php反序列化和字符串逃逸

已于 2023-08-31 20:01:57 修改
阅读量82 收藏
点赞数 1
分类专栏: 信息安全学习笔记 文章标签: php web安全 安全 信息安全
于 2023-07-17 16:49:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52920608/article/details/131770057
版权

php反序列化魔术方法

    __construct(),类的构造函数  new的时候触发
    
    __destruct(),类的析构函数  销毁对象的或者serialize时候触发
    
    __call(),在对象中调用一个不可访问方法时调用
    
    __callStatic(),用静态方式中调用一个不可访问方法时调用
    
    __get(),获得一个类的成员变量时调用  当访问一个对象不存在的变量时就会被触发
    
    __set(),设置一个类的成员变量时调用  当给一个对象不存在的变量赋值时就会被触发
    
    __isset(),当对不可访问属性调用isset()empty()时调用
    
    __unset(),当对不可访问属性调用unset()时被调用 当尝试使用unset() 销毁函数去销毁一个不可访问的成员属性时会触发,不可访问(包括私有成员属性,不存在的成员属性)
    
    __sleep(),执行serialize()时,先会调用这个函数 当对象被serialize 序列化时触发调用
    
    __wakeup(),执行unserialize()时,先会调用这个函数 当进行unserialize 反序列化对象时
    
    __toString(),类被当成字符串时的回应方法
    
    __invoke(),调用函数的方式调用一个对象时的回应方法
    
    __set_state(),调用var_export()导出类时,此静态方法会被调用
    
    __clone(),当对象复制完成时调用
    
    __autoload(),尝试加载未定义的类
    
    __debugInfo(),打印所需调试信息

字符串逃逸

序列化后的字符串在进行反序列化操作时,会以{}两个花括号进行分界线,花括号以外的内容不会被反序列化。
字符逃逸的主要原理就是闭合,和sql注入类似,只不过它判断的是字符串的长度。输入恰好的字符串长度,让无用的部分字符逃逸或吞掉,从而达到我们想要的目的。

<?php
class people{
    public $name = 'aaa';
    public $sex = 'boy';
 }
$a = new people();
print_r(serialize($a));
$str='O:6:"people":2:{s:4:"name";s:3:"aaa";s:3:"sex";s:3:"boy";}123';
var_dump(unserialize($str));
?>

PHP不会报错,并且也不会输出123.说明{}是字符串反序列化时的分界符。当然,在进行反序列化时,是从左到右读取。读取多少取决于s后面的字符长度。

字符增多逃逸

<?php
class A{
	public $name = 'aaaaaaaaaaaaaaaaaaaaaaaaaa";s:6:"passwd";s:3:"123";}';
	public $passwd = '1234';
}
$ss = new A();
$str = serialize($ss);
//echo $str;
function filter($str){
    return str_replace('aa','bbbb',$str);
}
$tt = filter($str);
echo $tt;
$qq = unserialize($tt);
var_dump($qq);
?>

这段代码主要目的就是间接修改序列化对象里的passwd的值。

“;s:6:“passwd”;s:3:“123”;} 长度26
这里的”;是用来闭合前面的.将该字符串添加到name
这个字符串一共有26字符。我们想要让这段字符串进行反序列化,而;}正好将前面闭合,从而将字符串";s:6:“passwd”;s:3:“123”;}逃逸出去。
然后进行构造:我们输入13个aa就会转换为13个bbbb,多出26个字符,成功将";s:1:“b”;s:3:“104”;}逃逸。

字符减少逃逸

<?php
class A{
	public $name = 'bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb';
	public $passwd = '1234";s:6:"passwd";s:3:"123';
}
$ss = new A();
$str = serialize($ss);
//echo $str;
function filter($str){
    return str_replace('bb','a',$str);
}
$tt = filter($str);
echo $tt;
$qq = unserialize($tt);
var_dump($qq);
?>

同样道理,我们要将s:6:“passwd”;s:3:“123成功反序列化,那么就要把”;s:6:“passwd”;s:27:"1234 这25个字符吃掉
在name输入25个bb就可以达到效果

原序列化值:

 O:1:"A":2:{s:4:"name";s:50:"bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb";s:6:"passwd";s:27:"1234";s:6:"passwd";s:3:"123";}

字符串逃逸后

O:1:"A":2:{s:4:"name";s:50:"aaaaaaaaaaaaaaaaaaaaaaaaa";s:6:"passwd";s:27:"1234";s:6:"passwd";s:3:"123";}

