PHP 反序列化原生类 TIPS字符串逃逸CVE 绕过漏洞属性类型特征
#PHP- 属性类型 - 共有 & 私有 & 保护
1 、对象变量属性:
public( 公共的 ): 在本类内部、外部类、子类都可以访问
protect( 受保护的 ): 只有本类或子类或父类中可以访问
private( 私人的 ): 只有本类内部可以使用
2 、序列化数据显示:
public 属性序列化的时候格式是正常成员名
private 属性序列化的时候格式是 %00 类名 %00 成员名
protect 属性序列化的时候格式是 %00*%00 成员名
<?php
header("Content-type: text/html; charset=utf-8");
//public private protected 说明
class test{
public $name="xiaodi";
private $age="31";
protected $sex="man";
}
$a=new test();
$a=serialize($a);
print_r($a);
?>
#PHP- 绕过漏洞 -CVE& 字符串逃逸
1 、 CVE-2016-7124 ( __wakeup 绕过)
漏洞编号: CVE-2016-7124
影响版本: PHP 5<5.6.25; PHP 7<7.0.10
漏洞危害:如存在 __wakeup 方法,调用 unserilize() 方法前则先调用 __wakeup 方
法,但序列化字符串中表示对象属性个数的值大于真实属性个数时会跳过 __wakeup 执行
Demo :见 CVE.PHP 与版本切换演示
案例:
[ 极客大挑战 2019]PHP
1 、下载源码分析,触发 flag 条件
2 、分析会触发调用 __wakeup 强制 username 值
3 、利用语言漏洞绕过 CVE-2016-7124
4 、构造 payload 后 修改满足漏洞条件触发
此图为原生类脚本