CubicZ

导航

跳过__wakeup()魔法函数

__wakeup():将在序列化之后立即被调用。
漏洞原理:当反序列化字符串中,表示属性个数的值大于其真实值,则跳过__wakeup()执行。
 

 
参考题目:xctf-unserialize3
https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=4821&page=1
 
对于该题,先可以看到类xctf中有flag变量,并调用了__wakeup(),则考虑实例化xctf类并将其变量序列化。并猜测意图为将序列化结果输入在?code=后进行POST请求。
 
<?php
class xctf{
public $flag = '111';
pubilc function __wakeup(){
exit('bad requests');
}
}
 
$a = new xctf();
echo(serialize($a));
?>
 
// 序列化输出结果为:
// O:4:"xctf":1:{s:4:"flag";s:3:"111";}
 
正常结果输入时,会执行__wakeup(),从而输出'bad requests',并退出脚本,因此利用漏洞绕过__wakeup()。
 
将序列化字符串中代表变量个数的数字改为大于其真实值的数字,并进行POST请求,得到结果。
得到结果。

posted on 2019-11-26 21:00  CubicZ  阅读(2341)  评论(0编辑  收藏  举报