这里相当于变量name的值变为aaaaaaaaaaaaaaaaaaaaaaaaa";s:6:"passwd";s:27:"1234 其长度刚好为50后续;s:6:"passwd";s:3:"123刚好和最后形成闭合覆盖了passwd的值成功逃逸
XXX_WXY
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浅析php序列字符串逃逸
Lemon's blog
08-26 3050
前言: php序列字符串逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 序列的特点 首先要了解一下序列的一些特点: php序列时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时序列的过程中必须严格按照序列规则才能成功实现序列 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
浅谈PHP序列字符逃逸
lonmar的博客
12-13 764
本文目录前言0x01 序列序列serialize()unserialize()0x02 字符逃逸字符变多字符减少总结 前言 最近遇到了这个知识点,网上找了好几篇这方面的好像都不太仔细,自己来总结下 0x01 序列序列 serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字 如下面的: <?php class people{ public $nam
PHP序列,序列
kuzemax的博客
08-07 854
序列常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候序列一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
PHP序列
e111111111128的博客
08-06 96
1序列序列:序列是将对象转换为可存储或传输的格式(通常是字符串),序列则是将序列的数据重新转换为对象。在PHP中,可以使用serialize()函数将对象序列,使用 unserialize()函数进行序列PHP序列序列是将PHP对象转换为字符串以便存储或传输,并将字符串转换回PHP对象的过程。当应用程序接收到用户提供的序列数据并进行序列时,如果未对数据进行充分验证和过滤,攻击者可以构造恶意的序列数据,并通过恶意代码执行任意的操作。PHP序列序列
PHP序列字符串逃逸
qing_chuan_的博客
08-06 231
PHP序列:serialize()序列是将变量或对象转换成字符串的过程,用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。而PHP序列:unserialize()序列是将字符串转换成变量或对象的过程通过序列序列我们可以很方便的在PHP中进行对象的传递。本质上序列是没有危害的。但是如果用户对数据可控那就可以利用序列构造payload攻击。
php序列总结
weixin_44576725的博客
04-08 6559
php序列总结 基础知识 序列 序列就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 example: class Test { public $name = "s1ng"; private $age = 19;
JavaScript实现的序列json字符串操作示例
10-18
总结,本文通过实例介绍了JavaScript中序列JSON字符串的两种方法——`eval`和`JSON.parse`,并强调了使用`JSON.parse`的优越性和安全性。同时,还分享了几款在线JSON工具,帮助开发者更好地处理JSON数据。希望...
JSON PHP中,Json字符串序列成对象/数组的方法
10-18
今天小编就为大家分享一篇JSON PHP中,Json字符串序列成对象/数组的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
C#实现JSON字符串序列序列的方法
08-31
本文将详细讲解如何使用C#实现JSON字符串序列序列。 首先,我们要了解序列序列的概念。**序列**是将对象转换为可存储或可传输的格式,例如JSON字符串;**序列**则是将这种格式的数据恢复为...
php序列字符串逃逸学习
Lum1n0us's Blog
07-20 334
文章目录前言序列特点序列字符串逃逸逃逸字符串变长web262 wp逃逸字符串变短 前言 最近在刷ctfshow的web入门序列题目时,正好遇到了字符串逃逸的问题,就跟着群主的讲解视频和网上大佬的文章来学习一下。 序列特点 PHP序列时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾(字符串除外),并且是根据长度判断内容的 ,同时序列的过程中必须严格按照序列规则才能成功实现序列 。 看如下代码: <?php class a{ public $a = "sh
从一道CTF题学习PHP序列漏洞
Fly_鹏程万里
09-17 6292
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP序列漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
PHP序列字符逃逸详解
qq_45521281的博客
07-05 7745
文章目录第一种情况:替换修改后导致序列字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列字符串的长度,导致序列漏洞 这种题目有个共同点: php序列后的字符串经过了替换或者修改,导致字符串长度发生变。 总是先进行序列,再进行替换修改操作。 第一种情况:替换修改后导致序列字符串变长 示例代码: <?php function filter($st
序列 php 字符串
weixin_30369087的博客
03-28 108
有人知道下面的这段字符是什么结构吗,如何解析?  $value['lastmessage =    a:3:{     s:12:"lastauthorid";     s:2:"19";     s:10:"lastauthor";     s:6:"xiaolu";     s:11:"lastsummary";     s:13:"seller在吗";  } $...
PHP序列序列
热门推荐
迷风小白
06-28 1万+
PHP序列:serialize 序列是将变量或对象转换成字符串的过程。 举例: <?php class man{ public $name; public $age; public $height; function __construct($name,$age,$height){ //_construct:创建对象时初始 $this->name =...
PHP编程开发工具有哪些?
最新发布
红客网络编程与渗透技术
07-10 1029
PHP的开发工具种类繁多,涵盖了从集成开发环境(IDE)、代码编辑器、调试器到版本控制工具和数据库管理工具等多个方面。以下是一些常见的PHP开发工具:### 1. 集成开发环境(IDE)* **PhpStorm**:由JetBrains开发的全功能PHP IDE,提供了代码自动完成、调试器、版本控制工具等丰富的功能,支持多种框架和技术。PhpStorm拥有最现代的功能集,可以快速便捷地进行网页开发,并支持所有PHP语言功能,是专业PHP开发的优选工具。 * **Eclipse PDT**:基于Eclips
php序列字符串逃逸是什么
02-07
PHP 中,序列是指将序列字符串转换为原来的 PHP 对象。但是,如果字符串中含有恶意代码,序列过程就可能导致漏洞的产生。这种情况就称为“序列字符串逃逸”。 举个例子,假设你有一个函数可以将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

XXX_WXY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值