php序列化函数漏洞----unserialize()函数

原创

菜鹅小生 2018-05-29 10:10:09 博主文章分类：web ©著作权

文章标签 PHP 反序列化 unserialize 实验吧 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者菜鹅小生的原创作品，请联系作者获取转载授权，否则将追究法律责任

unserialize()函数概念

unserialize() 对单一的已序列化的变量进行操作，将其转换回 PHP 的值。返回的是转换之后的值，可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化，则返回 FALSE。与之相对的函数serialize()序列化函数。

我们看一个题目 题目：天网管理系统，链接： http://ctf5.shiyanbar.com/10/web1/

1、进入题目查看网页源码

这行提示比较霸气，直接让你判断你的用户名的md5值是不是等于0，这里利用php处理MD5哈希缺陷，遇到哈希值是0e开头的字符串被当做0，QNKCDZO就是这样的字符串。推荐网站；https://www.cnblogs.com/Primzahl/p/6018158.html. 2、输入这个特殊字符串，查看一下 3、给了一个路径，查看一下子这里又得到一个源码，里面关键的部分说的就是unserialize()函数。从源码中很明显可以看出，post传输的username值应该是一个数组。这样才能分别得出user,pass的值。我们直接给出数组是不行的，因为unserialize()函数需要处理序列化之后的字符串，然后将其反序列化为php的值。所以我们输入的值应该是经过序列化函数serialize()处理后的数组，然后交由unserialize()函数去处理。编写序列化字符串脚本： <?php $a=array(“user” => true,”pass” => true） //或false $b=serialize($a) echo $b ?> 这里要记着数组的值要根据提示用布尔值，不然不会得到flag 最后将得到的结果填入文本框便可以拿到flag。