class Show{
    public $source;
    public $str;
    public function __toString(){
        return $this->str->source;
    }
    public function __wakeup(){
        echo $this->source;
    }
}

触发tostring()——魔术方法,然后给$str赋值对象Test,因为Test中不存在成员属性source,所以就能够调用不存在的成员属性,从而触发get()——魔术方法

问:如何触发tostring()——魔术方法?

答:把对象当成字符串

问:如何把对象当成字符串?

答:相信大家仔细观察就能够发现整段代码就只剩下

   public function __wakeup(){
        echo $this->source;
    }

这个没有使用了,

直接触发魔术方法wakeup()——将source赋值show,就是将自己这个对象赋值给source,就能把对象当成字符串,从而触发tostring()魔术方法

问题:如何触发wakeup()魔术方法?

答:反序列化会触发wakeup()魔术方法。(终于推导到我所能控制的东西了!!!)

第五步:分析完毕,直接注释掉一些代码,稍作整改,构造pop链。

像这样直接把不必要的fuction删除,输出那些也删除,报错的代码也删除,就只剩下了上面的代码,留下成员属性就好了。

接着$var=flag.php(私有属性只能在本来的类给他赋值)

$mod=new Modifier();

$test=new Test();

$test->p=$mod;

$show=new show();

$show source=$show;

$show ->str=$test;

echo serialize($show);

本题到此结束,但是要注意Modifier下面的$var是个私有属性,所以得到的pop链Modifier两侧直接改成%00就好了。

希望大家可以从五步法中掌握更多的反序列化难题,真诚的希望大家能够从我的文章学到知识,如果觉得不错,希望大家可以收藏后吸收本文,在以后遇到反序列化难题的时候手里握着五步法,相信大家都能够从容不迫地应对。

                                                                                                                                   -------------来自补天阁

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1385487.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Vue中keep-alive缓存的详解(深度理解)

文章目录 一、Keep-alive 是什么二、使用场景三、原理分析四、思考题&#xff1a;缓存后如何获取数据beforeRouteEnteractived 参考文献 一、Keep-alive 是什么 keep-alive是vue中的内置组件&#xff0c;能在组件切换过程中将状态保留在内存中&#xff0c;防止重复渲染DOM ke…

吉祥物如何解锁虚拟主持人身份,赋能品牌营销?

在互联网突破时空的整体语境下&#xff0c;一个吉祥物可以解锁虚拟主持人身份&#xff0c;结合动作捕捉技术&#xff0c;活跃于品牌线上线下营销活动场景&#xff0c;让吉祥物虚拟主持人凭借其“萌”、的特征&#xff0c;带给用户亲近感&#xff0c;快速拉近品牌与用户的距离&a…

对Transformer的理解。

要理解Transformer&#xff0c;需要先理解注意力机制&#xff0c;下面大部分内容来自台大教授李宏毅老师讲课资料。 注意力机制 之前使用的MLP&#xff0c;CNN&#xff0c;RNN模型可以解决一些简单序列问题&#xff0c;但当序列长度太长容易失去效果&#xff0c;原因是看了新…

怎样获取power shell 的全部可用命令?2/5(篇幅有点长,分成5份)

在power shell 窗口中&#xff0c;有一个获取全部可用命令的命令&#xff1a;get-command&#xff0c;获取到的命令有1640多个&#xff0c;够学习了吧&#xff1f;那么&#xff0c;power shell 命令有哪些类别呢&#xff1f; PowerShell命令可以分为以下几类&#xff1a; Cmdl…

统一存储双控NAS同步备份应用方案

随着业务量的增加&#xff0c;企业必须找到一种有效的解决方案保护数据安全&#xff0c;防止不可预测的存储系统故障。传统的数据备份往往是专用的数据格式&#xff0c;不能保留完整的用户目录信息。因此&#xff0c;IT 人员必须在数据恢复后重新配置才可重新恢复业务。为了解决…

Java零基础教学文档servlet(1)

【Web开发和HTTP协议】 1. Web开发概述 1.1 web概述 万维网&#xff08;英语&#xff1a;World Wide Web&#xff09;亦作WWW、Web、全球广域网&#xff0c;是一个透过互联网访问的&#xff0c;由许多互相链接的超文本组成的信息系统。英国科学家蒂姆伯纳斯-李于1989年发明了…

推荐一款通过ssh连接linux服务的开源工具WindTerm

文章目录 前言WindTerm介绍WindTerm使用主密码和锁屏总结 前言 工作一入门便是游戏服务器开发&#xff0c;所以常常有连接Linux服务器的需求&#xff0c;之前用的最多的是Xshell&#xff0c;最近这个软件个人版只能免费使用一个月了&#xff0c;超过时间会提示更新无法正常使用…

FX110网:保加利亚外汇牌照FSC,进入欧盟市场的另一扇大门

汇市经纪商们对欧盟金融工具市场法规&#xff08;MiFID&#xff09;都不会陌生。通过MiFID体系&#xff0c;欧盟所有国家的监管机构连成了一张网络。因此&#xff0c;任何想要进入欧洲市场的汇商&#xff0c;都希望获得加入MiFID监管机构的牌照&#xff0c;其中最受欢迎的莫过于…

什么是充放电振子理论?

CHAT回复&#xff1a;充放电振子模型&#xff08;Charging-Reversal Oscillator Model&#xff09;是一种解释ENSO现象的理论模型&#xff0c;这个模型把ENSO现象比喻成一个“热力学振荡系统”。 在这个模型中&#xff0c;ENSO现象由三个组成部分&#xff1a;充电&#xff08;C…

web开发学习笔记(2.js)

1.引入 2.js的两种引入方式 3.输出语句 4.全等运算符 5.定义函数 6.数组 7.数组属性 8.字符串对象的对应方法 9.自定义对象 10.json对象 11.bom属性 12.window属性 13.定时刷新时间 14.跳转网址 15.DOM文档对象模型 16.获取DOM对象&#xff0c;根据DOM对象来操作网页 如下图…

JavaScript采集各大电商平台关于预制菜酸菜鱼销售量

因为我喜欢吃酸菜鱼&#xff0c;但是自己弄又弄不来&#xff0c;想从网上找找看看&#xff0c;但是种类多&#xff0c;自己逐个选择又太浪费时间。索性利用自己专业爬虫知识&#xff0c;一边检验我最近代码水平&#xff0c;另一方面还能选择到满意的年货。过去写个各大平台预制…

YOLOv8 Ultralytics:使用Ultralytics框架进行FastSAM图像分割

YOLOv8 Ultralytics&#xff1a;使用Ultralytics框架进行FastSAM图像分割 前言相关介绍前提条件实验环境安装环境项目地址LinuxWindows 使用Ultralytics框架进行FastSAM图像分割参考文献 前言 由于本人水平有限&#xff0c;难免出现错漏&#xff0c;敬请批评改正。更多精彩内容…

射频天线信号防雷器的行业应用解决方案

射频天线信号防雷器&#xff08;信号SPD防雷浪涌保护器&#xff09;是一种用于保护射频信号系统免受雷电和电涌干扰的装置&#xff0c;它可以有效地吸收和分散过电压&#xff0c;保证信号的稳定传输和设备的安全运行。射频天线信号防雷器广泛应用于无线通信、广播电视、卫星导航…

一篇搞明白微信的基本授权功能

一、介绍 由于部分接口需要经过用户授权同意才能调用。我们把这些接口按使用范围分成多个 scope , 用户选择对 scope 来进行授权&#xff0c;当授权给一个 scope 之后&#xff0c;其对应的所有接口都可以直接使用。 此类接口调用时&#xff1a; 如果用户未接受或拒绝过此权限…

elasticsearch[二]-DSL查询语法:全文检索、精准查询(term/range)、地理坐标查询(矩阵、范围)、复合查询(相关性算法)、布尔查询

ES-DSL查询语法&#xff08;全文检索、精准查询、地理坐标查询&#xff09; 1.DSL查询文档 elasticsearch 的查询依然是基于 JSON 风格的 DSL 来实现的。 1.1.DSL 查询分类 Elasticsearch 提供了基于 JSON 的 DSL&#xff08;Domain Specific Language&#xff09;来定义查…

基于WebRTC技术的EasyRTC视频云服务系统在线视频客服解决方案

一、需求分析 随着互联网技术的发展&#xff0c;视频客服也成为服务行业的标配体验&#xff0c;基于WebRTC实时通信技术&#xff0c;客服人员与用户可以建立实时双向的视频交互与沟通。借助视频客服功能可以更加直观地了解用户的需求&#xff0c;提高沟通效率&#xff0c;并帮…

三种连接因特网的方式

拨号上网dial-up Internet Access 是用Modern接电话线&#xff0c;拔一个特定号码&#xff0c;才能接入到因特网&#xff0c;此时电话处于占线状态&#xff0c;网速56Kbps左右 基于PPPoE协议的ADSL(虚拟拨号) ADSL(非对称数字用户环路):是线路传输技术(硬件),是基于电话线上…

基于Java SSM框架实现摄影器材租赁系统项目【项目源码+论文说明】

基于java的SSM框架实现摄影器材租赁系统演示 摘要 21世纪的今天&#xff0c;随着社会的不断发展与进步&#xff0c;人们对于信息科学化的认识&#xff0c;已由低层次向高层次发展&#xff0c;由原来的感性认识向理性认识提高&#xff0c;管理工作的重要性已逐渐被人们所认识&a…

架构训练营,2024年怎么突围进大厂

2024年其实也是内耗和内卷比较严重的一年&#xff0c;可以说从互联网开始内卷的那天开始就不会停止&#xff0c;但是作为技术人&#xff0c;我们如何去和内卷做斗争了&#xff0c;其实最好的武器就是先和自己内卷&#xff0c;这个如何理解了&#xff0c;那就是要要和以前的自己…

matplotlib绘制动态瀑布图

绘制瀑布图思路&#xff1a;遍历指定文件目录下所有的csv文件&#xff0c;每读一个文件&#xff0c;取文件前20行数据进行保存&#xff0c;如果超过规定的行数300行&#xff0c;将最旧的数据删除&#xff0c;仅保留300行数据进行展示。 网上找的大部分绘制瀑布图的代码&#x…